Security Command Center には、Standard、Premium、Enterprise の 3 つのサービスティアがあります。各ティアによって、Security Command Center で使用できる機能とサービスが決まります。各サービスティアの簡単な説明は次のとおりです。
- スタンダード。 Google Cloud のみの基本的なセキュリティ ポスチャー管理。スタンダード ティアは、プロジェクト レベルまたは組織レベルで有効にできます。セキュリティ要件が最小限のGoogle Cloud 環境に最適です。
- プレミアム。スタンダードのすべての機能に加え、セキュリティ ポスチャー管理、攻撃パス、脅威の検出、コンプライアンス モニタリングを Google Cloud のみで行えます。プレミアム ティアは、プロジェクト レベルまたは組織レベルで有効にできます。従量課金制の請求が必要なGoogle Cloud ユーザーに最適です。
- エンタープライズ。最も重大な問題のトリアージと修復に役立つ、完全なマルチクラウド CNAPP セキュリティ。プレミアムに含まれるほとんどのサービスが含まれます。エンタープライズ ティアは、組織レベルでのみ有効にできます。 Google Cloud、AWS、Azure の保護に最適です。
スタンダード ティアは追加料金なしで提供されますが、プレミアム ティアとエンタープライズ ティアは料金体系が異なります。詳細については、Security Command Center の料金をご覧ください。
各ティアに含まれるサービスのリストについては、サービスティアの比較をご覧ください。
Security Command Center Enterprise ティアでサポートされている Google SecOps 機能については、Security Command Center Enterprise の Google Security Operations の上限をご覧ください。
| サービス | サービスティア | ||
|---|---|---|---|
| スタンダード | プレミアム | エンタープライズ | |
| 脆弱性検出 | |||
| Security Health Analytics | |||
| Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できる Google Cloud のマネージド脆弱性評価スキャン。 | |||
| コンプライアンス モニタリング。 Security Health Analytics の検出機能は、NIST、HIPAA、PCI-DSS、CIS などの一般的なセキュリティ ベンチマークの制御にマッピングされます。 | |||
| カスタム モジュールのサポート。独自のカスタム Security Health Analytics 検出機能を作成します。 | |||
| Web Security Scanner | |||
| カスタム スキャン。 パブリック URL と IP アドレスがあり、ファイアウォールの背後にない、デプロイ済みの Compute Engine、Google Kubernetes Engine、または App Engine ウェブ アプリケーションでカスタム スキャンをスケジュールして実行します。 | |||
| OWASP トップ 10 のその他の検出機能 | |||
| マネージド スキャン。 脆弱性に対して一般公開のウェブ エンドポイントを週に 1 回スキャンします。スキャンは Security Command Center によって構成および管理されます。 | |||
| 仮想レッドチーム | |||
| 攻撃パス シミュレーションを実行して実施される仮想レッドチームは、潜在的な攻撃者が高価値リソースに到達するための経路を特定することで、脆弱性や構成ミスの検出結果を特定して優先順位を付けるのに役立ちます。 | 1 | ||
| Mandiant CVE 評価 | |||
| CVE 評価は、悪用可能性と潜在的な影響によってグループ化されます。CVE ID で検出結果をクエリできます。 | |||
| その他の脆弱性サービス | |||
| 異常検出。2プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報や暗号通貨マイニングなど)を特定します。 | 1 | 1 | |
| コンテナ イメージの脆弱性の検出結果。特定のアセットにデプロイされた脆弱なコンテナ イメージを検出する Artifact Registry スキャンから、検出結果を Security Command Center に自動的に書き込みます。 | |||
| GKE セキュリティ ポスチャー ダッシュボードの検出結果(プレビュー)。Kubernetes ワークロードのセキュリティ構成ミス、対処可能なセキュリティに関する公開情報、コンテナ オペレーティング システムまたは言語パッケージの脆弱性に関する検出結果を表示します。 | |||
| Model Armor。 LLM のプロンプトとレスポンスをスクリーニングして、セキュリティや安全性のリスクを検出します。 | |||
| Sensitive Data Protection の検出。2 センシティブ データを検出して分類し、保護するために利用します。 | 3 | 3 | |
| チョークポイント。 複数の攻撃パスが収束する共通のリソースまたはリソース グループを特定します。 | |||
| Notebook Security Scanner(プレビュー)。 Colab Enterprise ノートブックで使用されている Python パッケージの脆弱性を検出して解決します。 | |||
