Security Command Center の概要

このページでは、Security Command Center の概要について説明します。Security Command Center は、Enterprise ティアで、クラウド セキュリティとエンタープライズ セキュリティ運用を組み合わせ、Mandiant の専門知識と Gemini の AI から得られる分析情報を提供します。

Security Command Center を使用すると、セキュリティ オペレーション センター(SOC)アナリスト、脆弱性と体制のアナリスト、コンプライアンス マネージャーなどのセキュリティ専門家が、複数のクラウドにまたがるセキュリティ問題を迅速に評価、調査、対応できます。

各クラウド デプロイメントには、すべて固有のリスクがあります。Security Command Center を使用すると、Google Cloud 上のプロジェクトまたは組織の攻撃対象領域と、他のクラウド環境の攻撃対象領域を把握して評価できます。リソースを保護するように適切に構成されている Security Command Center を使用すると、クラウド環境で検出された脆弱性と脅威を理解し、修正の優先順位を付けることができます。

Security Command Center は多くの Google Cloud サービスと統合されており、複数のクラウド環境のセキュリティ問題を検出できます。これらのサービスは、リソース メタデータのスキャン、クラウドログのスキャン、コンテナのスキャン、仮想マシンのスキャンなど、さまざまな方法で問題を検出します。

Google Security Operations や Mandiant などの統合サービスの一部は、調査と検出された問題への対応の優先順位付けと管理に不可欠な機能と情報も提供します。

脅威を管理する

プレミアム ティアとエンタープライズ ティアでは、Security Command Center は組み込み Google Cloud サービスと統合 Google Cloud サービスの両方を使用して脅威を検出します。これらのサービスは、Google Cloud のログ、コンテナ、仮想マシンをスキャンして脅威指標を探します。

Event Threat Detection や Container Threat Detection など、これらのサービスは、脅威インジケーターを検出すると、検出結果を発行します。検出結果は、クラウド環境でサービスが検出した個々の脅威などの問題のレポートまたは記録です。検出結果を発行するサービスは、検出結果のソースとも呼ばれます。

Security Command Center Enterprise では、検出結果によってアラートがトリガーされ、検出結果の重大度によっては、ケースが生成される場合があります。チケット発行システムでケースを使用して、1 つ以上のアラートの調査にオーナーを割り当て、対応できます。

Security Command Center Enterprise は、他のクラウド プラットフォームのデプロイメント内の脅威も検出できます。他のクラウド プラットフォームのデプロイで脅威を検出するため、Security Command Center は、接続を確立した後に、他のクラウド プラットフォームからログを取り込みます。

詳しくは次のページをご覧ください。

脅威の検出と対応の機能

Security Command Center を使用すると、SOC アナリストは次のセキュリティ目標を達成できます。

  • クラウド環境で潜在的な脅威を示すイベントを検出し、関連する検出結果やアラートを優先度別に分類する。
  • 統合されたケース ワークフローを使用して、オーナーを割り当て、調査と回答の進行状況を追跡する。必要に応じて、Jira や ServiceNow などの任意のチケット発行システムを統合できます。
  • 強力な検索機能と相互参照機能を使用して、脅威アラートを調査する。
  • レスポンス ワークフローを定義し、アクションを自動化して、クラウド環境への潜在的な攻撃に対処する。ハンドブックを使用して対応ワークフローと自動化アクションを定義する詳細については、ハンドブックを使用するをご覧ください。
  • 誤検出の検出結果やアラートをミュートまたは除外します。
  • 不正使用された ID とアクセス権限に関連する脅威に焦点を当てる。
  • Security Command Center を使用して、AWS などの他のクラウド環境で潜在的な脅威を検出し、調査して対応する。

脆弱性の管理

Security Command Center は、包括的な脆弱性検出を提供し、環境内のリソースを自動的にスキャンして、攻撃にさらされる可能性のあるソフトウェアの脆弱性、構成ミス、その他のセキュリティ問題を検出します。このような問題は、まとめて脆弱性と呼ばれます。

Security Command Center では、組み込みの Google Cloud サービスと、統合された Google Cloud サービスの両方を使用して、セキュリティの問題を検出します。検出結果を発行するサービスは、検出結果のソースとも呼ばれます。サービスは問題を検出すると、問題を記録するために検出結果を発行します。

デフォルトでは、重大度と重大度の脆弱性検出結果に対してケースが自動的に開かれ、修復の優先順位付けをサポートします。ケースを使用して所有者を割り当て、修復作業の進捗状況を追跡できます。

詳しくは以下をご覧ください。

有害な組み合わせ

エンタープライズ ティアの機能である Security Command Center Risk Engine は、特定のパターンで同時に発生すると、価値の高いリソースへのパスを作成し、攻撃者がリソースに到達して不正使用する可能性があるセキュリティ問題のグループを検出します。

この種のパターン化されたセキュリティ問題のグループは、有害な組み合わせと呼ばれます。Risk Engine は、有害な組み合わせを検出すると、検出結果を発行します。有害な組み合わせの検出結果ごとに、Security Command Center はセキュリティ運用コンソールにケースを作成し、有害な組み合わせの解決を管理および追跡できるようにします。

