はじめに
クラウド環境のセキュリティ運用は、脆弱性対応・データ保護・アクセス制御・脅威検知など多くの領域にまたがります。2026年6月29日〜7月5日の期間は、Cloud Service Mesh の脆弱性修正、Sensitive Data Protection のファイルラベル検出、VPC Service Controls のアイデンティティ拡張、そして Google SecOps の統合ルールインターフェースや Security Tokens など、運用に直結するアップデートが発表されました。
本記事では、この期間に発表された Google Cloud セキュリティカテゴリの主要アップデート8トピックを、リリース日の昇順で解説します。脆弱性対応、データ保護、境界・アクセス制御、セキュリティオペレーション(Google SecOps)まで、セキュリティ担当者・IT 部門が把握しておきたい内容を取り上げています。
特に Cloud Service Mesh の複数バージョンにおける脆弱性修正(GCP-2026-045) と Google SecOps の統合ルールインターフェース(Public Preview)・Security Tokens は、自社環境への影響や活用方針を検討したい内容です。経営層はリスク低減とコストの観点から、IT 担当者は適用判断の観点から読み進めていただくと役立ちます。
| 対象期間 |
2026年6月29日〜2026年7月5日 |
| 対象製品 |
Google Cloud |
| 対象カテゴリ |
セキュリティ |
| アップデート件数 |
8件(主要トピック) |
今回のアップデート一覧
アップデート詳細
1. Cloud Service Mesh — 複数バージョンでセキュリティ脆弱性 GCP-2026-045 を修正
Cloud Service Mesh(CSM。サービス間の通信を管理・保護するマネージドサービスメッシュ)で、セキュリティ脆弱性 GCP-2026-045 の修正を含む複数のパッチバージョンが提供開始されました(2026年6月29日)。in-cluster デプロイメント向けに 3 系統のバージョンが公開され、あわせて Gateway API on GKE 向けのマネージド版プロキシも提供されます。
✨ 使えるようになる機能
- 1.29.5-asm.5(in-cluster): GCP-2026-045 の修正を含み、Envoy v1.37.5 を使用します
- 1.28.9-asm.4(in-cluster): GCP-2026-045 の修正を含み、Envoy v1.36.9 を使用します
- 1.27.9-asm.9(in-cluster): GCP-2026-045 の修正を含み、Envoy v1.35.13 を使用します
- マネージド版プロキシ csm_mesh_proxy.csm_mesh_proxy.20260624e_RC01: Gateway API on GKE クラスタ向けに、Managed Cloud Service Mesh の全リリースチャネルへ 1 週間かけて順次展開されます。こちらは GCP-2026-040 の修正を含みます
⚠️ 使えなくなる機能 / 変更点
- 本アップデートはセキュリティ脆弱性の修正を目的としたパッチリリースです。素材上、廃止・非推奨化された機能や破壊的変更の記載はありません
- 対象の脆弱性 GCP-2026-045 の詳細は、公式のセキュリティ情報(Security bulletins)で確認できます
🤔 判断観点
- 緊急性: セキュリティ脆弱性の修正が含まれます。深刻度や影響の詳細は、公式のセキュリティ情報(GCP-2026-045 / GCP-2026-040)で確認する観点があります
- 影響範囲: in-cluster で Cloud Service Mesh を運用している場合と、Gateway API on GKE でマネージド版を利用している場合とで、適用対象が異なります。自社の構成がどちらに該当するかを確認する観点があります
- ロールアウト戦略: in-cluster はご自身でアップグレードを実施します。マネージド版はリリースチャネルに沿って自動的に順次展開されるため、反映タイミングを念頭に置く観点があります
- 検証推奨事項: 使用中の Envoy バージョンや、アップグレード手順(公式のアップグレードガイド)を事前に確認する観点があります
💼 こんな場面で活用できます(ユースケース)
マイクロサービス間の通信を Cloud Service Mesh で運用しているプラットフォームチームが、脆弱性へ対応するケースに該当します。対象バージョンを利用中の組織は、公式情報を確認のうえ適用方針を検討する場面が想定されます。
📚 公式ソース
2. Sensitive Data Protection — ファイルラベル(Google Drive / Microsoft 機密ラベル)の検出に対応
