Security Command Center を使用して、さまざまな規制フレームワークに照らして Google Cloud 環境を評価できます。
Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能によってコンプライアンスをモニタリングします。
サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認したコントロールについては、合格したコントロールの数が Security Command Center に表示されます。合格していないコントロールについては、それが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。
CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認し、認定しています。参考用として追加のコンプライアンス マッピングが含まれています。
Security Command Center は、新しいベンチマークのバージョンと標準のサポートを定期的に追加しています。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手できる最新のサポート対象ベンチマークまたは標準を使用することをおすすめします。
セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能を実際のビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、環境でビジネスのコンプライアンスに影響を与える可能性のある変更をモニタリングできます。
コンプライアンス マネージャーを使用すると、規制管理をクラウド管理にマッピングするフレームワークをデプロイできます。フレームワークを作成した後は、ビジネスのコンプライアンスに影響する可能性のある環境への変更をモニタリングし、環境を監査できます。
サポートされているセキュリティ標準
Google Cloud
Security Command Center は、以下の 1 つ以上のコンプライアンス標準に Google Cloud の検出機能をマッピングします。
- Center for Information Security(CIS)Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix(CCM)4
- 医療保険の相互運用性と説明責任に関する法律(HIPAA)
- 国際標準化機構(ISO)27001、2022、2013
- 米国国立標準技術研究所(NIST)800-53 R5 および R4
- 米国国立標準技術研究所(NIST)サイバーセキュリティ フレームワーク(CSF)1.0
- Open Web Application Security Project(OWASP)トップ 10(2021 および 2017)
- Payment Card Industry データ セキュリティ基準(PCI DSS)4.0 および 3.2.1
- System and Organization Controls(SOC)2 Trust Services Criteria(TSC)2017 年版
AWS
Security Command Center は、アマゾン ウェブ サービス(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls バージョン 8.0
- Cloud Controls Matrix(CCM)4
- 医療保険の相互運用性と説明責任に関する法律(HIPAA)
- 国際標準化機構(ISO)27001、2022
- 米国国立標準技術研究所(NIST)800-53 R5
- 米国国立標準技術研究所(NIST)サイバーセキュリティ フレームワーク(CSF)1.0
- Payment Card Industry データ セキュリティ基準(PCI DSS)4.0 および 3.2.1
- System and Organization Controls(SOC)2 Trust Services Criteria(TSC)2017 年版
コンプライアンス コントロールとしての検出機能と検出結果
Security Health Analytics や Web Security Scanner などの Security Command Center の検出サービスでは、検出モジュール(検出機能)を使用して、クラウド環境の脆弱性と構成ミスを確認します。
脆弱性が検出されると、検出機能は検出結果を生成します。検出結果は、脆弱性などのセキュリティに関する問題の記録であり、次のような情報が含まれます。
脆弱性の説明
コントロールをコンプライアンスに適合させる脆弱性に対処するための推奨事項
検出結果に対応するコントロールの数値 ID
脆弱性を修復するための推奨手順
通常、一定のコントロールは自動化できないものの、他の理由による場合もあるため、標準のコントロールが必ずしも Security Command Center の検出結果にマッピングできるわけではありません。したがって、Security Command Center が確認するコントロールの総数は、通常、標準が定義するコントロールの総数より少なくなります。
Security Command Center は、アクティブな検出結果とミュートされた検出結果を使用して、[コンプライアンス] ページとコンプライアンス レポートのコンプライアンス制御の割合を計算します。
Security Health Analytics と Web Security Scanner の検出結果、サポートされている検出機能とコンプライアンス標準のマッピングについては、脆弱性の検出をご覧ください。
クラウド環境全体のコンプライアンスを評価する
クラウド環境が特定のセキュリティ標準をどの程度遵守しているかは、次の場所で一目で確認できます。
- Google Cloud コンソールの [コンプライアンス] ページ。
- セキュリティ運用コンソールの [リスクの概要] ページ。このページでは、クラウド環境で見つかった上位のリスク(コンプライアンスを含む)を一目で確認できます。
各セキュリティ標準には、選択したスコープ(組織レベル、フォルダレベル、プロジェクト レベル)で合格したコントロールの割合が表示されます。
Security Command Center が有効になっている場所によって、表示される内容が異なります。
プロジェクト レベル: 有効になっているプロジェクトのコンプライアンス統計情報のみを表示できます。 Google Cloud コンソールでプロジェクトが属するフォルダまたは組織に切り替えると、[コンプライアンス] ページは表示されません。
組織レベル: Google Cloud コンソールで有効な組織に切り替えると、[コンプライアンス] ページに、フォルダやプロジェクトを含む組織全体のコンプライアンス統計情報が表示されます。
組織内の個々のフォルダとプロジェクトのコンプライアンス統計情報を表示するには、 Google Cloud コンソールでそのリソースレベルに切り替えます。
コンプライアンス レポートは毎日生成されます。レポートは 24 時間古い可能性があり、生成に失敗した場合は欠落している可能性があります。
Google Cloud コンソールでコンプライアンスを評価する
Google Cloud コンソールの [コンプライアンス] ページに移動します。
コンプライアンスを表示するプロジェクト、フォルダ、または組織を選択します。
いずれかの標準カードで [詳細を表示] をクリックして、その標準の [コンプライアンスの詳細] ページを開きます。
このページから、次のことができます。
特定の日付における選択した標準に対するコンプライアンスを表示します。
詳細を表示しているコンプライアンス標準を切り替えます。
コンプライアンスの詳細に関するレポートを CSV ファイルにエクスポートします。
トレンドグラフを使用して、コンプライアンスの進捗状況を時系列で追跡します。
セキュリティ標準のコントロールを開いて、構成ルールとルールの重大度を表示します。
ルールをクリックして、遵守していないリソースの検出結果を表示し、必要に応じて問題を修正します。検出結果の修正については、Security Health Analytics の検出結果の修正と Web Security Scanner の検出結果の修正をご覧ください。