Security Command Center のベスト プラクティス

このページでは、Security Command Center を最大限に活用できるよう、Security Command Center のサービスと機能を管理するための推奨事項について説明します。

Security Command Center は、組織全体または個々のプロジェクトのデータリスクとセキュリティ リスクをモニタリングするための強力なプラットフォームです。Security Command Center は、必要最小限の構成で最大限の保護を行うように設計されています。しかし、プラットフォームを独自のワークフローに合わせてカスタマイズし、リソースを確実に保護するための手順も用意されています。

Premium ティアまたは Enterprise ティアを有効にする

Security Command Center の Premium ティアと Enterprise ティアは、脅威検出、ソフトウェアの脆弱性検出、コンプライアンス評価、セキュリティ運用機能など、幅広いクラウド セキュリティ機能とセキュリティ運用機能を通じて、最大限の保護を提供します。Standard ティアでは、一部のサービスと機能のみを使用できます。

各サービスティアに含まれる機能については、サービスティアをご覧ください。

プロジェクト レベルでの有効化を使用する

Standard サービスティアと Premium サービスティアでは、個々のプロジェクトに対して Security Command Center を有効にできます。

プロジェクト レベルでの有効化では、ティアを問わず、組織レベルのアクセスを必要とする特定の機能を利用できません。詳細については、プロジェクト レベルでの有効化による機能の利用可用性をご覧ください。

Security Command Center のいずれかのティアを有効にする方法については、Security Command Center の有効化の概要をご覧ください。

プロジェクト レベルで Security Command Center を有効にした場合の料金については、料金をご覧ください。

すべての組み込みサービスを有効にする

個々のサービスのベスト プラクティスに従って、すべての組み込みサービスを有効にすることをおすすめします。

Security Command Center がすでに有効になっている場合は、有効になっているサービスを [設定] ページで確認できます。

任意のサービスを無効にできますが、ティアのすべてのサービスを常に有効にしておくことをおすすめします。すべてのサービスを有効にしておくことで、継続的な更新を利用できるほか、新しいリソースや変更したリソースに対する保護が確実に行われるようになります。

本番環境で Web Security Scanner を有効にする前に、Web Security Scanner のベスト プラクティスを確認してください。

また、統合サービス(異常検出、Sensitive Data Protection、Google Cloud Armor)の有効化、サードパーティのセキュリティ サービスの調査、Event Threat Detection と Container Threat Detection の Cloud Logging の有効化を検討してください。情報の量によっては、Sensitive Data Protection と Cloud Armor の費用が高額になる可能性があります。Sensitive Data Protection の費用を制御するためのベスト プラクティスと、Cloud Armor の料金ガイドをご確認ください。

Event Threat Detection のログを有効にする

Event Threat Detection を使用する場合は、Event Threat Detection がスキャンする特定のログを有効にする必要があります。Cloud Logging 管理アクティビティ監査ログなど、一部のログは常に有効になっていますが、データアクセス監査ログなど、他のログはデフォルトでは無効になっているため、Event Threat Detection でスキャンする前に有効にする必要があります。

有効化を検討すべきログには、次のようなものがあります。

  • Cloud Logging データアクセス監査ログ
  • Google Workspace ログ(組織レベルの有効化のみ)

有効にする必要があるログは、次の要素によって異なります。

  • 使用している Google Cloud サービス
  • ビジネスのセキュリティ ニーズ

ロギングでは、特定のログの取り込みと保存に対して料金が発生する場合があります。ログを有効にする前に、ロギングの料金を確認してください。

ログが有効になると、Event Threat Detection によるスキャンが自動的に開始されます。

ログを必要とする検出モジュールと、有効にする必要があるログの詳細については、有効にする必要があるログをご覧ください。

高価値リソースセットを定義する

脆弱性と構成ミスの検出結果に優先順位を付け、最も重要な保護対象のリソースを明らかにするには、高価値リソースセットに属している高価値リソースを指定します。

高価値リソースセット内のリソースを明らかにする検出結果のほうが、攻撃の発生可能性スコアが高くなります。

高価値リソースセットに属しているリソースを指定するには、リソース値の構成を作成します。最初のリソース値の構成を作成するまで、Security Command Center はセキュリティ優先度に合わせてカスタマイズされていないデフォルトの高価値リソースセットを使用します。

Google Cloud コンソールで Security Command Center を使用する

Google Cloud コンソールの Security Command Center には、Security Command Center API では利用できない機能と視覚要素があります。直感的なインターフェース、書式設定されたグラフ、コンプライアンス レポート、視覚的なリソース階層などの機能により、組織の詳細な分析情報を把握できます。詳細については、 Google Cloud コンソールで Security Command Center を使用するをご覧ください。

API と gcloud で機能を拡張する

プログラムによるアクセスが必要な場合は、Security Command Center クライアント ライブラリSecurity Command Center API をお試しください。Security Command Center 環境にアクセスして管理できます。API Explorer を使用すると(API リファレンス ページのパネル内に「この API を試す」というラベルが付いています)、API キー不要で Security Command Center API をインタラクティブに試すことができます。使用可能なメソッドとパラメータの確認、リクエストの実行、リアルタイムでのレスポンスの確認が可能です。

