セキュリティ ポスチャーによって、クラウド ネットワークやクラウド サービスなどのクラウド アセットのセキュリティ ステータスを定義して管理できます。セキュリティ ポスチャーを使用すると、現在のクラウド セキュリティを定義済みのベンチマークに照らして評価し、組織に必要なセキュリティ レベルを維持できます。セキュリティ ポスチャーにより、定義済みのベンチマークからの逸脱を検知し、緩和できます。ビジネス上のセキュリティ ニーズに合ったセキュリティ ポスチャーを定義して維持することで、組織のサイバーセキュリティ リスクを抑え、攻撃の発生を防止できます。
Google Cloud では、Security Command Center のセキュリティ ポスチャー サービスを使用して、セキュリティ ポスチャーを定義してデプロイし、Google Cloud リソースのセキュリティ ステータスをモニタリングして、定義した対策からの逸脱(または不正な変更)に対処できます。
セキュリティ対策サービスの概要
セキュリティ ポスチャー サービスは、Security Command Center Premium ティアの組み込みサービスで、Google Cloud でのセキュリティの全体的なステータスを定義、評価、モニタリングできます。セキュリティ ポスチャー サービスは、Security Command Center Premium ティアまたは Enterprise ティアのサブスクリプションを購入し、組織レベルで Security Command Center を有効にした場合にのみ利用できます。
セキュリティ ポスチャー サービスを使用すると、次の目標を達成できます。
ワークロードがセキュリティ標準、コンプライアンス規制、組織のカスタム セキュリティ要件に準拠していることを確認します。
ワークロードをデプロイする前に、Google Cloud のプロジェクト、フォルダ、組織にセキュリティ管理を適用します。
定義したセキュリティ管理とのズレを継続的にモニタリングして解決します。
組織レベルで Security Command Center を有効にすると、セキュリティ対策サービスが自動的に有効になります。
セキュリティ対策サービスのコンポーネント
セキュリティ対策サービスには、次のコンポーネントが含まれています。
対策: 組織がセキュリティ基準を満たす必要がある予防的制御と検出制御を適用する 1 つ以上のポリシーセット。組織レベル、フォルダレベル、またはプロジェクト レベルで対策をデプロイできます。ポスチャー テンプレートのリストについては、事前定義された体制テンプレートをご覧ください。
ポリシーセット: Google Cloud における一連のセキュリティ要件と関連する制御。通常、ポリシーセットは、特定のセキュリティ基準やコンプライアンス規則の要件を満たすことができるすべてのポリシーで構成されています。
ポリシー: Google Cloud のリソースの動作を制御またはモニタリングする特定の制約または制限。ポリシーは、予防的(組織のポリシーの制約など)または検出的(Security Health Analytics の検出機能など)にできます。サポートされているポリシーは次のとおりです。
カスタム制約を含む組織のポリシーの制約
Security Health Analytics の検出機能(カスタム モジュールを含む)
対策のデプロイ: 対策を作成したら、その対策を使用して管理する組織、フォルダ、またはプロジェクトに対策を適用できるように、対策をデプロイします。
次の図は、セキュリティ対策のコンポーネント例を示しています。
事前定義された対策テンプレート
セキュリティ ポスチャー サービスには、コンプライアンス標準や、エンタープライズ基盤ブループリントの推奨事項など、Google がおすすめする標準に準拠する事前定義されたポスチャー テンプレートが含まれています。これらのテンプレートを使用して、ビジネスに適用するセキュリティ ポスチャーを作成できます。次の表に、ポスチャー テンプレートを示します。
| ポスチャー テンプレート | テンプレート名 | 説明 |
|---|---|---|
| デフォルトでセキュリティを確保(基本) | secure_by_default_essential |
このテンプレートでは、デフォルト設定に起因する一般的な構成ミスや、一般的なセキュリティ問題の防止に役立つポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
| デフォルトでセキュリティを確保(拡張) | secure_by_default_extended |
このテンプレートでは、デフォルト設定に起因する一般的な構成ミスや、一般的なセキュリティ問題の防止に役立つポリシーが実装されます。このテンプレートをデプロイする前に、環境に合わせてカスタマイズする必要があります。 |
| 安全な AI に関する推奨事項(基本) | secure_ai_essential |
このテンプレートでは、Gemini と Vertex AI のワークロードの保護に役立つポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
| 安全な AI に関する推奨事項、拡張 | secure_ai_extended |
このテンプレートでは、Gemini と Vertex AI のワークロードの保護に役立つポリシーが実装されます。このテンプレートをデプロイする前に、環境に合わせてカスタマイズする必要があります。 |
| BigQuery に関する推奨事項(基本) | big_query_essential |
このテンプレートでは、BigQuery の保護に役立つポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
| Cloud Storage に関する推奨事項(基本) | cloud_storage_essential |
このテンプレートでは、Cloud Storage の保護に役立つポリシーが実装されます。 このテンプレートは、変更を加えることなくデプロイできます。 |
| Cloud Storage に関する推奨事項(拡張) | cloud_storage_extended |
