[アップデート] Security Command Center に Enterprise tier が追加されていたので調べてみた

2024/4/2のリリースノートにて Security Command Center の Enterprise tier が GA にてリリースされたことが発表されていました。

しかし、現時点では機能の詳細等についての情報が少ないためドキュメントから読み取れる情報より概要を調べてみます。

Security Command Center のサービスティア

Security Command Center には今まで Standard(無償) と Premium(有償) の2つのティアがありました。

Standard tier の主要なサービスは以下です。

• Security Health Analytics(制限あり)：Google Cloud が提供する脆弱性評価スキャン機能により、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出する。
  
• Web Security Scanner(制限あり)：公開アプリケーションの OWASPトップ10のカテゴリの一部のカスタムスキャンをサポート。
  

Premium tier の主要なサービスは以下です。

• Security Health Analytics：Standard で利用できる機能に加え、Google Cloud が提供する脆弱性評価スキャンのすべての検出項目や様々なセキュリティ標準に基づくスキャン、またはカスタムスキャンをサポート。
  
• Web Security Scanner：Standard で利用できる機能に加え、OWASPトップ10のカテゴリに対応する追加の検出項目が含まれる。また、自動構成のマネージドスキャンをサポート。
• Event Threat Detection：Cloud Logging や Google Workspace のログから、脅威インテリジェンスやMLなどを利用してマルウェアや不正データ引き出しなどの脅威を検知する。
  
• Container Threat Detection：追加されたバイナリ実行やライブラリの読み取りなどのコンテナランタイム攻撃を検出する。
  
• Sensitive Actions Service：組織、フォルダ、プロジェクトでの悪意あるアクションを検出する。
  
• Virtual Machine Threat Detection：VMインスタンス上の悪質なアプリケーションを検出する。
  
• 攻撃パスシミュレーション：脆弱性や構成ミスから攻撃の発生可能性スコアを割り当て、想定される攻撃のパスを可視化し特定できる。
  

その他、セキュリティ統制や管理のための様々な機能が利用可能となったり、各機能の脆弱性の検出結果には Mandiant が提供するCVE評価が追加されるなどといった利点が得られます。

詳細は以下ドキュメントをご参照ください。

Enterprise tier とは？

本ブログ執筆時点(2024/4/5)ではリリースノートと英語版ドキュメントからのみしか情報が得られませんでした。
以下、英語版ドキュメントから情報を整理します。

Enterprise tierは、マルチクラウドのクラウドセキュリティを一元的に管理する完全なCNAPP(Cloud Native Application Protection Platform)であるとのことです。

位置づけは Standard と Premium の上位ティアにあたるようで、Standard と Premium の全ての機能が利用可能です。
また、ケース管理、Playbook、SIEM/SOAR やその他機能が Chronicle Security Operations によって提供されます。

つまり、Cecurity Command Center に Chronicle Security Operations を統合し、マルチクラウドのインフラストラクチャやワークロードのセキュリティを統合管理可能となるのが Enterprise tier だと言えます(ただし、Chronicle Security Operations にて提供される Chronicle SecOps の一部は Security Command Center Enterprise tier で制限されています)。

提供される機能についてもう少し詳細を見ていきます。

Enterprise tier の提供機能

マルチクラウドサポート

Security Command Center を複数のクラウドプロバイダーに接続し、脅威、脆弱性、設定ミスを検出することが可能です。また、他のクラウドプロバイダー上のリソースに対して攻撃パスシミュレーションを適用することができます。
本ブログ執筆時点(2024/4/5)では AWS をサポートしています。

SIEM

Chronicle SecOps が提供する SIEM 機能です。
複数のクラウド環境や Security Command Center の調査結果からのリソースメタデータからログを取り込み正規化したうえで、脅威の検出、脅威検出ルールの定義、統合されたSIEMデータ全体の検索を可能にします。

本ブログ執筆時点(2024/4/5)で収集可能なログは以下です。

• Google Cloud
  
• Cloud Audit Logs Admin Activity Logs
  
• Cloud Audit Logs Data Access Logs
  
• Compute Engine syslog
  
• GKE Audit Log
  
• Google Workspace
  
• Google Workspace events
  
• Google Workspace alerts
  
• AWS
  
• CloudTrail audit logs
  
• Syslog
  
• Auth logs
  
• GuardDuty events
  

SOAR

Chronicle SecOps が提供する SOAR 機能です。
ケースによる検出・調査・レスポンスの管理や Playbook によるレスポンスワークフローの自動化を提供します。また、Jira や ServiceNow などの 3rd Party ITマネジメントプロダクトと統合してポスチャー管理が可能です。

Security Operation Console

Security Command Center で SIEM/SOAR を含む Chronicle Security Operations の機能を利用するための特別な統合管理コンソールです。
以下のように Chronicle Security Operations によく似た管理画面のようです。

Security Command Center の強化

Security Command Center で利用できるサービスの強化が図られています。リリースノートから強化のポイントを簡単にまとめます。

• AWSリソースに対する設定ミスや脅威検知など、AWSセキュリティ標準の追加
  
• Security Command Center サービスと SIEM/SOAR の統合による様々な機能強化
  
• Mandiant Attack Surface Management との統合による脅威スキャン機能強化
  
• 自然言語による脅威検索やAIによる調査をGeminiがサポート
  
• Validate IaC機能(組織ポリシーに対してIaCにて新規/変更したリソースがポリシーに違反しているか検査)の提供
  
• Assured OSS との統合により追加ライセンスなしで Assured OSS の有償版を利用
  

利用料金

Security Command Center が保護するワークロード数に基づく年単位のサブスクリプション購入となり、Google Cloud セールスまたはパートナー経由で購入する必要があります。

ワークロード数の積算方法や費用計算方法の詳細は以下をご参照ください。

さいごに

Enterprise tier についてはリリース直後といこともあり英語版公式ドキュメントを除いて情報が少ないため、今後も継続調査してまいります。なお、2024/4/9～11に開催される Google Cloud Next '24 でも本件に関する具体的な内容が聞けそうなセッションがあり期待しています。
今年は弊社から6人が現地参加予定で、セッションレポートなどは随時共有してきたいと思います。

また、Next '24 の翌週に帰国したばかりの現地参加メンバーが振り返り勉強会を行いますので是非とも現地でご参加ください！