続きは、有害な組み合わせの概要をご覧ください。

ソフトウェアの脆弱性

ソフトウェアの脆弱性を特定して、理解し、優先付けできるように、Security Command Center はクラウド環境内の仮想マシン(VM)とコンテナの脆弱性の観点から評価します。Security Command Center は、検出された脆弱性ごとに、検出結果レコードまたは検出結果に関する詳細情報を提供します。検出結果に含まれる情報には、以下のものがあります。

  • 影響を受けるリソースの詳細
  • CVE 項目の影響と悪用可能性に関する Mandiant による評価を含む、関連する CVE レコードに関する情報
  • 攻撃の発生可能性スコア(対策の優先順位付けに役立つ)
  • 脆弱性によって露出された価値の高いリソースに攻撃者がたどる可能性のあるパスの視覚的な表現

ソフトウェアの脆弱性は、次のサービスによって検出されます。

構成ミス

Security Command Center は、構成ミスをスキャンするサービスの検出機能を、一般的な業界コンプライアンス標準のコントロールにマッピングします。構成ミスが違反しているコンプライアンス標準を表示するだけでなく、マッピングにより、さまざまな標準への準拠の測定値を確認し、レポートとしてエクスポートできます。

詳細については、コンプライアンスを評価して報告するをご覧ください。

ポスチャー違反

Security Command Center のプレミアム ティアとエンタープライズ ティアにはセキュリティ ポスチャー サービスが含まれています。このサービスは、クラウド環境にデプロイしたセキュリティ ポスチャーで定義されたポリシーに違反すると、クラウド リソースが検出結果を発行します。

詳細については、セキュリティ ポスチャー サービスをご覧ください。

インフラストラクチャをコードとして検証する

Infrastructure as Code(IaC)ファイルが、Google Cloud 組織で定義した組織のポリシーと Security Health Analytics 検出機能と一致していることを確認できます。この機能により、組織の標準に違反するリソースをデプロイしないようにできます。組織のポリシーを定義し、必要に応じて Security Health Analytics サービスを有効にすると、Google Cloud CLI を使用して Terraform 計画ファイルを検証できます。また、検証プロセスを Cloud Build、Jenkins、または GitHub アクション デベロッパー ワークフローに統合できます。詳細については、組織のポリシーに対して IaC を検証するをご覧ください。

他のクラウド プラットフォームの脆弱性と構成ミスを検出する

Security Command Center Enterprise では、複数のクラウド環境の脆弱性を検出できます。他のクラウド サービス プロバイダの脆弱性を検出するには、まず、リソース メタデータを取り込むために、プロバイダとの接続を確立する必要があります。

詳細については、脆弱性の検出とリスク評価のために AWS に接続するをご覧ください。

脆弱性とポスチャ―の管理機能

Security Command Center を使用すると、脆弱性アナリスト、体制管理者、同様のセキュリティ専門家は次のセキュリティ目標を達成できます。

  • クラウド環境を潜在的な攻撃にさらす可能性のある、ソフトウェアの脆弱性、構成ミス、ポスチャー違反など、さまざまな種類の脆弱性を検出します。
  • 検出結果と脆弱性アラートに対する攻撃の発生可能性スコアを使用して、最もリスクの高い問題に対応と修復作業を行います。
  • ケースを使用し、Jira や ServiceNow などの優先チケット発行システムを統合することで、オーナーを割り当て、脆弱性の修復の進捗状況を追跡します。
  • 攻撃の発生可能性スコアを下げることで、クラウド環境内の価値の高いリソースをプロアクティブに保護する
  • Security Command Center が体制を評価し、違反をアラートするために使用するクラウド環境のカスタム セキュリティ ポスチャーを定義します。
  • 誤検出の検出結果やアラートをミュートまたは除外します。
  • アイデンティティと過剰な権限に関連する脆弱性に重点を置きます。
  • AWS などの他のクラウド環境の Security Command Center で脆弱性とリスク評価を検出して管理します。

攻撃の発生可能性スコアと攻撃パスを使用してリスクを評価する

プレミアム ティアとエンタープライズ ティアを組織レベルで有効にすると、Security Command Center は、高価値リソースへの攻撃の発生可能性スコアと、高価値リソースに影響する脆弱性と構成ミスの検出結果を提供します。

これらのスコアを使用して、脆弱性と構成ミスの修正に優先順位を付け、最も露出した価値の高いリソースのセキュリティを優先し、クラウド環境が攻撃にどの程度さらされているかを評価できます。

Google Cloud コンソールの [リスクの概要] ページの [未対応の脆弱性] ペインで、攻撃の発生可能性スコア別の検出結果 タブには、環境内で攻撃の発生可能性スコアが最も高い検出結果と、検出結果スコアの分布が表示されます。

詳細については、攻撃の発生可能性スコアと攻撃パスをご覧ください。

ケースを使用して検出結果とアラートを管理する

Security Command Center Enterprise は、検出結果とアラートの管理、オーナーの割り当て、検出されたセキュリティの問題に対する調査と対応の管理に役立つケースを作成します。重大度が「高」で「重大」の問題については、ケースが自動的に開かれます。