このテンプレートでは、Cloud Storage の保護に役立つポリシーが実装されます。 このテンプレートをデプロイする前に、環境に合わせてカスタマイズする必要があります。 |
| VPC に関する推奨事項(基本) | vpc_networking_essential |
このテンプレートでは、Virtual Private Cloud(VPC)の保護に役立つポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
| VPC に関する推奨事項(拡張) | vpc_networking_extended |
このテンプレートでは、VPC の保護に役立つポリシーが実装されます。このテンプレートをデプロイする前に、環境に合わせてカスタマイズする必要があります。 |
| Center for Internet Security(CIS)Google Cloud Computing Platform Benchmark v2.0.0 の推奨事項 | cis_2_0 |
このテンプレートでは、Google Cloud 環境が CIS Google Cloud Computing Platform Benchmark v2.0.0 と一致しない場合を検出するためのポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
| NIST SP 800-53 標準の推奨事項 | nist_800_53 |
このテンプレートでは、Google Cloud 環境が米国国立標準技術研究所(NIST)SP 800-53 標準に準拠していない場合に検出するためのポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
| ISO 27001 標準の推奨事項 | iso_27001 |
このテンプレートでは、Google Cloud 環境が国際標準化機構(ISO)27001 標準に準拠していない場合に検出するためのポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
| PCI DSS 標準の推奨事項 | pci_dss_v_3_2_1 |
このテンプレートでは、Google Cloud 環境が Payment Card Industry Data Security Standard(PCI DSS)バージョン 3.2.1 およびバージョン 1.0 に準拠していない場合に検出するためのポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
対策をデプロイしてブレをモニタリングする
Google Cloud リソースですべてのポリシーを使用して対策を適用するには、対策をデプロイします。対策を適用するリソース階層のレベル(組織、フォルダ、プロジェクト)を指定できます。各組織、フォルダ、プロジェクトにデプロイできる対策は 1 つのみです。
対策は、子フォルダとプロジェクトに継承されます。したがって、組織レベルとプロジェクト レベルで対策をデプロイすると、両方の対策内のすべてのポリシーがプロジェクト内のリソースに適用されます。ポリシーの定義に違いがある場合(たとえば、ポリシーが組織レベルでは許可され、プロジェクト レベルでは拒否されるように設定されている)、プロジェクト内のリソースでは下位レベルの対策が使用されます。
ベスト プラクティスとして、組織レベルで、ビジネス全体に適用できるポリシーを含むセキュリティ対策をデプロイすることをおすすめします。必要に応じて、より厳格なポリシーをフォルダやプロジェクトに適用できます。たとえば、エンタープライズ基盤のブループリントを使用してインフラストラクチャを設定する場合は、フォルダ内のすべてのプロジェクトの暗号鍵を含む特定のプロジェクト(prj-c-kms など)を作成します。セキュリティ対策を使用して、common フォルダと環境フォルダ(development、nonproduction、production)に対して constraints/gcp.restrictCmekCryptoKeyProjects 組織ポリシーの制約を設定して、すべてのプロジェクトで鍵プロジェクトの鍵のみが使用されるようにします。
対策をデプロイすると、環境で、定義した対策からのずれの有無をモニタリングできます。Security Command Center は、ドリフトのインスタンスを検出結果として報告します。検出結果は確認、フィルタ、解決できます。さらに、これらの検出結果は、Security Command Center から他の検出結果をエクスポートする場合と同じ方法でエクスポートできます。詳細については、インテグレーション オプションと Security Command Center データのエクスポートをご覧ください。
Vertex AI と Gemini でセキュリティ対策を使用する
セキュリティ対策を使用すると、AI ワークロードのセキュリティを維持できます。セキュリティ対策サービスには、次が含まれます。
AI ワークロードに固有の事前定義された対策のテンプレート。
[概要] ページのペインでは、AI に適用される Security Health Analytics のカスタム モジュールで検出された脆弱性をモニタリングでき、対策で定義されている Vertex AI 組織のポリシーからのブレを表示できます。
AWS でセキュリティ対策サービスを使用する
Security Command Center Enterprise を脆弱性検出のために AWS に接続する場合、Security Health Analytics サービスには、AWS 環境をモニタリングして検出結果を作成できる組み込みの検出機能が含まれています。
対策ファイルを作成または変更するときに、AWS に固有の Security Health Analytics 検出機能を含めることができます。この対策ファイルは組織レベルでデプロイする必要があります。
セキュリティ対策サービスの上限
セキュリティ対策サービスには、次の上限が含まれます。
- 1 つの組織に最大 100 件の対策。
- 1 つの対策で最大 400 件のポリシー。
- 1 つの組織で最大 1,000 件の対策のデプロイ。