Sensitive Data Protection(旧 DLP API。機微なデータの検出・保護を行うサービス)で、特定のファイルラベルを検出するように構成できるようになりました(2026年6月29日)。ここでいうファイルラベルには、Google Drive のラベルまたは Microsoft の機密ラベル(sensitivity labels)が含まれます。
🔍 何が変わったのか
- Sensitive Data Protection を、特定のファイルラベルを検出するように構成できるようになった
- 検出対象のファイルラベルには、Google Drive ラベルまたは Microsoft 機密ラベルを指定できる
- カスタムのメタデータラベル検出器(custom metadata label detector)として作成できる
💼 こんな場面で活用できます(ユースケース)
「社外秘」「機密」といった分類ラベルが付与されたファイルを、組織のデータガバナンスのルールに沿って検出したいケースに有効です。Google Drive のラベルや Microsoft の機密ラベルを手がかりに、保護すべきファイルを見分けるカスタム検出器を構成できます。
✨ 導入メリット
- 既存のラベル運用(Google Drive / Microsoft 機密ラベル)を活かして、機微なファイルを検出できます
- ラベルという明確な基準で検出を組み立てられ、データ分類の運用と検知を連動させやすくなります
- データガバナンス・情報漏えい対策の観点から、保護対象の把握を支えます
📚 公式ソース
3. VPC Service Controls — ingress / egress ルールで利用できるアイデンティティが拡張(GA)
VPC Service Controls(VPC SC。データ漏えい防止のためのサービス境界を設けるサービス)で、サービス境界に保護されたリソースへのアクセスを許可する際に、ingress / egress ルールで利用できるアイデンティティが拡張され、一般提供(GA)となりました(2026年6月29日)。
🔍 何が変わったのか
- ingress / egress ルールで Agent identities を利用できるようになった(GA)
- ingress / egress ルールで サードパーティのワークフォース/ワークロード ID の SPIFFE 形式を利用できるようになった(GA)
💼 こんな場面で活用できます(ユースケース)
サービス境界を運用しつつ、AI エージェントや外部(サードパーティ)のワークフォース・ワークロードから、境界内の保護されたリソースへアクセスさせたい組織に有効です。標準化されたアイデンティティ形式(SPIFFE)を用いて、ingress / egress ルールにアクセス許可を組み込めます。
✨ 導入メリット
- エージェントやサードパーティ ID をルールに指定でき、境界を保ったままアクセス許可の対象を柔軟に設計できます
- SPIFFE 形式に対応することで、標準的なアイデンティティ体系に沿った境界設計を行えます
- GA 提供のため、本番環境での境界設計に組み込みやすくなります
📚 公式ソース
4. reCAPTCHA — Mobile SDK v18.9.2(Android)を提供
reCAPTCHA(不正・ボットからの保護を行うサービス)の Mobile SDK v18.9.2(Android 向け)が提供開始されました(2026年6月29日)。このバージョンには軽微なバグ修正が含まれます。
✨ 使えるようになる機能
- 軽微なバグ修正を含むメンテナンスリリースであり、素材上、公式にハイライトされた新機能はありません
⚠️ 使えなくなる機能 / 変更点
- 素材上、廃止・非推奨化された機能や破壊的変更の記載はありません
🤔 判断観点
- 影響範囲: Android アプリで reCAPTCHA Mobile SDK を利用している開発チームが対象です
- 検証推奨事項: SDK バージョン更新時は、アプリのビルド・動作に影響がないかを確認する観点があります
- 緊急性: 軽微なバグ修正が中心のリリースであり、適用のタイミングは自社のアプリ更新計画に沿って判断する観点があります
📚 公式ソース
5. Google SecOps — 統合ルールインターフェースが Public Preview で提供
セキュリティオペレーション基盤 Google SecOps(旧 Chronicle SIEM を含む)で、新しい統合ルールインターフェース(Unified rules interface)が Public Preview として提供開始されました(2026年6月30日)。カスタムルールとキュレーテッドルール(Google 提供の検知ルール)の管理を、単一のワークフローにまとめるものです。
🔍 何が変わったのか
- カスタムルールとキュレーテッドルールの管理を、単一の一貫したワークフローに統合
- 再設計されたダッシュボード、高度なルールエディタ、拡張された API により、ルールのデプロイやトラブルシュートを効率化
- 従来の体験(legacy experience)にも切り替え可能(画面右上の「Switch to the legacy experience」から)
💼 こんな場面で活用できます(ユースケース)