ケースを Jira や ServiceNow などの任意のチケット発行システムと統合できます。ケースが更新されると、そのケースのオープン チケットが自動的に更新されます。同様に、チケットが更新されると、対応するケースも更新できます。

詳細については、Google SecOps ドキュメントのケースの概要をご覧ください。

対応ワークフローと自動アクションを定義する

対応ワークフローを定義し、クラウド環境で検出されたセキュリティ問題を調査して対応するためのアクションを自動化します。

ハンドブックを使用して対応ワークフローと自動化アクションを定義する詳細については、ハンドブックを使用するをご覧ください。

マルチクラウドのサポート: 他のクラウド プラットフォームでデプロイを保護

Security Command Center のサービスと機能を拡張して、他のクラウド プラットフォームのデプロイもカバーできます。これにより、すべてのクラウドで検出されたすべての脅威と脆弱性を 1 か所で管理できます。

Security Command Center を別のクラウド サービス プロバイダに接続する方法については、次のページをご覧ください。

サポートされているクラウド サービス プロバイダ

Security Command Center は、アマゾン ウェブ サービス(AWS)に接続できます。

セキュリティ ポスチャーの定義と管理

Security Command Center のプレミアム ティアとエンタープライズ ティアを組織レベルで有効にすると、クラウド ネットワークやクラウド サービスなどのクラウド アセットに必要な状態を定義するセキュリティ ポスチャーを作成、管理し、クラウド環境内のセキュリティを最適化できます。セキュリティ ポスチャーは、ビジネスのセキュリティと規制のニーズに合わせてカスタマイズできます。セキュリティ ポスチャーを定義することで、組織に対するサイバーセキュリティ リスクを最小限に抑え、攻撃の発生を防ぐことができます。

Security Command Center のセキュリティ ポスチャー サービスを使用して、セキュリティ ポスチャーを定義してデプロイし、定義した体制からのブレや不正な変更を検出します。

組織レベルで Security Command Center を有効にすると、セキュリティ対策サービスが自動的に有効になります。

詳細については、セキュリティ ポスチャーの概要をご覧ください。

アセットを特定する

Security Command Center には、クラウド環境内のアセットを継続的にモニタリングする Cloud Asset Inventory のアセット情報が含まれています。ほとんどのアセットでは、IAM や組織のポリシーを含む構成の変更がほぼリアルタイムで検出されます。

Google Cloud コンソールの [アセット] ページでは、サンプル アセットクエリの簡単な適用、編集、実行、プリセット時間の制約の追加、独自のアセットクエリの作成が可能です。

Security Command Center のプレミアム ティアまたはエンタープライズ ティアをご利用の場合、攻撃パスのシミュレーションにより、どの資産がリスク評価の対象となる価値の高いリソースに指定されているかを確認できます。

組織またはプロジェクトの変更内容をすばやく確認し、次のような質問に答えることができます。

  • プロジェクトの数と作成日
  • デプロイ済みまたは使用中の Google Cloud リソース(Compute Engine 仮想マシン(VM)、Cloud Storage バケット、App Engine インスタンスなど)。
  • デプロイの履歴
  • 次のカテゴリの整理、アノテーション、検索、選択、フィルタリング、並べ替えを行う方法
    • アセットとアセット プロパティ
    • セキュリティ マーク(Security Command Center でアセットや検出結果にアノテーションを付けられるようにするマーク)
    • 期間

Cloud Asset Inventory は、サポートされているアセットの現在の状態を常に把握しています。Google Cloud コンソールで、検出スキャンの履歴を確認して、アセットを時点間で比較できます。仮想マシンやアイドル状態の IP アドレスなど、活用されていないアセットを探すこともできます。

Security Command Center の Gemini の機能

Security Command Center には Gemini が組み込まれており、検出結果と攻撃経路の概要を提供し、検出された脅威と脆弱性の検索と調査を支援します。

Gemini については、Gemini の概要をご覧ください。

検出結果と攻撃パスの Genmini のサマリー

Security Command Center Enterprise または Premium を使用している場合、Gemini には、Security Command Centerが Vulnerability および Misconfiguration クラスの検出結果に対して生成する各検出結果およびシミュレートされた各攻撃パスの説明が動的に生成されます。

サマリーは自然言語で作成されているため、検出結果とそれに付随する可能性のある攻撃パスをすばやく把握して対処できます。

サマリーは、Google Cloud コンソールの次の場所に表示されます。

  • 個々の検出結果の名前をクリックすると、検出結果の詳細ページの上部にサマリーが表示されます。
  • Security Command Center のプレミアム ティアとエンタープライズ ティアでは、検出結果に攻撃の発生可能性スコアがある場合、攻撃の発生可能性スコアと AI の概要 をクリックすると攻撃パスの右に概要を表示することができます。

AI 生成のサマリーに必要な IAM 権限

AI の概要を表示するには、必須の IAM 権限が必要です。

検出結果には、securitycenter.findingexplanations.get IAM 権限が必要です。この権限を含む最も制限の少ない IAM 事前定義ロールは、セキュリティ センターの検出閲覧者roles/securitycenter.findingsViewer)です。