| 有害な組み合わせ。 リスクのグループを検出します。特定のパターンで一緒に発生すると、攻撃意思のある攻撃者がそれらのリソースにアクセスして侵害する可能性がある価値の高いリソースへのパスが作成されます。 | |||
| VM Manager の脆弱性レポート(プレビュー)。2 VM Manager を有効にすると、脆弱性レポートの検出結果が Security Command Center に自動的に書き込まれます。 | 1 | ||
| Google Cloudの脆弱性評価(プレビュー)。 エージェントをインストールせずに、Compute Engine VM インスタンス内の重大度が高いソフトウェアの脆弱性を検出できます。 | |||
| Mandiant Attack Surface Management。 悪用される可能性のある露出に対して外部エコシステムを継続的にモニタリングし、環境全体でインターネット アセットを検出して分析します。 | 4 | ||
| AWS の脆弱性評価。 Amazon EC2 インスタンスにインストールされているソフトウェアや Elastic Container Registry(ECR)イメージなど、AWS リソースの脆弱性を検出します。 | |||
| 脅威の検出と対応 | |||
| Google Cloud Armor。2 分散型サービス拒否(DDoS)攻撃、クロスサイト スクリプティング(XSS)、SQL インジェクション(SQLi)などの脅威から Google Cloud デプロイを保護します。 | 1 | 1 | |
| Sensitive Actions Service。 Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。 | |||
| Agent Engine Threat Detection (プレビュー)。 Vertex AI Agent Engine を介してデプロイおよび管理されるエージェントに対するランタイム攻撃を検出します。 | |||
| Cloud Run の脅威検出。 Cloud Run コンテナのランタイム攻撃を検出します。 | |||
| Container Threat Detection。 Container-Optimized OS ノードイメージでランタイム攻撃を検出します。 | |||
| 関連する脅威(プレビュー)。セキュリティ インシデントについて、より多くの情報に基づいて決定を下すことができまます。この機能により、セキュリティ グラフで関連する脅威の検出結果がまとめられるので、アクティブな脅威の優先順位付けと対応を行ううえで役立ちます。 | |||
| Event Threat Detection は、脅威インテリジェンス、ML、その他の高度な方法で Cloud Logging と Google Workspace をモニタリングし、マルウェア、暗号通貨のマイニング、データの引き出しなどの脅威を検出します。 | |||
| グラフ検索(プレビュー)。セキュリティ グラフにクエリを実行して、環境内でモニタリングする必要がある潜在的なセキュリティの脆弱性を特定します。 | 1 | ||
| 問題。 Security Command Center がクラウド環境で検出した最も重要なセキュリティ リスクを特定します。問題は、仮想レッドチームと、Security Command Center セキュリティ グラフに依存するルールベースの検出を使用して検出されます。 | 1 | ||
| Virtual Machine Threat Detection は、VM インスタンスで実行され、悪質な可能性のあるアプリケーションを検出します。 | |||
Google SecOps。 Security Command Center と統合して、脅威の検出、調査、対応を支援します。Google SecOps には次の機能が含まれています。
| |||
Mandiant Threat Defense。 Mandiant のエキスパートに頼って脅威探索を継続的に実施し、攻撃者の活動を明らかにすることで、ビジネスへの影響を軽減します。 Mandiant Threat Defense はデフォルトでは有効になっていません。詳細と料金については、営業担当者または Google Cloud パートナーにお問い合わせください。 | |||
| ポスチャーとポリシー | |||
| Binary Authorization。2 コンテナベースのアプリケーションを開発してデプロイするときに、ソフトウェア サプライ チェーンのセキュリティ対策を実装します。コンテナ イメージのデプロイをモニタリングして制限します。 | 1 | 1 | |
| サイバー保険ハブ。2 組織の技術上のリスク管理体制をプロファイリングしてレポートを生成します。 | 1 | 1 | |
| Policy Controller。2 Kubernetes クラスタにプログラム可能なポリシーを適用し、利用できます。 | 1 | 1 | |
ポリシー インテリジェンス。 アクセス ポリシーを把握して管理し、セキュリティ構成を事前に改善するためのツールを提供します。 ポリシー インテリジェンスには、基本的なロールの推奨事項や 1 か月あたりのクエリ数の上限といった、 Google Cloud のお客様に無料で提供される機能がいくつかあります。上級者向け機能は、Security Command Center Premium と Security Command Center Enterprise のユーザーが利用できます。料金についての詳細は、こちらをご覧ください。 | |||
| コンプライアンス マネージャー Google Cloud 環境のセキュリティとコンプライアンスの義務を満たすように設計されたコントロールとフレームワークを定義、デプロイ、モニタリング、監査します。 | 1, 5, 6 | 6 | |