検知エンジニアリング(detection engineering)を担う SOC チームが、独自に作成したカスタムルールと Google 提供のキュレーテッドルールを、同じ画面でまとめて管理・調整したいケースに有効です。ルールの作成からデプロイ、トラブルシュートまでを一貫した流れで進められます。
✨ 導入メリット
- カスタム/キュレーテッドのルール管理を 1 か所に集約でき、運用の分散や属人化を抑えられます
- 再設計されたダッシュボードと高度なエディタにより、ルールの調整・トラブルシュートを効率化できます
- 従来の体験にも切り替えられるため、段階的に新インターフェースへ移行できます
📚 公式ソース
6. Google SecOps — Security Tokens(エージェント消費のメータリング)を提供
Google SecOps で、Security Tokens が提供されるようになりました(2026年7月1日、全リージョンへ順次展開)。これは、SecOps 内でのエージェント(agentic)による消費を計測(メータリング)するための仕組みです。
🔍 何が変わったのか
- Security Tokens により、SecOps 内のエージェント消費が計測されるようになった
- トークンを消費するのは一般提供(GA)のセキュリティエージェントのみ。これらは Web インターフェース・CLI・チャット・Model Context Protocol(MCP)を通じて、自動または手動で呼び出される
- 標準チャットパネルや自動サマリーなどのアシスト機能、およびプレビュー段階のエージェントは、Security Tokens を消費しない
- 2026年7月1日から全リージョンへロールアウトを開始
💼 こんな場面で活用できます(ユースケース)
Google SecOps の AI エージェント機能を活用する SOC チームや、その利用状況・コストを把握したいセキュリティ管理者に関係します。どの利用がトークンを消費するのか(GA のエージェントのみ)を理解することで、エージェント活用のコストを見積もりやすくなります。
✨ 導入メリット
- エージェントによる消費が計測されるため、AI 活用のコストを把握・管理しやすくなります
- アシスト機能やプレビューエージェントは消費対象外であることが明示され、消費の対象範囲を判断できます
- 料金・課金の詳細が公式ドキュメントで確認でき、コスト最適化の検討材料になります
📚 公式ソース
7. Google SecOps — Advanced BigQuery Export のセキュリティ・コンプライアンスを強化(Preview)
Google SecOps の Advanced BigQuery Export 機能で、パフォーマンスとカバレッジ、およびセキュリティ・コンプライアンスの強化が発表されました(2026年7月1日)。本機能は Preview 段階で、Google SecOps Enterprise Plus のお客様のみが対象です。
🔍 何が変わったのか
- 対象データセットの拡張: UDM イベント・ルール検知・IoC マッチに加え、Entity Graph と Ingestion Metrics のエクスポートに対応
- セキュリティ・コンプライアンス強化: VPC Service Controls(VPC-SC)、顧客管理暗号鍵(CMEK)、データレジデンシー(DRZ)にネイティブ対応。顧客向け監査ログ(Access Transparency)は Federated Resource Identification Service により、お客様の Cloud Logging ワークスペースへ直接配信
- データ整合性・重複排除: Fine-Grained DML マージによりレコードを更新し、複雑な SQL を書かずに重複排除済みのデータを受け取れる
- MSSP 対応(hub and spoke): マネージドセキュリティサービスプロバイダ(MSSP)が、中央の「Hub」プロジェクトから複数テナントのリンク済みデータセットにプログラムで購読し、分析を横断管理できる
- Enum マッピングテーブル: 数値の enum 値を人が読める文字列に変換するためのマッピングテーブルが追加
💼 こんな場面で活用できます(ユースケース)
SecOps のセキュリティデータを BigQuery で分析したい Enterprise Plus のお客様に有効です。データは Google 管理のプロジェクトに保持され、自社の Google Cloud プロジェクトには読み取り専用のリンク済みデータセットとして表示されます。パイプラインの管理やストレージ費用を負担せずに、ローカルにデータをクエリできます。複数テナントを扱う MSSP にも適しています。
✨ 導入メリット
- VPC-SC・CMEK・データレジデンシーにネイティブ対応し、コンプライアンス要件に沿ったデータ活用を進められます
- 重複排除済みのデータを受け取れるため、複雑な SQL の整備なしに分析へ着手できます