攻撃パスの場合は、securitycenter.exposurepathexplan.get IAM 権限が必要です。この権限を含む最も制限の少ない IAM 事前定義ロールは、セキュリティ センター露出経路閲覧者roles/securitycenter.exposurePathsViewer)です。

Google Cloud コンソールでは、プレビュー中に、これらの権限をカスタム IAM ロールに追加できません。

カスタムロールに権限を追加するには、Google Cloud CLI を使用します。

Google Cloud CLI を使用してカスタムロールに権限を追加する方法については、カスタムロールの作成と管理をご覧ください。

脅威調査のための自然言語検索

自然言語クエリと Gemini を使用して、脅威の検出結果、アラート、その他の情報の検索を生成できます。詳細については、Google SecOps ドキュメントの自然言語を使用して UDM 検索クエリを生成するをご覧ください。

ケースの AI 調査ウィジェット

検出結果やアラートのケースを理解して調査できるように、Gemini では各ケースの概要と、ケースの調査に役立つ次のステップが表示されます。ケースを表示すると、概要と次のステップが [AI 調査] ウィジェットに表示されます。

セキュリティに関する実用的な分析情報

Security Command Center の組み込みと統合 Google Cloud サービスは、アセットとログを継続的にモニタリングし、セキュリティ侵害インジケーターや既知の脅威、脆弱性、構成ミスと一致する構成の変更を検出します。インシデントのコンテキストを提供するため、検出結果は次のソースの情報で拡充されます。

  • Enterprise ティアと Premium ティアの場合:
    • Security Command Center の検出結果と、それらに含まれる攻撃パスを理解して対処する際に役立つ AI 生成のサマリー。詳細については、AI で生成されるサマリーをご覧ください。
    • 脆弱性の検出結果には、対応する CVE エントリの情報(CVE スコア、脆弱性の潜在的な影響と悪用される可能性に関する Mandiant の評価など)が含まれます。
    • 強力な SIEM および SOAR 検索機能により、脅威と脆弱性を調査し、統合されたタイムライン内の関連エンティティをピボットできます。
  • VirusTotal は、悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する、Alphabet 社のサービスです。
  • MITRE ATT&CK フレームワーク: クラウド リソースに対する攻撃の手法を解明し、修復するためのガイダンスを提供します。
  • Cloud Audit Logs(管理アクティビティ ログデータアクセス ログ

新しい検出結果がほぼリアルタイムで通知されるため、セキュリティ チームはデータを収集し、脅威を特定して、ビジネス上の損害や損失が生じる前に推奨事項に対処できます。

セキュリティ対策と堅牢な API を一元管理することで、次のことが可能になります。

  • 次のことを確認する。
    • 一般に公開されている静的 IP アドレス
    • VM で実行されているイメージ
    • VM が暗号通貨マイニングなどの不正なオペレーションに使用されている証拠の有無
    • 追加または削除されたサービス アカウント
    • ファイアウォールの構成方法
    • 個人を特定できる情報(PII)または機密データを含むストレージ バケット。この機能には、機密データ保護との統合が必要です。
    • クロスサイト スクリプティング(XSS)の脆弱性に対して脆弱なクラウド アプリケーション
    • インターネットに公開されている Cloud Storage バケットはありますか?
  • アセットを保護するために、次の操作を行います。
    • アセットの構成ミスとコンプライアンス違反に関する検証済みの修正手順を実装する。
    • Google Cloud と Palo Alto Networks などのサードパーティ プロバイダによる脅威インテリジェンスを組み合わせて、コストのかかるコンピューティング レイヤの脅威からの企業の保護を強化します。
    • 適切な IAM ポリシーが適用されていることを確認し、ポリシーが誤って構成されたときや予期せず変更されたときにアラートを受け取る。
    • Google Cloud のリソースや、その他のハイブリッドまたはマルチクラウドのリソースに関する、独自のソースまたはサードパーティのソースからの検出結果を統合します。詳細については、サードパーティのセキュリティ サービスの追加をご覧ください。
    • Google Workspace 環境の脅威と Google グループの安全でない変更に対応する。

ID とアクセスの構成ミス

Security Command Center を使用すると、Google Cloud での ID とアクセスの構成ミスの検出と解決が簡単になります。構成ミスの検出結果では、正しく構成されていないプリンシパル(identities)、または Google Cloud のリソースに対する過剰であるか機密性の高い IAM 権限(access)が付与されているプリンシパルを特定します。

クラウド インフラストラクチャ資格管理

ID とアクセス関連のセキュリティの問題の管理は、クラウド インフラストラクチャ資格管理(CIEM)と呼ばれることもあります。Security Command Center には、組織の ID とアクセスの構成のセキュリティを包括的に確認できる CIEM 機能が用意されています。Security Command Center は、Google Cloud やアマゾン ウェブ サービス(AWS)など、複数のクラウド プラットフォームでこれらの機能を提供します。CIEM を使用すると、クラウド環境で過剰な権限を持つプリンシパルを確認できます。CIEM は、Google Cloud IAM に加えて、他の ID プロバイダ(Entra ID(Azure AD)や Okta など)のプリンシパルが Google Cloud リソースに対して持っている権限を調査する機能をサポートしています。複数のクラウド プロバイダの最も重大な ID とアクセスの検出結果は、Google Cloud コンソールの Security Command Center の [概要] ページの [ID とアクセスの検出結果] ペインで確認できます。

