このドキュメントでは、 Google Cloud コンソールを使用して組織で Security Command Center Premium を有効にする方法について説明します。Security Command Center Premium を有効にすると、さまざまなサービスが自動的に有効になります。
Security Command Center Premium の詳細については、Security Command Center のサービスティアをご覧ください。
別のサービスティアで Security Command Center を有効にするには、以下をご覧ください。
プロジェクトでのみ Security Command Center を有効にする場合は、プロジェクトで Security Command Center を有効にするをご覧ください。
始める前に
組織で Security Command Center Premium を有効にする前に、次の操作を行う必要があります。
- 特定の Identity and Access Management(IAM)のロールと権限を取得する。
- 組織に適用される場合は、組織のポリシーを確認する。
- データ所在地を有効にする予定がある場合は、データ所在地の計画を確認して使用するロケーションを決定する。
- 顧客管理の暗号鍵(CMEK)を使用する予定がある場合は、Security Command Center で CMEK を有効にするために必要なタスクを完了する。
必要なロール
組織で Security Command Center を有効にするために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
-
セキュリティ センター管理者(
roles/securitycenter.admin) -
組織管理者(
roles/resourcemanager.organizationAdmin)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
組織のポリシーを確認する
組織のポリシーがドメイン別に ID を制限するように設定されている場合は、次のことを確認します。
- 許可されたドメイン内にあるアカウントで Google Cloud コンソールにログインする必要があります。
- サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、
@*.gserviceaccount.comサービス アカウントを使用するサービスがリソースにアクセスできるようになります。
組織のポリシーがリソース使用量を制限するように設定されている場合は、次の API がポリシーで許可されていることを確認します。
cloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
Security Command Center Premium を有効にする
組織の Security Command Center Premium は、 Google Cloud コンソールで有効にできます。
Google Cloud コンソールで、Security Command Center のスタートページに移動します。
Security Command Center Premium を有効にする組織を選択し、[選択] をクリックします。
スタートページで [Premium の無料トライアルを開始] を選択します。
省略可: データ所在地とデータ暗号化を有効にするには、[詳細を表示] をクリックします。
データ所在地について詳しくは、データ所在地の計画をご覧ください。
データ暗号化の詳細については、Security Command Center の CMEK を有効にするをご覧ください。組織で CMEK 組織のポリシーを使用している場合は、CMEK または特定の鍵のみを選択できることがあります。Security Command Center で CMEK を使用しない場合、Google はGoogle-owned and Google-managed encryption keysを使用して保存データを暗号化します。
[有効化] をクリックします。
結果が利用可能になると、コンソールに表示されます。その後、 Google Cloud コンソールを使用して、 Google Cloud のセキュリティとデータリスクを確認して修正できます。
Security Command Center は、24 時間以内に最初のフルスキャンを完了します。一部のサービスでスキャンが開始されるまでに時間がかかる場合があります。詳細については、Security Command Center に検出結果が表示されるタイミングをご覧ください。
Security Command Center Premium のサービス
Security Command Center Premium を有効にすると、特定のサービスが自動的に有効になり、これらのサービスがユーザーに代わって動作できるようにサービス エージェントが作成されます。
サービス
Security Command Center は、検出サービスを使用して、クラウド環境のセキュリティ問題を検出します。Security Command Center Premium を有効にすると、次のサービスが有効になります。
-
Container Threat Detection を機能させるには、クラスタがサポートされているバージョンの Google Kubernetes Engine(GKE)上にあり、GKE クラスタが正しく構成されていることを確認してください。詳細については、Container Threat Detection を使用するをご覧ください。
-
Event Threat Detection は Google Cloudによって生成されたログに依存します。Event Threat Detection を使用するには、組織、フォルダ、プロジェクトのログを有効にします。