- パイプライン管理・ストレージの負担を抑えつつ、セキュリティデータを自社プロジェクトからクエリできます
⚠️ 利用にあたっての留意点
- 本機能は Public Preview であり、リクエストに応じて有効化されます。組織の SecOps インスタンスで初期設定が必要な場合があり、有効化の可否は Google SecOps 担当へ確認が必要です
- Enterprise Plus 限定の機能です
- Public Preview 期間中は移行を円滑にするため、既存の Google 管理 BigQuery プロジェクトに加えて、新しい BigQuery テナントプロジェクトへも並行してデータがエクスポートされます。旧エクスポートパイプラインの無効化前に通知されます
📚 公式ソース
8. Google SecOps — Marketplace(Proofpoint Email Protection)と SOAR 各リリースの更新
セキュリティオペレーション基盤 Google SecOps 周辺では、この期間に Marketplace の統合更新と SOAR の各リリースがまとめて提供されました(2026年7月1日〜7月5日)。
✨ 使えるようになる機能 / 変更点
- Proofpoint Email Protection バージョン 8.0(Marketplace): 隔離メールの検索・プログラムによる管理を行う新しいアクションが追加されました(Search Quarantined Emails / Delete Quarantined Email / Resubmit Quarantined Email / Move Quarantined Email)。あわせて、新しいフレームワークに対応するため Enrich Entities・Ping アクションのバックエンドスクリプト実装が更新されました
- SecOps SOAR リリース 6.3.91(7月4日): 全リージョンで利用可能になりました
- SecOps SOAR リリース 6.3.92(7月5日): 第一フェーズのリージョンへロールアウトが開始されました。内部・顧客のバグ修正を含みます
💼 こんな場面で活用できます(ユースケース)
SecOps SOAR の Playbook(自動対応手順)で外部ツールと連携している SOC チームに関係します。とくに Proofpoint Email Protection を利用する組織では、隔離メールの検索・削除・再送・移動といった操作を Playbook から自動化しやすくなります。
🤔 判断観点
- 影響範囲: Proofpoint Email Protection の連携を利用しているチーム、および SOAR を運用している SOC チームが主な対象です
- 検証推奨事項: 更新されたアクション(Enrich Entities・Ping 等)を利用中の場合、Playbook の動作に影響がないか確認する観点があります
- ロールアウト戦略: SOAR リリース 6.3.92 はリージョン単位で段階的に展開されます。自社リージョンへの反映タイミングを念頭に置く観点があります
📚 公式ソース
まとめ
2026年6月29日〜7月5日のセキュリティカテゴリは、脆弱性対応・データ保護・境界制御・セキュリティオペレーションの各領域でバランスよく強化が進みました。脆弱性対応では Cloud Service Mesh が複数バージョンで GCP-2026-045 を修正しています。データ保護・境界制御では、Sensitive Data Protection のファイルラベル検出と VPC Service Controls のアイデンティティ拡張(GA)により、機微データの把握とアクセス許可設計の選択肢が広がりました。
セキュリティオペレーションでは、Google SecOps の統合ルールインターフェース(Public Preview)と Security Tokens、そして Advanced BigQuery Export の強化が発表され、検知運用の効率化と AI エージェント活用のコスト管理が前進しました。脆弱性修正を含む Cloud Service Mesh については、自社の構成(in-cluster / マネージド)を確認し、公式のセキュリティ情報をもとに適用方針を見極めることをご検討ください。
なお、この期間には Container Optimized OS でも Linux カーネルの脆弱性を修正する多数のセキュリティ情報(68 件の CVE 対応)が公開されており、コンテナ基盤の OS レイヤーでも継続的な脆弱性対応が進んでいます。
関連 XIMIX 記事
XIMIX からのご案内
XIMIX(サイミクス)は NI+C が運営する Google Cloud プレミアパートナーサービスです。Google Cloud / Google Workspace の導入・活用支援、セキュリティ強化、データ活用などをご支援しています。本記事で取り上げた Cloud Service Mesh や VPC Service Controls、Google SecOps の活用にご関心がありましたら、お気軽にご相談ください。
参考資料