Security Command Center の CIEM 機能の詳細については、Cloud インフラストラクチャ資格管理の概要をご覧ください。

ID とアクセスクエリのプリセット

Google Cloud コンソールの [脆弱性] ページでは、関連する脆弱性検出機能または脆弱性カテゴリを表示するクエリ プリセット(定義済みクエリ)を選択できます。それぞれのカテゴリについて、アクティブな検出結果の数が表示されます。

クエリのプリセットの詳細については、クエリのプリセットを適用するをご覧ください。

業界標準のコンプライアンスを管理する

Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。

サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。

CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。

Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。

セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。

コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。

サポートされているセキュリティ標準

Google Cloud

Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。

AWS

Security Command Center は、Amazon Web Services(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。

セキュリティ ニーズに対応する柔軟なプラットフォーム

Security Command Center には、進化するセキュリティ ニーズに対応できるようサービスのユーティリティを向上させるカスタマイズと統合オプションが含まれています。

カスタマイズ設定

カスタマイズ オプションには次のものがあります。

統合オプション

統合オプションには次のものがあります。

Security Command Center を使用するタイミング

次の表に、プロダクト機能の概要、ユースケース、必要なコンテンツをすばやく見つけることができる関連ドキュメントへのリンクを示します。

機能 ユースケース 関連ドキュメント
アセットの特定とレビュー
  • 組織やプロジェクト全体、クラウド プラットフォーム全体のアセット、サービス、データを 1 か所で表示します。
  • サポートされているアセットの脆弱性を評価し、最も重大な問題の修正の優先順位を付ける。

Security Command Center のベスト プラクティス

アクセス制御

Google Cloud コンソールでの Security Command Center の使用
機密データの識別
  • 機密データ保護を使用して、機密データと規制対象データが保管されている場所を確認する。
  • 過失による漏洩を防止し、情報適格性の原則に基づいてアクセスが制御されるようにする。
  • 機密性が中程度または高いデータを含むリソースを、高価値リソースとして自動的に指定します。
 機密データ保護の結果を Security Command Center に送信する
サードパーティの SIEM と SOAR のプロダクトのインテグレーション
  • Security Command Center のデータを外部の SIEM システムや SOAR システムに簡単にエクスポートする。

Security Command Center データのエクスポート

継続的エクスポート
構成ミスの検出

Security Health Analytics の概要

Web Security Scanner の概要

脆弱性に関する検出
ソフトウェアの脆弱性の検出
  • クラウド サービス プロバイダ全体の仮想マシンとコンテナのワークロードでソフトウェアの脆弱性を検出します。
  • 攻撃対象領域に新しい脆弱性や変更が生じた場合に、事前アラートを受け取る。
  • アプリケーションを危険にさらす、クロスサイト スクリプティング(XSS)や Flash インジェクションなどの一般的な脆弱性を検出する。
  • Security Command Center Premium では、Mandiant による悪用の可能性や影響の評価などの CVE 情報を使用して脆弱性の検出結果に優先順位を付けを行います

GKE セキュリティ対策ダッシュボード

VM Manager

Web Security Scanner の概要

脆弱性に関する検出
ID とアクセス制御のモニタリング
  • Google Cloud リソース全体に適切なアクセス制御ポリシーを適用されていることを確認し、ポリシーが誤って構成された場合や、予期せず変更された場合に通知を受け取れるようにする。
  • クエリのプリセットを使用して、ID とアクセスの構成ミスと過剰な権限が付与されたロールの検出結果をすばやく表示できます。

IAM Recommender

アクセス制御

ID とアクセスの構成ミス
脅威の検出
  • インフラストラクチャ内の悪意のあるアクティビティや人物を検出し、アクティブな脅威アラートを受信する。
  • 他のクラウド プラットフォームで脅威を検出する

脅威を管理する

Event Threat Detection の概要

Container Threat Detection の概要
エラー検出
  • Security Command Center とそのサービスの正常な動作を妨げるエラーや構成ミスのアラートを受け取る。
 Security Command Center のエラーの概要
修復の優先順位付け
  • 攻撃の発生可能性スコアを使用して、脆弱性と構成ミスの修正に優先順位を付けます。
  • リソースの攻撃の発生可能性スコアを使用して、ビジネスにとって最も価値の高いリソースを事前に保護します。
 攻撃の発生可能性スコアと攻撃パスの概要
リスクの修正
  • 検証済みで推奨される修正手順を実装して、アセットを迅速に保護する。
  • 検出結果で最も重要な領域に焦点を当て、セキュリティ アナリストが情報に基づいて迅速に優先順位を決定できるようにする。
  • 関連する脆弱性と脅威の情報を拡充して関連付けることで、TTP を特定して取得する。
  • Security Command Center とそのサービスの正常な動作を妨げるエラーや構成ミスを解決する。

