Security Command Center には、スタンダード、プレミアム、エンタープライズの 3 つのサービスティアがあります。各ティアによって、Security Command Center で使用できる機能とサービスが決まります。各サービスティアの簡単な説明は次のとおりです。
- スタンダード。 Google Cloud のみの基本的なセキュリティ ポスチャー管理。スタンダード ティアは、プロジェクト レベルまたは組織レベルで有効にできます。セキュリティ要件が最小限のGoogle Cloud 環境に最適です。
- プレミアム。スタンダードのすべての機能に加え、セキュリティ ポスチャー管理、攻撃パス、脅威の検出、コンプライアンス モニタリングを Google Cloud のみで行えます。プレミアム ティアは、プロジェクト レベルまたは組織レベルで有効にできます。従量課金制の請求が必要なGoogle Cloud ユーザーに最適です。
- エンタープライズ。最も重大な問題のトリアージと修復に役立つ、完全なマルチクラウド CNAPP セキュリティ。プレミアムに含まれるほとんどのサービスが含まれます。エンタープライズ ティアは、組織レベルでのみ有効にできます。 Google Cloud、AWS、Azure の保護に最適です。
スタンダード ティアは追加料金なしで提供されますが、プレミアム ティアとエンタープライズ ティアは料金体系が異なります。詳細については、Security Command Center の料金をご覧ください。
各ティアに含まれるサービスのリストについては、サービスティアの比較をご覧ください。
Security Command Center のエンタープライズ ティアでサポートされている Google SecOps 機能については、Security Command Center Enterprise での Google Security Operations 機能の上限をご覧ください。
サービスティアの比較
| サービス | サービスティア | ||
|---|---|---|---|
| スタンダード | プレミアム | エンタープライズ | |
| 脆弱性検出 | |||
| Security Health Analytics | |||
| Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できる Google Cloud のマネージド脆弱性評価スキャン。 | |||
| コンプライアンス モニタリング。 Security Health Analytics の検出機能は、NIST、HIPAA、PCI-DSS、CIS などの一般的なセキュリティ ベンチマークの制御にマッピングされます。 | |||
| カスタム モジュールのサポート。独自のカスタム Security Health Analytics 検出機能を作成します。 | |||
| Web Security Scanner | |||
| カスタム スキャン。 パブリック URL と IP アドレスがあり、ファイアウォールの背後にない、デプロイ済みの Compute Engine、Google Kubernetes Engine、または App Engine ウェブ アプリケーションでカスタム スキャンをスケジュールして実行します。 | |||
| OWASP トップ 10 のその他の検出機能 | |||
| マネージド スキャン。 脆弱性に対して一般公開のウェブ エンドポイントを週に 1 回スキャンします。スキャンは Security Command Center によって構成および管理されます。 | |||
| 仮想レッドチーム | |||
| 攻撃パス シミュレーションを実行して実施される仮想レッドチームは、潜在的な攻撃者が高価値リソースに到達するための経路を特定することで、脆弱性や構成ミスの検出結果を特定して優先順位を付けるのに役立ちます。 | 1 | ||
| Mandiant CVE 評価 | |||
| CVE 評価は、悪用可能性と潜在的な影響によってグループ化されます。CVE ID で検出結果をクエリできます。 | |||
| その他の脆弱性サービス | |||
| 異常検出。2プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報や暗号通貨マイニングなど)を特定します。 | 1 | 1 | |
| コンテナ イメージの脆弱性の検出結果(プレビュー)。 特定のアセットにデプロイされた脆弱なコンテナ イメージを検出する Artifact Registry スキャンから、検出結果を Security Command Center に自動的に書き込みます。 | |||
| GKE セキュリティ ポスチャー ダッシュボードの検出結果(プレビュー)。Kubernetes ワークロードのセキュリティ構成ミス、対処可能なセキュリティに関する公開情報、コンテナ オペレーティング システムまたは言語パッケージの脆弱性に関する検出結果を表示します。 | |||
| Model Armor。 LLM のプロンプトとレスポンスをスクリーニングして、セキュリティや安全性のリスクを検出します。 | |||
| Sensitive Data Protection の検出。2 センシティブ データを検出して分類し、保護するために利用します。 | 1、3 | 1、3 | |
| チョークポイント。 複数の攻撃パスが収束する共通のリソースまたはリソース グループを特定します。 | |||