| データ セキュリティ ポスチャー管理(DSPM)データ セキュリティ フレームワークとクラウド制御を評価、デプロイ、監査して、センシティブ データのアクセスと使用を管理します。 | 1 | ||
| セキュリティ ポスチャー。 セキュリティ ポスチャーを定義してデプロイし、 Google Cloudリソースのセキュリティ ステータスをモニタリングします。ポスチャ―のずれやポスチャ―の不正な変更に対処します。エンタープライズ ティアでは、AWS 環境をモニタリングすることもできます。 | 1 | ||
| クラウド インフラストラクチャ権限管理(CIEM)。誤って構成されているプリンシパル アカウント(ID)、またはクラウド リソースに対して過剰であるか機密性の高い IAM 権限が付与されているプリンシパル アカウントを特定します。 | 7 | ||
| データ マネジメント | |||
| データ所在地と暗号化 | |||
| 顧客管理の暗号鍵(CMEK)。 作成した Cloud Key Management Service 鍵を使用して、選択した Security Command Center データを暗号化します。デフォルトでは、Security Command Center のデータは Google-owned and Google-managed encryption keysで保存時に暗号化されます。 | 1 | 1 | |
| データ所在地。Security Command Center の検出結果、ミュートルール、継続的なエクスポート、BigQuery エクスポートの保存と処理が、Security Command Center がサポートするデータ所在地のマルチリージョンのいずれかに制限される制御。 | 1 | 1 | |
| 検出結果のエクスポート | |||
| BigQuery エクスポート。Security Command Center から BigQuery に検出結果をエクスポートします。一括エクスポート(1 回限り)としてエクスポートするか、継続的エクスポートを有効にしてエクスポートします。 | |||
| Pub/Sub の継続的エクスポート | |||
| Cloud Logging の継続的エクスポート | 1 | ||
| その他の機能 | |||
| Infrastructure as code(IaC)の検証。組織のポリシーと Security Health Analytics の検出機能に対して検証します。 | 1 | ||
Privileged Access ManagerPrivileged Access Manager を使用すると、特定のプリンシパルに対するジャストインタイムの一時的な権限昇格を制御できます。また、監査ログを使用して、誰がいつどのリソースにアクセスしたかを追跡できます。 Security Command Center では、次の機能を使用できます。
| 1 | ||
| Cloud Asset Inventory で SQL を使用してアセットをクエリする | |||
| Cloud Asset Inventory の割り当ての増加をリクエストする | |||
| リスクレポート(プレビュー)。 リスクレポートは、Security Command Center が実行する攻撃パスのシミュレーション結果を理解する助けになります。リスクレポートには、概要、有害な組み合わせの例、関連する攻撃パスが含まれています。 | 1 | ||
| AI 保護(プレビュー)。 AI 保護は、脅威を検出し、AI アセット インベントリのリスクを軽減することで、AI ワークロードのセキュリティ ポスチャーの管理を支援します。 | |||
| Assured Open Source Software。 Google がセキュリティを確保し、実際に使用しているものと同じパッケージを独自のデベロッパー ワークフローに取り入れることで、Google がオープンソース ソフトウェアに適用しているセキュリティと経験を活用できます。 | |||
| 監査マネージャー。 複数のコンプライアンス フレームワークから選択したコントロールに対してリソースを評価するコンプライアンス監査ソリューション。Security Command Center Enterprise ユーザーは、追加料金なしで Audit Manager のプレミアム ティアにアクセスできます。 | |||
| マルチクラウド サポート。Security Command Center を他のクラウド プロバイダに接続して、脅威、脆弱性、構成ミスを検出します。外部クラウドの高価値リソースに対する攻撃の発生可能性スコアと攻撃パスを評価します。サポートされているクラウド プロバイダ: AWS、Azure。 | |||
| Snyk の統合。Snyk によって特定された問題をセキュリティの検出結果として表示し、管理します。 | |||
- 組織レベルでの有効化が必要です。
- これは、組織レベルで有効にした Security Command Center と統合され、検出結果を提供する Google Cloud サービスです。このサービスの 1 つ以上の機能には、Security Command Center とは別に料金が設定されている場合があります。
- デフォルトでは有効になっていません。詳細と料金については、営業担当者または Google Cloud パートナーにお問い合わせください。
- データ所在地の制御が有効になっている場合、この機能はサポートされません。
- この機能は、顧客管理の暗号鍵(CMEK)をサポートしていません。
- データ所在地をサポートしていません。
- データ所在地の制御が有効になっている場合、この機能は Google Cloudでのみサポートされます。