脅威の調査と対処

Security Health Analytics の検出結果の修正

Web Security Scanner の検出結果の修正

セキュリティ対応の自動化

Security Command Center のエラーの修復
ポスチャーの管理
  • ワークロードがセキュリティ標準、コンプライアンス規制、組織のカスタム セキュリティ要件に準拠していることを確認します。
  • ワークロードをデプロイする前に、Google Cloud のプロジェクト、フォルダ、組織にセキュリティ管理を適用します。
  • 定義したセキュリティ管理とのズレを継続的にモニタリングして解決します。

セキュリティ ポスチャーの概要

セキュリティ ポスチャーを管理する
サードパーティのセキュリティ ツールの入力

  • Cloudflare、CrowdStrike、Palo Alto Networks の Prisma Cloud、Qualys などの既存のセキュリティ ツールからの出力を Security Command Center に統合します。出力の統合により、以下を検出できます。

    • DDoS 攻撃
    • 不正使用されたエンドポイント
    • コンプライアンス ポリシー違反
    • ネットワーク攻撃
    • インスタンスの脆弱性と脅威

Security Command Center の構成

セキュリティ ソースの作成と管理
リアルタイムの通知
  • Pub/Sub 通知を使用して、メール、SMS、Slack、WebEx などのサービスから Security Command Center のアラートを受信する。
  • 検出結果フィルタを調整して、許可リストに関する検出結果を除外する。

検出結果通知の設定

リアルタイム メールとチャットの通知を有効にする

セキュリティ マークの使用

Security Command Center データのエクスポート

通知のフィルタリング

許可リストにアセットを追加する
REST API とクライアント SDK
  • Security Command Center REST API またはクライアント SDK を使用して、既存のセキュリティ システムやワークフローとの統合を容易にする。

Security Command Center の構成

Security Command Center クライアント ライブラリ

Security Command Center API

データ所在地の制御

データ所在地の要件を満たすには、Security Command Center スタンダードまたはプレミアムを初めて有効にする際に、データ所在地のコントロールを有効にします。

データ所在地の制御を有効にすると、Security Command Center の検出結果、ミュートルール、継続的なエクスポート、BigQuery エクスポートの保存と処理が、Security Command Center がサポートするデータ所在地マルチリージョンのいずれかに制限されます。

詳細については、データ所在地に関する計画をご覧ください。

Security Command Center のサービスティア

Security Command Center には、スタンダード、プレミアム、エンタープライズの 3 つのサービスティアがあります。

選択したティアによって、Security Command Center で使用できる機能とサービスが決まります。

Security Command Center のサービスティアについてご不明な点がある場合は、アカウント担当者または Google Cloud の営業担当者までお問い合わせください。

Security Command Center のティアの使用に関連する費用については、料金をご覧ください。

スタンダード ティア

スタンダード ティアには、以下のサービスと機能が含まれます。

  • Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Web Security Scanner のカスタム スキャン: スタンダード ティアの Web Security Scanner は、ファイアウォール内にない公開 URL と IP アドレスにデプロイされたアプリケーションのカスタム スキャンをサポートします。スキャンでは、すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。
  • Security Command Center のエラー: Security Command Center には、Security Command Center とそのサービスの正常な動作を妨げる構成エラーの検出と修復のガイダンスが用意されています。
  • 継続的エクスポート機能: 新しい検出結果の Pub/Sub へのエクスポートを自動的に管理します。

  • 統合された Google Cloud サービスにアクセスします。これには、次のサービスが含まれます。

    • 機密データの保護は、機密データを検出、分類、保護します。
    • Google Cloud Armor。脅威から Google Cloud のデプロイを保護します。
    • 異常検出。プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報や暗号通貨マイニングなど)を特定します。
    • Policy Controller では、Kubernetes クラスタにプログラム可能なポリシーを適用し、利用できます。
  • GKE セキュリティ対策ダッシュボードの検出結果: Kubernetes ワークロードのセキュリティ構成ミス、対処可能なセキュリティに関する公開情報、コンテナ オペレーティング システムまたは言語パッケージの脆弱性に関する検出結果を表示します。 GKE セキュリティ ポスチャー ダッシュボードの検出結果と Security Command Center のインテグレーションは、プレビューで利用できます。
  • BigQuery との統合。分析のために検出結果を BigQuery にエクスポートします。
  • Sensitive Actions Service は、Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。
  • Security Command Center を組織レベルで有効にすると、組織レベル、フォルダレベル、プロジェクト レベルでユーザーに IAM ロールを付与できます。
  • データ所在地の制御を有効にすると、Security Command Center の検出結果、ミュートルール、継続的なエクスポート、BigQuery エクスポートの保存と処理が、Security Command Center がサポートするデータ所在地マルチリージョンのいずれかに制限されます。