使用方法と最適化の手順については、各サービスのドキュメントをご覧ください。たとえば、Event Threat Detection はGoogle Cloudによって生成されたログに依存します。一部のログは常時有効になっているため、Event Threat Detection を有効にすると、すぐにこれらのログのスキャンを開始できます。多くのデータアクセス監査ログなど、他のログは、Event Threat Detection でスキャンする前に有効にする必要があります。
このセクションで説明するサービスと追加のサービスは、Security Command Center サービスを構成するの手順に沿って有効または無効にできます。
サービス エージェント
サービス エージェントは、ユーザーに代わってリソースにアクセスするために Google Cloud によって作成および管理されるサービス アカウントです。サービス エージェントが作成されると、Security Command Center は必要な IAM ロールをサービス エージェントに自動的に付与します。Security Command Center Premium の有効化には、次のサービス エージェントが含まれます。
- Security Health Analytics と脆弱性評価の Cloud Security Command Center サービス エージェント
- コンプライアンス マネージャーの Cloud Security Compliance サービス エージェント
- Container Threat Detection の Container Threat Detection サービス エージェント
- DSPM 用のデータ セキュリティ ポスチャー管理サービス エージェント
Security Command Center サービスを変更する
このセクションでは、次のシナリオについて説明します。
プレミアム ティアの有効化をプロジェクト レベルから組織レベルに変更する
期限切れのプレミアム ティア サブスクリプションを使用している組織として、従量課金制の料金に変更する
スタンダード ティアからプレミアム ティアにアップグレードする
プレミアム ティアからスタンダード ティアにダウングレードする
これらの変更は料金に影響する可能性があります。詳細については、Security Command Center の料金をご覧ください。
プレミアム ティアの組織レベルでの有効化に変更する
プロジェクト レベルの有効化から組織レベルの有効化に切り替えるには、組織レベルで Security Command Center Premium を有効にするの手順に沿って操作します。
プレミアム ティアの従量課金制オプションに変更する
組織で Security Command Center Premium ティア サブスクリプションを使用している場合は、サブスクリプションの有効期限が切れる前に従量課金制に登録して、Security Command Center Premium に中断なくアクセスできます。
従量課金制に登録する手順は次のとおりです。
Google Cloud コンソールで、[階層の詳細] ページに移動します。
料金オプションを変更する組織を選択し、[選択] をクリックします。
[ティアの管理] をクリックします。
[ティアを管理] ペインで、[プレミアム] が選択されていることを確認し、[更新] をクリックします。
これらの手順を完了し、サブスクリプションの有効期限が切れると、従量課金制の料金が適用されます。
スタンダード ティアからプレミアム ティアにアップグレードする
Security Command Center Standard ティアから Security Command Center Premium ティアに変更するには、次の操作を行います。
Google Cloud コンソールで、[階層の詳細] ページに移動します。
Security Command Center のティアをアップグレードする組織を選択し、[選択] をクリックします。
[プレミアムにアップグレード] をクリックします。
[ティアの管理] ペインで、[更新] をクリックします。
プレミアム ティアからスタンダード ティアにダウングレードする
Security Command Center Premium ティアの従量課金制支払いオプションから Security Command Center Standard ティアに変更するには、次の操作を行います。サブスクリプションをご利用の場合、デフォルトでは、サブスクリプションの有効期限が切れると自動的にスタンダード ティアにダウングレードされます
Security Command Center のスタンダード ティアにダウングレードすると、プレミアム ティアのサービスと機能にアクセスできなくなります。この変更を行う前に、組織のセキュリティ リスク プロファイルに悪影響を与えないことを確認してください。
Security Command Center Standard ティアは無料ですが、間接的な費用が発生する可能性があります。詳細については、Security Command Center に関連する間接的な費用をご覧ください。
Google Cloud コンソールで、[階層の詳細] ページに移動します。
Security Command Center のティアをダウングレードする組織を選択し、[選択] をクリックします。
[ティアの管理] をクリックします。
[ティアを管理] ペインで、スタンダード ティアの [選択] をクリックし、[更新] をクリックします。
Security Command Center の無効化
Security Command Center を無効にするには、Cloud カスタマーケアにお問い合わせください。
次のステップ
- Security Command Center サービスの構成方法を確認する。
- Google Cloud コンソールで Security Command Center を使用する方法を確認する。
- Security Command Center の検出結果を操作する方法を確認する。
- Google Cloud セキュリティ ソースについて確認する。
- Model Armor が AI ワークロードを保護する仕組みについて確認する。
- Sensitive Data Protection を有効にして、センシティブ データの保護に役立てる。
- Cloud Billing を使用して費用をモニタリングする方法を学習する。