| Notebook Security Scanner(プレビュー)。 Colab Enterprise ノートブックで使用されている Python パッケージの脆弱性を検出して解決します。 | |||
| 有害な組み合わせ。 リスクのグループを検出します。特定のパターンで一緒に発生すると、攻撃意思のある攻撃者がそれらのリソースにアクセスして侵害する可能性がある価値の高いリソースへのパスが作成されます。 | |||
| VM Manager の脆弱性レポート(プレビュー)。2 VM Manager を有効にすると、脆弱性レポートの検出結果が Security Command Center に自動的に書き込まれます。 | 1 | ||
| Google Cloudの脆弱性評価(プレビュー)。 エージェントをインストールせずに、Compute Engine VM インスタンス内の重大度が高いソフトウェアの脆弱性を検出できます。 | |||
| Mandiant Attack Surface Management。 悪用される可能性のある露出に対して外部エコシステムを継続的にモニタリングし、環境全体でインターネット アセットを検出して分析します。 | 4 | ||
| AWS の脆弱性評価。 Amazon EC2 インスタンスにインストールされているソフトウェアや Elastic Container Registry(ECR)イメージなど、AWS リソースの脆弱性を検出します。 | |||
| 脅威の検出と対応 | |||
| Google Cloud Armor。2 分散型サービス拒否(DDoS)攻撃、クロスサイト スクリプティング(XSS)、SQL インジェクション(SQLi)などの脅威から Google Cloud デプロイを保護します。 | 1 | 1 | |
| Sensitive Actions Service。 Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。 | |||
| Cloud Run の脅威検出。 Cloud Run コンテナのランタイム攻撃を検出します。 | |||
| Container Threat Detection。 Container-Optimized OS ノードイメージでランタイム攻撃を検出します。 | |||
| Event Threat Detection は、脅威インテリジェンス、ML、その他の高度な方法で Cloud Logging と Google Workspace をモニタリングし、マルウェア、暗号通貨のマイニング、データの引き出しなどの脅威を検出します。 | |||
| Virtual Machine Threat Detection は、VM インスタンスで実行され、悪質な可能性のあるアプリケーションを検出します。 | |||
| 関連する脅威(プレビュー)。セキュリティ インシデントについて、より多くの情報に基づいて意思決定を行うことができます。この機能は、セキュリティ グラフを使用して関連する脅威の検出結果をまとめ、アクティブな脅威の優先順位付けと対応に役立ちます。 | |||
Google SecOps。 Security Command Center と統合して、脅威の検出、調査、対応を支援します。Google SecOps には次の機能が含まれています。
| |||
| グラフ検索(プレビュー)。セキュリティ グラフをクエリして、環境でモニタリングする潜在的なセキュリティの脆弱性を特定します。 | |||
| 問題。 Security Command Center がクラウド環境で検出した最も重要なセキュリティ リスクを特定します。問題は、仮想レッドチームと、Security Command Center セキュリティ グラフに依存するルールベースの検出を使用して検出されます。 | |||
Mandiant Threat Defense。 Mandiant のエキスパートに頼って脅威探索を継続的に実施し、攻撃者の活動を明らかにすることで、ビジネスへの影響を軽減します。 Mandiant Threat Defense はデフォルトでは有効になっていません。詳細と料金については、営業担当者または Google Cloud パートナーにお問い合わせください。 | |||
| ポスチャーとポリシー | |||
| Binary Authorization。2 コンテナベースのアプリケーションを開発してデプロイするときに、ソフトウェア サプライ チェーンのセキュリティ対策を実装します。コンテナ イメージのデプロイをモニタリングして制限します。 | 1 | 1 | |
| サイバー保険ハブ。2 組織の技術上のリスク管理体制をプロファイリングしてレポートを生成します。 | 1 | 1 | |
| Policy Controller。2 Kubernetes クラスタにプログラム可能なポリシーを適用し、利用できます。 | 1 | 1 | |
Policy Intelligence。 Security Command Center のプレミアムとエンタープライズ ユーザー向けの追加機能(以下を含む)。
| |||
| セキュリティ ポスチャー。 セキュリティ ポスチャーを定義してデプロイし、 Google Cloudリソースのセキュリティ ステータスをモニタリングします。ポスチャ―のずれやポスチャ―の不正な変更に対処します。エンタープライズ ティアでは、AWS 環境をモニタリングすることもできます。 | 1 | ||