    詳細については、データ所在地に関する計画をご覧ください。

プレミアム ティア

プレミアム ティアには、スタンダード ティアのすべてのサービスと機能に加え、次のサービスや機能が含まれます。

  • 攻撃パス シミュレーションは、潜在的な攻撃者が高価値リソースに到達するための経路を特定することで、脆弱性や構成ミスの検出結果を特定、優先順位付けするのに役立ちます。シミュレーションでは、攻撃の発生可能性スコアを計算して、それらのリソースを露出する検出結果に攻撃の発生可能性スコアを割り当てます。インタラクティブな攻撃パスを使用すると、考えられる攻撃パスを可視化し、パス、関連する検出結果、影響を受けるリソースに関する情報を提供できます。

  • 脆弱性の検出結果には、Mandiant が提供する CVE 評価が含まれており、修復の優先順位付けに役立ちます。

    コンソールの [概要] ページの [上位の CVE の検出結果] セクションには、Mandiant が評価した脆弱性の検出結果が悪用可能性と潜在的な影響ごとにグループ化されて表示されます。 [検出結果] ページでは、CVE ID で検出結果をクエリできます。

    詳細については、CVE の影響と脆弱性悪用可能性による優先順位付けをご覧ください。

  • Event Threat Detection は、脅威インテリジェンス、ML、その他の高度な方法で Cloud Logging と Google Workspace をモニタリングし、マルウェア、暗号通貨のマイニング、データの引き出しなどの脅威を検出します。組み込みの Event Threat Detection 検出機能の完全なリストについては、Event Threat Detection のルールをご覧ください。Event Threat Detection カスタム検出機能を作成することもできます。カスタム検出ルールの作成に使用できるモジュール テンプレートについては、Event Threat Detection のカスタム モジュールの概要をご覧ください。
  • Container Threat Detection は、次のコンテナ ランタイム攻撃を検出します。
    • 追加されたバイナリの実行
    • 追加されたライブラリの読み込み
    • 実行: 追加された悪意のあるバイナリが実行された
    • 実行: 追加された悪意のあるライブラリが読み込まれた
    • 実行: 組み込まれた悪意のあるバイナリが実行された
    • 実行: 変更された悪意のあるバイナリが実行された
    • 実行: 変更された悪意のあるライブラリが読み込まれた
    • 悪意のあるスクリプトの実行
    • リバースシェル
    • 予期しない子シェル

  • 次の Policy Intelligence 機能を使用できます。

    • IAM Recommender の高度な機能は次のとおりです。
      • 基本ロール以外のロールに関する推奨事項
      • 組織、フォルダ、プロジェクト以外のリソースに付与されたロールに関する推奨事項(Cloud Storage バケットに付与されるロールに関する推奨事項など)
      • カスタムロールを提案する推奨事項
      • ポリシーの分析情報
      • ラテラル ムーブメントの分析情報
    • 大規模な Policy Analyzer(組織ごとに 1 日あたり 20 クエリを超える)。この上限はすべての Policy Analyzer ツールで共有されます。
    • 組織のポリシー分析の可視化
  • Cloud Asset Inventory でアセットをクエリできます。
  • Virtual Machine Threat Detection は、VM インスタンスで実行され、悪質な可能性のあるアプリケーションを検出します。

  • プレミアム ティアの Security Health Analytics には、次の機能が含まれています。

    • すべての Security Health Analytics 検出機能に対するマネージド脆弱性スキャン
    • 業界の多くのベスト プラクティスのモニタリング
    • コンプライアンス モニタリングSecurity Health Analytics の検出機能は、一般的なセキュリティ ベンチマークのコントロールにマッピングされます。
    • カスタム モジュールのサポート。独自の Security Health Analytics 検出機能を作成できます。

    プレミアム ティアの Security Health Analytics は、業界標準のコンプライアンスを管理するで説明されている標準をサポートしています。

  • プレミアム ティアの Web Security Scanner には、スタンダード ティアのすべての機能と、OWASP トップ 10 のカテゴリに対応する追加の検出項目が含まれます。 Web Security Scanner では、自動的に構成されるマネージド スキャンも行われます。

  • Google Cloud アセット全体のコンプライアンス モニタリング

    一般的なセキュリティ ベンチマークとセキュリティ標準のコンプライアンスを測定するために、Security Command Center の脆弱性スキャナの検出機能は、一般的なセキュリティ標準コントロールにマッピングされています。

    標準のコンプライアンスの確認、遵守していないコントロールの特定、レポートのエクスポートなどを行うことができます。詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。

  • 拡張アセット モニタリングが必要になった場合は、追加の Cloud Asset Inventory 割り当てをリクエストできます。
  • セキュリティ ポスチャー サービスを使用すると、Google Cloud のセキュリティの全体的なステータスを定義、評価、モニタリングできます。セキュリティ ポスチャー サービスを使用するには、組織レベルで Security Command Center のプレミアム ティアを有効にする必要があります。
  • IaC 検証を使用すると、Google Cloud 組織で定義した組織のポリシーと Security Health Analytics 検出機能に照らして Infrastructure as Code(IaC)を検証できます。IaC 検証を使用するには、組織レベルで Security Command Center プレミアム ティアを有効にする必要があります。
  • VM Manager の脆弱性レポート
    • VM Manager を有効にすると、このサービスでは、脆弱性レポート(プレビュー版)からの検出結果を Security Command Center に自動的に書き込みます。このレポートによって、Compute Engine 仮想マシンにインストールされているオペレーティング システムの脆弱性が特定されます。詳細については、VM Manager をご覧ください。

