Cloud Hub の [セキュリティとコンプライアンス] ページでは、プロジェクトのセキュリティとコンプライアンスの状況を一元的に確認できます。このページには、Security Command Center の重要な分析情報が集約されているため、重大なリスクをすばやく特定できます。 また、Security Command Center に直接移動して、セキュリティの問題に対処することもできます。
このページのコンセプトの詳細については、Security Command Center の概要をご覧ください。
始める前に
Cloud Hub で Security Command Center のデータを表示するには、次の手順を完了していることを確認してください。
- プロジェクトがあることを確認し、そのプロジェクトの Security Command Center のサービスティアを確認します。
- 特定の Identity and Access Management(IAM)のロールと権限を取得する。
Security Command Center のサービスティア
Security Command Center のサービスティアは、 Standard-legacy、Standard、Premium、Enterprise のいずれかです。
Security Command Center Standard はデフォルトで有効になっていますが、有効化タイプがアップグレードされている可能性があります。有効化タイプを確認するには、 現在の有効化タイプを表示するをご覧ください。ティアを変更するには、Security Command Center のティア構成を変更するをご覧ください。 Security Command Center Premium または Enterprise にアップグレードすると、セキュリティとコンプライアンスに関する追加の分析情報を確認できます。
必要なロール
Cloud Hub で Security Command Center のセキュリティとコンプライアンスのデータを表示するために必要な権限を取得するには、プロジェクトに対するCloud Hub オペレーター (roles/cloudhub.operator)IAM ロールの付与を管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
この事前定義ロールには Cloud Hub で Security Command Center のセキュリティとコンプライアンスのデータを表示するために必要な権限が含まれています。必要とされる正確な権限については、必要な権限セクションを開いてご確認ください。
必要な権限
Cloud Hub で Security Command Center のセキュリティとコンプライアンスのデータを表示するには、次の権限が必要です。
-
securitycenter.findingsViewer -
securitycenter.assetsViewer -
securitycenter.attackPathsViewer -
cloudsecuritycompliance.viewer
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
Cloud Hub の Security Command Center の検出結果について
検出結果は、Security Command Center サービスが検出した潜在的なセキュリティ問題の記録です。Cloud Hub の [セキュリティとコンプライアンス] ページには、プロジェクトに関連する最も重大な検出結果が表示されるため、優先度の高いリスクに集中できます。詳細な調査と修復ワークフローについては、Cloud Hub の検出結果から Security Command Center インターフェースに移動できます。
[セキュリティとコンプライアンス] ページを使用する
セキュリティ ステータスを評価するには、[セキュリティとコンプライアンス] ページのカードを使用して、リスクの確認、コンプライアンスのモニタリング、修復作業の優先順位付けを行います。
重大度別に検出結果を表示する
[重大度別の検出結果]
カードを使用すると、最新かつ最も深刻なセキュリティリスクに集中できます。このカードには検出結果が一覧表示され、最近検出されたものと、Critical または High 重大度評価のものに高い優先順位が付けられます。
- コンソールで、[セキュリティとコンプライアンス] ページに移動します。 Google Cloud
- [重大度別の検出結果] カードの検出結果のリストを確認します。各エントリには、検出結果の重大度、カテゴリ、クラス、作成時間、影響を受けるリソース、リソースタイプが含まれます。
- 調査を特定の領域に絞り込むには、ドメイン フィルタ( [CVE の脆弱性]、[データ]、[AI Security]、または [ID])を選択します。
Security Command Center のサービスティアによって、使用できるドメインデータが決まります。詳細については、次の表をご覧ください。
| Security Command Center | ドメイン |
|---|---|
| Standard-Legacy | すべてのリスク、CVE の脆弱性、ID |
| 標準 | すべてのリスク、CVE の脆弱性、ID、データ、AI Security |
| プレミアム | すべてのリスク、CVE の脆弱性、ID、データ、AI Security |
| Enterprise | すべてのリスク、CVE の脆弱性、ID、データ、AI Security |
[検出結果のカテゴリ] をクリックすると、Security Command Center で詳細と修復手順を確認できます。検出結果の操作については、 検出結果を確認して管理するをご覧ください。
コンプライアンス フレームワークをモニタリングする
[フレームワーク] カードを使用すると、業界標準とベンチマークに対するコンプライアンスをモニタリングできます。これにより、注意が必要なコンプライアンス フレームワークを特定できます。
- コンソールで、[セキュリティとコンプライアンス] ページに移動します。 Google Cloud
- [フレームワーク] カードで、リストされている各フレームワークのコンプライアンス スコアと過去 30 日間の傾向を確認します。この情報は、コンプライアンスの状況を長期にわたって追跡するのに役立ちます。
- 特定のフレームワークを調査するには、その名前をクリックして Security Command Center の [コンプライアンス] ページに移動します。
上位の不合格クラウド コントロールの優先順位付け
[上位の不合格クラウド コントロール] カードを使用すると、最初に対処するセキュリティ コントロールの優先順位を付けることができます。
- コンソールで、[セキュリティとコンプライアンス] ページに移動します。 Google Cloud
- [上位の不合格クラウド コントロール] カードには、未解決の検出結果が最も多いコントロールが表示されます。 このリストを使用して、コンプライアンス スコアを改善するために対応する不合格コントロールを決定します。[Security Command Center でクラウド コントロールを表示] をクリックすると、Security Command Center でコントロールを詳しく調べることができます。
次のステップ
- Security Command Center の詳細。
- Security Command Center がセキュリティ問題の検出に使用する検出サービス について確認する。