| クラウド インフラストラクチャ権限管理(CIEM)。誤って構成されているプリンシパル アカウント(ID)、またはクラウド リソースに対して過剰であるか機密性の高い IAM 権限が付与されているプリンシパル アカウントを特定します。 | 5 | ||
| コンプライアンス マネージャー。 Google Cloud 環境のセキュリティとコンプライアンスの義務を満たすように設計されたフレームワークを定義してデプロイします。 | 6 | ||
| コンプライアンス マネージャーのモニタリングと監査(プレビュー)。 Google Cloud 組織にデプロイしたコンプライアンス マネージャーのフレームワークをモニタリングして監査します。 | 6 | ||
| データ セキュリティ ポスチャー管理(DSPM)(プレビュー)。 データ セキュリティ フレームワークとクラウド制御を評価、デプロイ、監査して、センシティブ データのアクセスと使用を管理します。 | |||
| データ マネジメント | |||
| データ所在地と暗号化 | |||
| 顧客管理の暗号鍵(CMEK)。 作成した Cloud Key Management Service 鍵を使用して、選択した Security Command Center データを暗号化します。デフォルトでは、Security Command Center のデータは Google-owned and Google-managed encryption keysで保存時に暗号化されます。 | 1 | 1 | |
| 検出結果のエクスポート | |||
| BigQuery エクスポート。Security Command Center から BigQuery に検出結果をエクスポートします。一括エクスポート(1 回限り)としてエクスポートするか、継続的エクスポートを有効にしてエクスポートします。 | |||
| Pub/Sub の継続的エクスポート | |||
| Cloud Logging の継続的エクスポート | 1 | ||
| その他の機能 | |||
| Infrastructure as code(IaC)の検証。組織のポリシーと Security Health Analytics の検出機能に対して検証します。 | 1 | ||
Privileged Access Manager。Privileged Access Manager を使用すると、特定のプリンシパルのジャストインタイムの一時的な権限昇格を制御し、監査ログを使用して、誰がどのリソースにいつアクセスしたかを追跡できます。 Security Command Center では、次の機能を使用できます。
| 1 | ||
| Cloud Asset Inventory で SQL を使用してアセットをクエリする | |||
| Cloud Asset Inventory の割り当ての増加をリクエストする | |||
| リスクレポート(プレビュー)。 リスクレポートは、Security Command Center が実行する攻撃パスのシミュレーション結果を理解する助けになります。リスクレポートには、概要、有害な組み合わせの例、関連する攻撃パスが含まれています。 | 1 | ||
| AI 保護(プレビュー)。 AI 保護は、脅威を検出し、AI アセット インベントリのリスクを軽減することで、AI ワークロードのセキュリティ ポスチャーの管理を支援します。 | |||
| Assured Open Source Software。 Google がセキュリティを確保し、実際に使用しているものと同じパッケージを独自のデベロッパー ワークフローに取り入れることで、Google がオープンソース ソフトウェアに適用しているセキュリティと経験を活用できます。 | |||
| 監査マネージャー。 複数のコンプライアンス フレームワークから選択したコントロールに対してリソースを評価するコンプライアンス監査ソリューション。Security Command Center Enterprise ユーザーは、追加料金なしで Audit Manager のプレミアム ティアにアクセスできます。 | |||
| マルチクラウド サポート。Security Command Center を他のクラウド プロバイダに接続して、脅威、脆弱性、構成ミスを検出します。外部クラウドの高価値リソースに対する攻撃の発生可能性スコアと攻撃パスを評価します。サポートされているクラウド プロバイダ: AWS、Azure。 | |||
| Snyk との統合。Snyk によって特定された問題をセキュリティ検出結果として表示して管理します。 | |||
- 組織レベルでの有効化が必要です。
- これは、組織レベルで有効にした Security Command Center と統合され、検出結果を提供する Google Cloud サービスです。このサービスの 1 つ以上の機能には、Security Command Center とは別に料金が設定されている場合があります。
- デフォルトでは有効になっていません。詳細と料金については、営業担当者または Google Cloud パートナーにお問い合わせください。
- データ所在地の制御が有効になっている場合、この機能はサポートされません。
- データ所在地の制御が有効になっている場合、この機能は Google Cloudでのみサポートされます。
