こんにちは!私はプラットフォーム・サービス部マネージドサービスチームでセキュリティを担当しているオーリーです。 日々、最新のセキュリティ情報やトレンドを積極的にキャッチアップしています!
Google Cloudが提供するセキュリティ管理プラットフォームであるSecurity Command Centerについて、実際の検証結果をもとに解説します。 今回は、全3回でお届けするうちの第1回としてSecurity Command Centerの概要と、その背景にあるCNAPPという新しいセキュリティアプローチについてご紹介します。
はじめに
クラウド環境が日々複雑になっていく中で、セキュリティリスクを可視化して効率よく管理するというのは、多くの企業が頭を悩ませている課題です。特に複数のクラウドサービスを使い分けている環境では、設定ミスを見つけたり、脆弱性に対応したりする作業が分散してしまい一元管理が難しくなっています。
そこで今回は、Google Cloudが提供しているSecurity Command Center (以下、SCC)というセキュリティ管理ツールについて、検証した結果をご紹介します。SCCは、クラウドネイティブアプリケーション保護プラットフォームである通称CNAPPの代表格で、クラウド環境のセキュリティを一箇所で見渡せて、効率よく対策を打てる心強い味方になってくれます。
CNAPPとは?
CNAPP(シーナップ)はCloud Native Application Protection Platformの略で、クラウド環境におけるセキュリティ対策を統合的に提供するプラットフォームです。
クラウドセキュリティの課題
従来、クラウドセキュリティは様々な専門ツールやサービスに分散していました。
- 設定ミスを検出するツール/サービス
- 脆弱性をスキャンするツール/サービス
- 権限を管理するツール/サービス
- データ保護状況を確認するツール/サービス
これらのツールやサービスがバラバラに存在することで、全体像の把握が難しく、対応も非効率になっていました。
CNAPPの主要要素
CNAPPは、これらの分散したセキュリティ機能を一つの包括的なプラットフォームに統合し、クラウド環境全体を保護するための新しいアプローチです。
| 主要要素 | 機能 | 説明 |
|---|---|---|
| CSPM | クラウド設定管理 | リソースの設定ミスや脆弱性を検出 |
| CWPP | ワークロード保護 | VM、コンテナなどの実行環境を保護 |
| CIEM | 権限管理 | 過剰な権限付与を検出・分析 |
| DSPM | データ保護管理 | 機密データの所在と保護状況を確認 |
| KSPM | Kubernetes設定管理 | Kubernetesクラスタの設定ミスを検出 |
| その他 | IaCスキャン、アプリ脆弱性管理、脅威検知・対応など | 多様なセキュリティ機能 |
上記の主要要素として整理して、一つのプラットフォームに統合します。 各要素は独自の役割を持っていますが、それぞれ連携して動作することで、より効果的な対策が可能になります。
※CNAPPの要素はまだ統一されておらず、資料やサービスによって異なる場合があります。
Security Command Center(SCC)とは?
Security Command Centerは、Google Cloudが提供する包括的なセキュリティ管理プラットフォームです。脆弱性や設定ミス、脅威を検出・管理し、クラウド環境のセキュリティ状態を一元的に可視化するための統合ソリューションとして機能します。
SCCの提供する価値
1. クラウドリソースの継続的な監視、脆弱性の早期発見
クラウド環境の変化を監視し、新たな脆弱性や設定ミスをリアルタイムに近い形で検出します。脆弱性の課題が深刻化する前に対処できるようになります。
2. セキュリティリスクの可視化、優先順位付け
検出された問題を重要度に応じて整理し、どの問題から対応すべきかを提示してくれます。効果的な対応ができるように、意思決定をサポートします。
3. セキュリティ侵害の予防と迅速な対応の実現
潜在的な脅威を事前に検出し、攻撃の経路を特定することで、実際の侵害が発生する前に対策することができます。また、インシデント発生時には迅速な対応をサポートします。
4. 業界標準に基づくコンプライアンス管理の効率化
CIS、ISO、PCI DSSなど、様々な業界標準やコンプライアンス要件への準拠状況を自動的に評価し、報告します。
SCCの主要機能
SCCは複数の検出サービスと統合ダッシュボードから構成されています。各検出サービスは特定の機能があり、統合されたセキュリティ状況を提供します。
| 機能 | 説明 | CNAPPカバー領域 |
|---|---|---|
| Security Health Analytics | クラウド設定の脆弱性検出 | CSPM (クラウド設定管理) |
| Web Security Scanner | Webアプリケーションの脆弱性検出 | ASPM (アプリ脆弱性管理) |
| Event Threat Detection | ログベースの脅威検出 | CDR (クラウド脅威検知) |
| Container/VM Threat Detection | コンテナ/VM環境の脅威検出 | CWPP (ワークロード保護) |
| Asset Discovery & Inventory | クラウドリソースの可視化 | CSPM (クラウド設定管理) |
SCCの提供ティア
SCCは組織のニーズと予算に合わせて選択できる3つの異なるティアで提供されています。 実運用においては、機能の充実したPremiumまたはEnterpriseティアの利用が推奨されます。
【凡例】○:対応 △:制限有 ×:非対応
| 機能 | Standard (無料) |
Premium (従量課金) |
Enterprise (サブスクリプション) |
|---|---|---|---|
| 有効化レベル | プロジェクト/組織 | プロジェクト/組織 | 組織のみ |
| 脆弱性検出 | △ (重大度高のみ) |
○ | ○ |
| コンプライアンスレポート | × | ○ | ○ |
| 攻撃パスシミュレーション | × | ○ | ○ |
| IaCスキャン | × | ○ | ○ |
| マルチクラウド対応 | × | × | ○ |
| Google SecOpsの統合 | × | × | ○ |
| 3rdパーティ製品との統合 | × | × | ○ |
まとめ
今回のPart 1では、Security Command Centerの概要と、その背景にあるCNAPPという新しいセキュリティアプローチについてご紹介しました。 クラウド環境が複雑化する中で、従来のバラバラなセキュリティツールでは対応が困難になってきています。 SCCは、CNAPPの考え方に基づいて、これらの課題を一つのプラットフォームで解決する強力なソリューションです。 次回のPart 2では、実際にSCCのCSPM機能を検証した結果を詳しくお伝えします。
「SCCって実際どんな感じで動くの?」
「本当に使いやすいの?」
といった疑問にお答えできる内容になっていますので、Part 2もお楽しみに!