Security Command Center API では、アナリストや管理者がリソースと検出結果を管理できます。エンジニアは API を使用して、カスタムのレポート ソリューションやモニタリング ソリューションを作成できます。

カスタム検出モジュールで機能を拡張する

組織の固有のニーズを満たす検出機能が必要な場合は、カスタム モジュールの作成を検討してください。

リソースを確認して管理する

Security Command Center は、 Google Cloud コンソールの [アセット] ページにすべてのアセットを表示します。ここで、各アセットの検出結果、変更履歴、メタデータ、IAM ポリシーなどの情報を確認できます。Premium サービスティアと Enterprise サービスティアでは、SQL クエリを使用してアセットを分析することもできます。

[アセット] ページのアセット情報は、Cloud Asset Inventory から読み取られます。リソースとポリシーの変更に関する通知をリアルタイムで受け取るには、フィードを作成して登録します。

詳細については、[アセット] ページをご覧ください。

脆弱性や脅威にすばやく対応する

Security Command Center の検出結果では、検出されたセキュリティに関する問題の記録を確認できます。これには、影響を受けたリソースに関する広範な詳細情報と、脆弱性や脅威を調査して解決するための詳細な手順が含まれています。

脆弱性の検出結果には、検出された脆弱性または構成ミスの説明、攻撃の発生可能性スコアの計算、推定重大度が記載されています。脆弱性の検出結果により、セキュリティ標準またはベンチマークの違反も通知されます。詳細については、サポートされているベンチマークをご覧ください。

Premium サービスティアと Enterprise サービスティアの場合、脆弱性の検出結果には、脆弱性の対応する CVE レコードに基づいた脆弱性の悪用可能性と潜在的な影響に関する Mandiant からの情報も含まれています。この情報は、脆弱性修復の優先順位付けに役立ちます。詳細については、CVE の影響と悪用可能性による優先順位付けをご覧ください。

脅威の検出結果には、クラウド リソースに対する攻撃の手法の説明と修復ガイダンスを提供する MITRE ATT&CK フレームワークからのデータと、VirusTotal(悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する Alphabet 社のサービス)からのデータが含まれます。

以下のガイドは、問題の解決やリソースの保護を始める際に役立ちます。

検出結果の量を制御する

Security Command Center の検出結果の量を制御するには、手動またはプログラムによって個々の検出結果をミュートするか、定義したフィルタに基づいて検出結果を自動的にミュートするミュートルールを作成します。検出結果の量を制御するために使用できるミュートルールには、次の 2 種類があります。

  • 今後の検出結果を無期限にミュートする静的ミュートルール。
  • 現在将来の検出結果を一時的にミュートするオプションを含む動的ミュートルール。

手動で確認する検出結果の数を減らすには、動的ミュートルールのみを使用することをおすすめします。混乱を避けるため、静的ミュートルールと動的ミュートルールを同時に使用することはおすすめしません。2 種類のルールの比較については、ミュートルールのタイプをご覧ください。

ミュートされた検出結果は表示または通知されませんが、監査やコンプライアンスの目的で引き続き記録されます。ミュートされた検出結果はいつでも表示するか、ミュートを解除できます。詳しくは、Security Command Center の検出結果をミュートするをご覧ください。

検出結果の量を制御するには、動的ミュートルールを使用して検出結果をミュートすることが最も効果的かつ推奨されるアプローチです。また、セキュリティ マークを使用してアセットを許可リストに追加することもできます。

Security Health Analytics の各検出機能には、マークされたリソースを検出ポリシーから除外できる専用のマークタイプがあります。この機能は、特定のリソースやプロジェクトの検出結果を作成しない場合に便利です。

セキュリティ マークの詳細については、セキュリティ マークの使用をご覧ください。

通知を設定する

通知を使用すると、新しい検出結果や更新された検出結果の通知を、ほぼリアルタイムで受け取れます。また、メールとチャットの通知を使用すると、Security Command Center にログインしていなくても通知を受け取ることができます。詳しくは、検出結果の通知を設定するをご覧ください。

また、継続的エクスポートを作成して、Pub/Sub に検出結果をエクスポートするプロセスを簡略化することもできます。

Cloud Run functions を確認する

Cloud Run functions は、クラウド サービスを接続して、イベントに応じてコードを実行するGoogle Cloud サービスです。Notifications API と Cloud Run functions を使用して、サードパーティの修復システムやチケット発行システムに検出結果を送信することや、検出結果を自動的に閉じるなどの自動処理を行うことができます。

利用を開始するには、Security Command Center の Cloud Run functions コードのオープンソース リポジトリにアクセスします。このリポジトリには、セキュリティに関する検出結果の自動処理に役立つソリューションが含まれています。

通知を継続的に受け取る

Security Command Center は、定期的に更新され、新しい検出項目や機能が追加されています。リリースノートでは、プロダクトの変更やドキュメントの更新に関する情報を確認できます。 Google Cloud コンソールで通知に関するユーザー設定を行うと、プロダクトの最新情報や特別なプロモーションに関する情報をメールまたはモバイルで受け取ることができます。また、ユーザー アンケートやパイロット プログラムへの参加に関心があるかどうかも選択できます。

コメントや質問がある場合は、営業担当者または Cloud サポートのスタッフにお問い合わせください。また、バグを報告してフィードバックをお送りください。

次のステップ