このページでは、Security Command Center に適用されるデータとインフラストラクチャのセキュリティについて説明します。
データ処理
Security Command Center に登録すると、 Google Cloud は使用している Google Cloud サービスに関連する次の情報を処理します。
- Google Cloudリソースに関連付けられた構成とメタデータ
- Identity and Access Management(IAM)ポリシーとユーザーの構成とメタデータ
- Google Cloudレベルの API アクセス パターンと使用量
- Google Cloud 組織の Cloud Logging のコンテンツ
- サービスの設定やセキュリティの検出結果を含む Security Command Center のメタデータ
Security Command Center は、スキャンまたはモニタリングの対象に構成したクラウドログとアセットに関連するデータ(テレメトリーや他のデータを含む)を処理して、検出結果とサービスの改善を行います。そのため、スキャン レポートとモニタリング レポートは、Google Cloud のプライバシーに関するお知らせの条件に従って、Google によってサービスデータとして処理されます。
Security Command Center は、新たな脅威や進化する脅威からアセットを保護するために、構成ミスのあるアセット、ログの不正使用の兆候、攻撃ベクトルに関連するデータを分析します。これには、サービスモデル、お客様の環境を強化するための推奨事項、サービスの有効性と品質、ユーザー エクスペリエンスの改善が含まれる場合もあります。サービス改善の目的ではデータを処理せずに、サービスを使用する場合は、Google Cloud サポートに連絡してオプトアウトできます。オプトアウトすると、セキュリティ テレメトリーに依存する特定の機能が利用できなくなる場合があります。たとえば、環境に合わせて調整された検出機能や、サービス構成を組み込むサービスの改善などです。
保存中のデータと、内部システム間を転送中のデータは暗号化されます。さらに、Security Command Center のアクセス制御は、医療保険の相互運用性と説明責任に関する法律(HIPAA)や他の Google Cloudのコンプライアンス状況を遵守しています。
機密データの制限
組織の管理者やその他の特権ユーザーが Security Command Center にデータを追加する際に考慮すべき注意事項があります。
Security Command Center を使用すると、特権ユーザーはGoogle Cloud リソースとスキャンによって生成された検出結果に説明情報を追加できます。サービスを使用する際に機密データを知らないうちに送信してしまうこともあります(検出結果に顧客名やアカウント番号を追加するなど)。データを保護するため、アセットに名前やアノテーションを付ける際に機密情報を追加しないようにすることをおすすめします。
さらにセキュリティを強化するため、Security Command Center を Sensitive Data Protection と統合できます。Sensitive Data Protection は、クレジット カード番号、社会保障番号、 Google Cloud 認証情報などのセンシティブ データと個人情報を検出、分類、マスキングします。
情報の量によっては、Sensitive Data Protection のコストが高額になる場合があります。Sensitive Data Protection のコストを抑えるベスト プラクティスに従ってください。
リソースの管理などの Security Command Center の設定のガイダンスについては、Security Command Center の最適化をご覧ください。
検出結果のデータ保持
Security Command Center で処理されるデータはキャプチャされ、検出結果に保存されます。これにより、組織、フォルダ、プロジェクト内のリソースとアセットに存在する脅威、脆弱性、構成ミスを特定できます。検出結果には、検出の状態とプロパティを毎日キャプチャした一連の日次スナップショットが含まれます。
次の表に、Security Command Center の検出結果の保持期間を示します。
| 結果 | 保持期間 |
|---|---|
| アクティブでない脆弱性 | 7 日間 |
| アクティブでない構成ミス | 30 日間 |
| すべてのアクティビティ(脅威を除く) | 次の期間が経過すると削除されます。
構成ミスまたは脆弱性の検出結果の根本的な問題が未解決のままであったり、再発した場合、Security Command Center は後続の検出スキャンで検出結果を再作成します。 |
| その他のすべての検出結果 | 90 日間 |
該当する保持期間内のスナップショットが 1 つ以上含まれている限り、検出結果は Security Command Center に保持されます。検出結果とそのすべてのデータをさらに長い期間保持するには、別の保管場所にエクスポートします。詳細については、Security Command Center データのエクスポートをご覧ください。
サードパーティの検出結果は、作成時間が保持期間を超えると削除されます。エラーで生成された検出結果や、セキュリティ、リスク、コンプライアンスの値がない検出結果は、いつでも削除される可能性があります。
すべてのティアで、 Google Cloudから組織が削除されると、保持期間の例外が適用されます。組織が削除されると、組織とそのフォルダとプロジェクトから派生したすべての検出結果は、Google Cloud でのデータ削除に記載されている保持期間内に削除されます。
プロジェクトを削除しても、プロジェクトの検出結果は同時に削除されません。削除されたプロジェクトを含む組織の監査のため保持されます。保持期間は、削除されたプロジェクトでアクティブだったティアによって異なります。エンタープライズ ティアとプレミアム ティアの場合は 13 か月、スタンダード ティアの場合は 35 日です。
プロジェクトを削除するときに、そのプロジェクトのすべての検出結果を同時に削除する必要がある場合は、Cloud カスタマーケアに連絡すれば、プロジェクト内のすべての調査結果を早期に削除できます。
ディスク クローンのデータ保持
Virtual Machine Threat Detection は、VM の永続ディスクのクローンを作成します。このクローンの有効期限は短く、ゾーンディスクの場合は同じゾーン、リージョン ディスクの場合は同じリージョンにある Google 所有のプロジェクトに保存されます。VM Threat Detection は、ディスク スキャン アクティビティの完了後、タイムアウトなどのエラーの処理後 1 時間以内にディスク クローンをスキャンして削除します。
インフラストラクチャのセキュリティ
Security Command Center は、Google の自社ユーザー向けのサービスや企業向けのサービスで使用されているインフラストラクチャ上に構築されています。Google のインフラストラクチャの多層セキュリティは、 Google Cloud内のすべてのサービス、データ、通信、オペレーションを保護するように設計されています。
Google インフラストラクチャのセキュリティの詳細については、Google インフラストラクチャのセキュリティ設計の概要をご覧ください。
次のステップ
Security Command Center の機能とメリットについて、Security Command Center の概要を確認する。
Security Command Center の使用について詳細を確認する。