- データ所在地をサポートしていません。
Security Command Center Enterprise の Google Security Operations 機能の上限
Security Command Center のエンタープライズ ティアは、スタンダード ティアとプレミアム ティアと比較して、Google Security Operations の機能の選択や、他のクラウド プロバイダからデータを取り込む機能など、追加機能を提供します。これらの機能により、Security Command Center はクラウドネイティブ アプリケーション保護プラットフォーム(CNAPP)になります。
Security Command Center のエンタープライズ ティアの Google Security Operations 機能には、Google Security Operations プランとは異なる上限があります。これらの上限を次の表に示します。
| 機能 | 上限 |
|---|---|
| 高度な脅威インテリジェンス | アクセス不可 |
| キュレーテッド検出 | Google Cloud、Microsoft Azure、AWS のクラウドの脅威の検出に限定されます。 |
| カスタムルール | 20 個のカスタム単一イベントルール(マルチイベント ルールはサポートされていません)。 |
| データの保持 | 3 か月 |
| Gemini in Google Security Operations | 自然言語検索とケース調査の概要に限定 |
| Google SecOps セキュリティ情報およびイベント管理(SIEM)。 | クラウドデータのみ。 |
| Google SecOps セキュリティ オーケストレーション、自動化、レスポンス(SOAR)。 | クラウド レスポンスの統合のみ。サポートされている統合の一覧については、サポートされている Google Security Operations の統合をご覧ください。 1 つの SOAR 環境をサポートします。 |
| ログの取り込み |
クラウド脅威検出でサポートされているログに限定されます。リストについては、Google SecOps でサポートされているログデータの収集をご覧ください。 |
| リスク分析 | アクセス不可 |
サポートされている Google Security Operations の統合
次のセクションでは、Security Command Center Enterprise でサポートされている Google Security Operations Marketplace の統合を一覧表示します。次の表で、それぞれの列に表示されます。
パッケージ化され、事前に構成された統合: SCC Enterprise - Cloud Orchestration and Remediation ユースケースに含まれており、クラウドネイティブ アプリケーション保護プラットフォーム(CNAPP)のユースケースをサポートするように事前に構成されています。これらは、Security Command Center Enterprise を有効にして、Enterprise ユースケースを更新すると使用できます。
SCC Enterprise - Cloud Orchestration and Remediation のユースケースの構成には、たとえば、Jira と ServiceNow を使用してレスポンス ケースの事前定義された処理を行う専用のハンドブックが含まれます。統合は、Security Command Center Enterprise がサポートするすべてのクラウド プロバイダをサポートするように事前に構成されています。
ダウンロード可能な統合: Security Command Center Enterprise では、次の統合をダウンロードして、ハンドブックで使用できます。Google Security Operations Marketplace からダウンロードするバージョンは、Security Command Center Enterprise 専用には構成されておらず、追加の手動構成が必要です。
各統合は名前で一覧表示されます。特定の統合については、Google Security Operations Marketplace の統合をご覧ください。
アプリケーションまたは情報の種類 |
パッケージ化され、事前に構成された統合 |
ダウンロード可能な統合 |
|---|---|---|
Google Cloud と Google Workspace の統合 |
|
|
アマゾン ウェブ サービスの統合 |
|
|
Microsoft Azure と Office365 の統合 |
|
|
IT サービス管理(ITSM)関連のアプリケーション |
|
|
コミュニケーション関連のアプリケーション |
|
|
脅威インテリジェンス |
|
|
| * 統合が SCC Enterprise - Cloud Orchestration and Remediation ユースケースにパッケージ化されていません | ||
サポートされている Google SecOps ログデータの収集
以降のセクションでは、Security Command Center Enterprise をご利用のお客様が Google Security Operations テナントに直接取り込めるログデータの種類について説明します。このデータの収集メカニズムは、リソースと構成データを収集する Security Command Center の AWS コネクタ とは異なります。
