Cloud Hub の [セキュリティとコンプライアンス] ページでは、プロジェクトのセキュリティとコンプライアンスの状況を一元的に確認できます。このページには、Security Command Center の重要な分析情報が集約されており、重大なリスクを迅速に特定できます。また、Security Command Center に直接移動して、セキュリティの問題に対処することもできます。
このページのコンセプトの詳細については、Security Command Center の概要をご覧ください。
始める前に
Cloud Hub で Security Command Center のデータを表示するには、次の手順が完了していることを確認します。
- プロジェクトがあることを確認し、そのプロジェクトの Security Command Center サービスティアを確認します。
- 特定の Identity and Access Management(IAM)のロールと権限を取得する。
Security Command Center のサービスティア
Security Command Center のサービスティアは、Standard-legacy、Standard、Premium、Enterprise の複数があります。
Security Command Center Standard はデフォルトで有効になっていますが、有効化タイプがアップグレードされている可能性があります。有効化の種類を確認するには、現在の有効化の種類を確認するをご覧ください。ティアを変更するには、Security Command Center のティア構成を変更するをご覧ください。Security Command Center Premium または Enterprise にアップグレードすると、セキュリティとコンプライアンスに関する追加の分析情報を確認できます。
必要なロール
Cloud Hub で Security Command Center のセキュリティとコンプライアンスのデータを表示するために必要な権限を取得するには、プロジェクトに対する Cloud Hub オペレーター (roles/cloudhub.operator)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
この事前定義ロールには、Cloud Hub で Security Command Center のセキュリティとコンプライアンスのデータを表示するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Cloud Hub で Security Command Center のセキュリティとコンプライアンスのデータを表示するには、次の権限が必要です。
-
securitycenter.findingsViewer -
securitycenter.assetsViewer -
securitycenter.attackPathsViewer -
cloudsecuritycompliance.viewer
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
Cloud Hub の Security Command Center の検出結果について
検出結果は、Security Command Center サービスが検出した潜在的なセキュリティ問題の記録です。Cloud Hub の [セキュリティとコンプライアンス] ページには、プロジェクトに関連する最も重大な検出結果が表示されるため、優先度の高いリスクに集中できます。詳細な調査と修復のワークフローについては、Cloud Hub の検出結果から Security Command Center インターフェースに移動できます。
[セキュリティとコンプライアンス] ページを使用する
セキュリティ ステータスを評価するには、[セキュリティとコンプライアンス] ページのカードを使用して、リスクの確認、コンプライアンスのモニタリング、修復作業の優先順位付けを行います。
重大度別に検出結果を表示する
[重大度別の検出結果] カードを使用すると、最新かつ最も重大なセキュリティ リスクに集中できます。このカードには検出結果が一覧表示されます。最も最近検出された検出結果と、重大度が Critical または High の検出結果が優先的に表示されます。
- Google Cloud コンソールで、[セキュリティとコンプライアンス] ページに移動します。
- [重大度別の検出結果] カードで検出結果のリストを確認します。各エントリには、検出結果の重大度、カテゴリ、クラス、作成時間、影響を受けるリソース、リソースタイプが含まれます。
- 調査を特定の領域に絞り込むには、ドメイン フィルタ(CVE の脆弱性、データ、AI Security、ID)を選択します。
Security Command Center のサービスティアによって、使用できるドメインデータが決まります。詳しくは、以下の表をご覧ください。
| Security Command Center | ドメイン |
|---|---|
| Standard-legacy | すべてのリスク、CVE 脆弱性、ID |
| 標準 | すべてのリスク、CVE 脆弱性、ID、データ、AI Security |
| プレミアム | すべてのリスク、CVE 脆弱性、ID、データ、AI Security |
| Enterprise | すべてのリスク、CVE 脆弱性、ID、データ、AI Security |
[検出結果のカテゴリ] をクリックすると、Security Command Center で詳細と修復手順を確認できます。検出結果の操作については、検出結果を確認して管理するをご覧ください。
コンプライアンス フレームワークをモニタリングする
[フレームワーク] カードでは、業界標準とベンチマークに対するコンプライアンスをモニタリングできます。これにより、注意が必要なコンプライアンス フレームワークを特定できます。
- Google Cloud コンソールで、[セキュリティとコンプライアンス] ページに移動します。
- [フレームワーク] カードで、リストされている各フレームワークのコンプライアンス スコアと過去 30 日間の傾向を確認します。この情報は、コンプライアンスの状況を長期にわたって追跡するのに役立ちます。
- 特定のフレームワークを調査するには、その名前をクリックして、Security Command Center の [コンプライアンス] ページに移動します。
上位の不合格クラウド コントロールに優先順位を付ける
[上位の不合格クラウド コントロール] カードは、最初に対処すべきセキュリティ コントロールの優先順位付けに役立ちます。
- Google Cloud コンソールで、[セキュリティとコンプライアンス] ページに移動します。
- [上位の不合格クラウド コントロール] カードには、未解決の検出結果が最も多いコントロールが表示されます。このリストを使用して、コンプライアンス スコアを改善するために対応すべき失敗したコントロールを特定します。[Security Command Center でクラウド コントロールを表示] をクリックして、Security Command Center でコントロールの詳細を確認します。
次のステップ
- Security Command Center の詳細を確認する。
- Security Command Center がセキュリティ問題の検出に使用する検出サービスについて説明します。