エンタープライズ ティア

エンタープライズ ティアは、SOC アナリスト、脆弱性アナリスト、その他のクラウド セキュリティ専門家が、複数のクラウド サービス プロバイダのセキュリティを 1 か所で管理できる、完全なクラウドネイティブ アプリケーション保護プラットフォーム(CNAPP)です。

エンタープライズ ティアでは、検出と調査の機能、ケース管理のサポート、体制管理(カスタム体制ルールの定義とデプロイ、脆弱性や構成ミスがクラウド環境にもたらすリスクの定量化と可視化など)を提供します。

エンタープライズ ティアには、スタンダード ティアとプレミアム ティアのすべてのサービスと機能に加え、次の追加サービスや機能が含まれます。

エンタープライズ ティアの機能とサービスの概要

エンタープライズ ティアには、一般提供が開始されたすべてのスタンダード ティアおよびプレミアム ティアのサービスと機能が含まれます。

エンタープライズ ティアにより、Security Command Center に次のサービスと機能が追加されます。

  • Security Command Center Risk Engine による有害な組み合わせの検出。詳細については、有害な組み合わせの概要をご覧ください。
  • マルチクラウド サポートSecurity Command Center を AWS などの他のクラウド プロバイダに接続して、脅威、脆弱性、構成ミスを検出できます。また、他のプロバイダで価値の高いリソースを指定した後、攻撃の発生可能性スコアと攻撃パスを使用して攻撃の発生可能性を評価することもできます。
  • クラウド環境向けの SIEM(セキュリティ情報およびイベント管理)機能。複数のクラウド環境の脅威のログやその他のデータをスキャンし、脅威検出ルールを定義して、蓄積されたデータを検索します。詳細については、Google SecOps SIEM のドキュメントをご覧ください。
  • クラウド環境用の SOAR(セキュリティ オーケストレーション、自動化、対応)機能。ケースの管理、レスポンス ワークフローの定義、回答データの検索を行います。詳細については、Google SecOps SOAR のドキュメントをご覧ください。
  • クラウド環境向けの CIEM(Cloud Infrastructure Entitlement Management)機能。正しく構成されていないプリンシパル アカウント(ID)や、クラウド リソースに対する過剰であるか機密性の高い IAM 権限(アクセス)が付与されているプリンシパル アカウント(ID)を特定します。続きは、Cloud Infrastructure Entitlement Management の概要をご覧ください。
  • 次の組み込みの Google Cloud サービスと統合された Google Cloud サービスにより、クラウド環境全体で VM とコンテナのソフトウェア脆弱性の検出を強化します。
    • Google Kubernetes Engine(GKE)Enterprise エディション
    • AWS の脆弱性評価
    • VM Manager

Google Security Operations を利用したエンタープライズ テイアの機能

Security Command Center のエンタープライズ ティアのケース管理機能、ハンドブック機能、その他の SIEM と SOAR 機能は、Google Security Operations を利用しています。これらの機能の一部を使用すると、ウェブ インターフェースに Google SecOps の名前が表示され、ガイダンスとして Google SecOps のドキュメントが示される場合があります。

特定の Google SecOps 機能は、Security Command Center でサポートされていないか、制限されていますが、Enterprise ティアの早期サブスクリプションでは、使用が無効になることも制限されることもありません。次の機能は、記載されている制限に従ってのみ使用してください。

  • クラウドログの取り込みは、次のようなクラウド脅威検出に関連するログに制限されます。

    • Google Cloud

      • Cloud Audit Logs: 管理アクティビティ ログ
      • Cloud Audit Logs: データアクセス ログ
      • Compute Engine syslog
      • GKE 監査ログ

    • Google Workspace

      • Google Workspace のイベント
      • Google Workspace のアラート

    • AWS

      • CloudTrail 監査ログ
      • Syslog
      • 認証ログ
      • GuardDuty イベント

  • キュレーテッド検出は、クラウド環境内の脅威を検出するものに限定されます。

  • Google Cloud Marketplace のインテグレーションは次のものに限定されます。

    • Siemplify
    • ツール
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • 関数
    • Google Cloud IAM
    • メール V2
    • Google Cloud コンピューティング
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Siemplify Utilities
    • Service Now
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2

  • カスタム単一イベントルールの数は、20 個に制限されています。

  • UEBA 向けリスク分析(ユーザーとエンティティの行動分析)は利用できません。

  • Applied Threat Intelligence は利用できません。

  • Google SecOps の Gemini サポートは、自然言語検索とケース調査の概要に限定されています。

  • データの保持期間は 3 か月間です。

Security Command Center の有効化レベル

Security Command Center は、個別のプロジェクト(プロジェクト レベルでの有効化)または組織全体(組織レベルでの有効化)で有効にできます。

エンタープライズ ティアでは、組織レベルでの有効化が必要です。

Security Command Center の有効化の詳細については、Security Command Center の有効化の概要をご覧ください。

次のステップ