情報はクラウド プロバイダごとにグループ化されています。
- Google Cloud ログデータ
- アマゾン ウェブ サービスのログデータ
- Microsoft Azure のログデータ
一覧表示されているログの種類ごとに、Google SecOps 取り込みラベル(GCP_CLOUDAUDIT など)が提供されます。Google SecOps の取り込みラベルの完全なリストについては、サポートされているログタイプとデフォルト パーサーをご覧ください。
Google Cloud
次の Google Cloud データを Google SecOps に取り込めます。
- Cloud Audit Logs(
GCP_CLOUDAUDIT) - Cloud Intrusion Detection System(
GCP_IDS) - Cloud Next Generation Firewall(
GCP_NGFW_ENTERPRISE) - Cloud Asset Inventory メタデータ
- Sensitive Data Protection のコンテキスト
- Model Armor ログ
次のものも有効にして Cloud Logging にルーティングする必要があります。
- AlloyDB for PostgreSQL のデータアクセス監査ログ
- Cloud DNS のログ
- Cloud NAT のログ
- Cloud Run
- Cloud SQL for SQL Server のデータアクセスの監査ログ
- Cloud SQL for MySQL のデータアクセスの監査ログ
- Cloud SQL for PostgreSQL のデータアクセスの監査ログ
- Compute Engine VM の authlog
- 外部アプリケーション ロードバランサのバックエンド サービス ログ
- 一般的なデータアクセス監査ログ
- Google Kubernetes Engine(GKE)のデータアクセスの監査ログ
- Google Workspace 管理者の監査ログ
- Google Workspace ログインの監査ログ
- IAM データアクセスの監査ログ
- Sensitive Data Protection のコンテキスト
- Model Armor ログ
- AuditD ログ
- Windows イベントログ
Linux VM インスタンスと Windows VM インスタンスからログを収集して Cloud Logging に送信する方法については、Google Cloud Observability エージェントをご覧ください。
Security Command Center Enterprise の有効化プロセスでは、 Google Cloud データを Google SecOps に取り込むように自動的に構成されます。詳細については、「Security Command Center のエンタープライズ ティアを有効にする」> 新しいインスタンスをプロビジョニングするをご覧ください。
Google Cloud データの取り込みの構成を変更する方法については、Google Security Operations に Google Cloud データを取り込むをご覧ください。
アマゾン ウェブ サービス
次の AWS データを Google SecOps に取り込めます。
- AWS CloudTrail(
AWS_CLOUDTRAIL) - AWS GuardDuty(
GUARDDUTY) - AWS EC2 ホスト(
AWS_EC2_HOSTS) - AWS EC2 インスタンス(
AWS_EC2_INSTANCES) - AWS EC2 VPCS(
AWS_EC2_VPCS) - AWS Identity and Access Management(IAM)(
AWS_IAM)
AWS ログデータの収集とキュレートされた検出の使用については、ログデータの収集のために AWS に接続するをご覧ください。
Microsoft Azure
次の Microsoft データを Google SecOps に取り込めます。
- Microsoft Azure Cloud Services(
AZURE_ACTIVITY)。データの収集の設定方法については、Microsoft Azure アクティビティ ログを取り込むをご覧ください。 - Microsoft Entra ID(旧 Azure Active Directory)(
AZURE_AD)。データの収集の設定方法については、Microsoft Azure AD ログを収集するをご覧ください。 - Microsoft Entra ID 監査ログ(旧 Azure AD 監査ログ)(
AZURE_AD_AUDIT)。データの収集の設定方法については、Microsoft Azure AD ログを収集するをご覧ください。 - Microsoft Defender for Cloud(
MICROSOFT_GRAPH_ALERT)。データの収集の設定方法については、Microsoft Graph API アラートログを収集するをご覧ください。
Azure ログデータの収集とキュレートされた検出の使用については、Microsoft Azure に接続してログデータを収集するをご覧ください。