Google Cloudのセキュリティ、ちゃんと管理できていますか?プロジェクトが増えれば増えるほど、セキュリティリスクの把握は難しくなりますよね。この記事では、そんな悩みを解決するGoogle Cloudの強力なツール、「Security Command Center(以下、SCC)」について、その概要から効果的な活用方法までを分かりやすく解説します。
SCCは、Google Cloud上でのセキュリティ監視と管理を一元化する強力なツールです。資産の保護から脅威の検出、リアルタイムの検知まで幅広くサポートし、クラウド環境のセキュリティを高度に保つことができます。
ただし、SCCは脅威を検知してくれる機能が中心であり、修復作業はユーザー自身で行わなければならないので注意が必要です。
SCCには、スタンダード、プレミアム、エンタープライズの3つのサービスティアがあり、それぞれ利用できる機能が異なります。スタンダードは無料で利用可能です。
Security Health Analytics
Google Cloudのマネージド脆弱性評価スキャン機能です。
スタンダードティアには機能制限があります。
Web Security Scanner
Google Cloud上で稼働するWebアプリケーションの脆弱性評価スキャン機能です。
スタンダードティアには機能制限があります。
異常検出
サービスアカウントの漏洩・不正利用の可能性や、VMの不正利用の可能性を検出します。
Sensitive Data Protectionとの統合
検出された結果をSCCのダッシュボードで統合管理します。
Google Cloud Armorとの統合
検出された結果をSCCのダッシュボードで統合管理します。
BigQueryとの統合
SCCの検出結果をBigQueryにエクスポートできます。
Forseti Securityとの統合
OSSツールであるForseti Securityでの検知結果をSCCへ送信します。
スタンダードティアの機能に加え、より高度な脅威検知機能が提供されます。
Event Threat Detection
脅威インテリジェンス・機械学習などを使用して、組織ログをモニタリングし、脅威を検出します。
Container Threat Detection
GKE上で実行されるコンテナランタイム攻撃を検出します。
Cloud Run Threat Detection
Cloud Run上で実行されるコンテナランタイム攻撃を検出します。
Virtual Machine Threat Detection
VMインスタンス内で実行されている暗号通貨マイニングソフトウェアや、マルウェアなどを検出します。
VM Managerの脆弱性レポート
VM Managerによって検出されたCompute Engineの脆弱性診断結果をSCCへ送信します。
コンプライアンス状況の確認
様々なコンプライアンスへの準拠状況を確認できます。
プレミアムティアの機能に加え、さらに高度なAI機能が利用できます。
自然言語検索による脅威調査
自然言語クエリとGeminiを使用して、脅威の検出結果、アラート、その他の情報の検索を生成できます。
ケースのAI調査ウィジェット
Geminiが各ケースの概要を提供し、ケースを調査するために実行できる次のステップを提案します。
マルチクラウドサポート
AWSやAzureも対応可能となります。
SCCを最大限に活用するには、検知された脅威や脆弱性に迅速かつ効率的に対応する仕組みを構築することが重要です。
組織レベルでのプレミアムティア有効化
組織レベルでSCCのプレミアムティアを有効化することは、Google Cloudにおけるベストプラクティスの一つです。
これにより、組織全体のすべてのフォルダやリソースが自動的にスキャン対象となり、セキュリティ状態を一元的に把握できるようになります。
新しいプロジェクトが作成されるたびに手動でSCCを有効化する必要がなくなり、設定漏れを防ぐことができます。
通知機能の連携
SCCには標準のアラート通知機能がないため、継続的エクスポート機能を利用して、Pub/Sub経由でCloud Functionsなどのサービスと連携し、Slackやメールなどにアラートを送信する仕組みを構築します。
通知のフィルタリング
SCCの検知量は重大度がUnspecified、Low、Medium、High、Criticalまであり、導入初期などは検知量が膨大になります。
すべてのアラートを通知すると運用がパンクしてしまう可能性があります。
重大度がHigh以上などの通知フィルターを作成する方針が有効です。これにより、アラート数は大幅に減少します。
ミュート機能の活用
検出のミュート機能を使用することで、過剰なアラートの発生を抑え、より重大な通知に注力できます。
SCCの課金は、プレミアム及びエンタープライズティアにのみ適用されます。
プレミアムティアはプロジェクト、組織レベルでの従量課金制か組織レベルでのサブスクリプション形式で計算され、エンタープライズティアは組織レベルでのみ使用可能で、サブスクリプション形式での課金体系となっています。
プレミアムティアの料金は以下の様な課金形態となっています。
|
Google Cloudサービス |
料金(プロジェクトレベル) |
料金(組織レベル) |
|
Compute Engine |
$0.0071/vCPU時間 |
$0.0057/vCPU時間 |
|
GKE Autopilot モード |
$0.0071/vCPU時間 |
$0.0057/vCPU時間 |
|
Cloud SQL(AlloyDBも含まれる) |
$0.0071/vCPU時間 |
$0.0057/vCPU時間 |
|
App Engine - スタンダード環境 |
$0.001781/インスタンス時間 |
$0.001425/インスタンス時間 |
|
App Engine - フレキシブル環境 |
1vCore時間あたり$0.0071 |
1vCore時間あたり $0.0057 |
|
Cloud Storage |
クラスAオペレーション1,000 回あたり$0.002 クラスBオペレーション1,000 回あたり$0.0002 |
クラスAオペレーション1,000 回あたり$0.0016 クラスBオペレーション1,000 回あたり$0.00016 |
|
BigQuery オンデマンド コンピューティング(分析) |
処理データ1TBあたり$1.00 |
処理データ1TBあたり$0.80 |
|
BigQuery のキャパシティコンピューティング(分析)- エディション |
1時間あたり$0.00548 |
1時間あたり$0.004384 |
スタンダードティアは無料で利用できるので、有効化しておいて損はありません。
組織レベルでプレミアムまたはエンタープライズティア有効化することで、SCCがすべてのフォルダやリソースをスキャンでき、セキュリティを強化できます。
他のサービス(例: Cloud Armor、Artifact Analysisなど)と併用することで、より高いセキュリティを実現します。
クラウド特有のセキュリティを担保するうえで、SCCは心強い味方になってくれます。SCCはGoogle Cloudセキュリティの司令塔と言えるでしょう。
SCCは完璧ではないため、Cloud ArmorやArtifact Analysisといった様々なセキュリティ対策サービスを活用し、カバーしてあげる必要があります。
また、あくまでSCCは検知ができるものであって、自動修復などはしてくれない点にも注意が必要です。
日本情報通信株式会社(NI+C)は、Google Cloudのプレミアパートナーとして、お客様のクラウド活用を支援しています。Google Cloudのインフラ設計・構築から運用サポートまで、幅広いサービスを提供していますので、こちらからお気軽にご相談ください。