組織で Security Command Center のスタンダードティアを有効にする

このドキュメントでは、 Google Cloud コンソールを使用して組織で Security Command Center Standard を有効にする方法について説明します。

Security Command Center Standard の詳細については、Security Command Center のサービスティアをご覧ください。

別のサービスティアで Security Command Center を有効にするには、以下をご覧ください。

プロジェクトで Security Command Center を有効にする場合は、プロジェクトで Security Command Center を有効にするをご覧ください。

始める前に

組織で Security Command Center Standard を有効にする前に、次の操作を行う必要があります。

特定の Identity and Access Management（IAM）のロールと権限を取得する。
組織に適用される場合は、組織のポリシーを確認する。
データ所在地を有効にする予定がある場合は、データ所在地の計画を確認して使用するロケーションを決定する。
顧客管理の暗号鍵（CMEK）を使用する予定がある場合は、Security Command Center で CMEK を有効にするために必要なタスクを完了する。

必要なロール

組織で Security Command Center を有効にするために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。

セキュリティセンター管理者（roles/securitycenter.admin）
組織管理者（roles/resourcemanager.organizationAdmin）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

組織のポリシーを確認する

組織のポリシーがドメイン別に ID を制限するように設定されている場合は、次のことを確認します。

許可されたドメイン内にあるアカウントで Google Cloud コンソールにログインする必要があります。
サービスアカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、@*.gserviceaccount.com サービスアカウントを使用するサービスがリソースにアクセスできるようになります。

組織のポリシーがリソース使用量を制限するように設定されている場合は、次の API がポリシーで許可されていることを確認します。

securitycenter.googleapis.com
securitycentermanagement.googleapis.com

Security Command Center Standard を有効にする

組織で Security Command Center Standard を有効にするには、Google Cloud コンソールを使用します。

Google Cloud コンソールで、Security Command Center のスタートページに移動します。

Security Command Center に移動

重要: データ所在地管理を使用して Security Command Center を有効にするには、法域コンソール Google Cloud を使用する必要があります。詳細については、法域コンソールGoogle Cloud についてをご覧ください。
Security Command Center Standard を有効にする組織を選択し、[Standard を利用する] をクリックします。
スタートページで、[選択] をクリックします。
省略可: データ所在地とデータ暗号化を有効にするには、[詳細を表示] をクリックします。

注意: Security Command Center の有効化時に、データ所在地とデータ暗号化を構成する必要があります。Security Command Center を有効にした後で、これらの設定を変更することはできません。

データ所在地について詳しくは、データ所在地の計画をご覧ください。

データ暗号化の詳細については、Security Command Center の CMEK を有効にするをご覧ください。組織で CMEK の組織のポリシーを使用している場合は、CMEK または特定の鍵のみを選択できる場合があります。Security Command Center で CMEK を使用しない場合、Google は Google-owned and Google-managed encryption keysを使用して保存データを暗号化します。
[有効化] をクリックします。

結果が利用可能になると、コンソールに表示されます。その後、 Google Cloud コンソールを使用して、 Google Cloud のセキュリティとデータリスクを確認して修正できます。

Security Command Center は、24 時間以内に最初のフルスキャンを完了します。一部のサービスでスキャンが開始されるまでに時間がかかる場合があります。詳細については、Security Command Center に検出結果が表示されるタイミングをご覧ください。

Security Command Center Standard から Premium にアップグレードすると、問題、脅威、フレームワークなどの機能のスキャン進行状況を示すグラフにアクセスできるようになります。既存のグラフも、プレミアム検出機能のスキャン結果が利用可能になると、その結果で更新されます。

Security Command Center Standard のサービス

Security Command Center Standard を有効にすると、Security Health Analytics が自動的に有効になり、サービスの機能に必要なロールと権限がそのサービスエージェントに付与されます。

追加のサービスは、Security Command Center サービスを構成するの手順に沿って有効にできます。

Security Command Center の無効化

Security Command Center を無効にするには、Cloud カスタマーケアにお問い合わせください。

次のステップ

Security Command Center サービスの構成方法を確認する。
Google Cloud コンソールで Security Command Center を使用する方法を確認する。
Security Command Center の検出結果を操作する方法を確認する。
Google Cloud セキュリティソースについて確認する。
Model Armor が AI ワークロードを保護する仕組みについて確認する。