Security Command Center Standardティアが刷新。自動有効化され、一部機能が利用可能に
はじめに
こんにちは。
クラウド事業本部コンサルティング部の渡邉です。
2026年2月11日より、Security Command Center Standard Tierで一部の機能の有効化と自動有効化が順次開始されています。
Security Command Centerは、Google Cloud環境内のセキュリティを管理するためのサービスですが、今回のアップデートでStandard Tierの機能セットが大きく変更されています。
一部の組織では自動的にStandard Tierが有効化されるケースもあるため、影響を正しく理解しておく必要があります。
今回の変更により、従来のStandar TierがStandard-legacy Tierと呼ばれるようになり、新しいStandard TierがStandard Tierと呼ばれるようになるようです。
今回は、Standard-legacy TierとStandard Tierについて機能の違い、自動有効化の条件、移行後に必要な対応についてまとめます。
Security Command Centerとは
Security Command Center(SCC)は、Google Cloudのセキュリティおよびリスク管理のためのサービスです。脆弱性の検出、コンプライアンスの監視、脅威の検出などの機能を提供します。
Security Command Centerには以下の3つの Tierがあります。
| Tier | 概要 |
|---|---|
| Standard | Google Cloudの基本的なセキュリティ・コンプライアンスのポスチャー管理。無料で利用可能 |
| Premium | Standardの全機能に加え、より高度な脆弱性検出・脅威検出機能を提供。有料 |
| Enterprise | マルチクラウド対応を含む、最も包括的なセキュリティ管理機能を提供。有料 |
今回のアップデートは、このうちStandard Tierに関する変更です。
Security Command Centerに関するブログ記事はいくつか執筆していますので、こちらもご確認いただけると幸いです。
今回の変更の概要
2026年2月11日より、Security Command CenterのStandard Tierが新しい機能セットに移行されます。従来のStandard TierはStandard-legacyと呼ばれるようになり、新しいStandard Tierへ段階的に移行が行われます。
この移行は数か月にわたって段階的に実施されます。そのため、自身の環境にすぐ適用されるわけではない点に注意してください。
Standard TierとStandard-legacy Tierの機能の違い
Standard Tierで新たに利用可能になった機能
Standard Tierで新たに利用可能になった機能について、下記に記載します。
今まで、Premium Tier以上でしか利用できなかった機能が、Standardでも利用することができようになっています。
個人的に、BigQueryやCloud Storageなど、Google Cloud上のデータを蓄積するサービスに対するセキュリティを強化してくれるデータ セキュリティ ポスチャーの管理や、Compute EngineやGKEなどのコンピューティングリソースにエージェントをインストールせず脆弱性を検出することができるGoogle Cloudの脆弱性評価がStandardで利用できるようになったのはかなり嬉しいポイントかなと思います。
| 機能 | 概要 |
|---|---|
| コンプライアンス マネージャー | コンプライアンスの評価・管理機能 |
| データ セキュリティ ポスチャーの管理 | データのセキュリティを管理する機能 |
| Google Cloudの脆弱性評価 | Google Cloud環境の脆弱性を評価する機能 |
| Mandiant CVE評価 | MandiantによるCVE(共通脆弱性識別子)の評価情報 |
Standard-legacyで利用可能だったがStandard Tierで廃止された機能
Standard-legacyからStandard Tierへ移行すると、Sensitive Data Protection検出サービスとWeb Security Scannerのカスタムスキャンが利用できなくなる点には注意が必要です。これらの機能を利用している場合は、Premium Tierへのアップグレードを検討する必要があります。
| 機能 | 概要 |
|---|---|
| Sensitive Data Protection検出サービス | 機密データの検出・分類サービス |
| Web Security Scannerのカスタムスキャン | Webアプリケーションの脆弱性をカスタムスキャンする機能 |
Security Health Analyticsの変更
今回の移行で大きな変更の一つが、Security Health Analyticsの検出機能の多くがコンプライアンス マネージャーのコントロールに移行されることです。
具体的には、以下のような変更が行われます。
- Security Health Analyticsの多くの検出機能が「Security Essentialsフレームワーク」のコンプライアンス マネージャーコントロールに移行
- 移行された検出結果には
launch_state="LAUNCH_STATE_DEPRECATED"というラベルが付与 - 一部の検出機能はSecurity Health Analyticsで引き続き利用可能
Standard Tier自動有効化の条件
今回の移行に伴い、一部の組織ではStandard Tierが自動的に有効化されます。
自動有効化される条件
以下のすべての条件を満たす組織が自動有効化の対象となります。
- 組織レベルでSCCがまだ有効化されていない
- 組織内のどこにもPremium Tierが有効化されていない
- リソースロケーション制約ポリシーによるデータレジデンシー要件がない
自動有効化の対象外となる組織
以下のいずれかに該当する場合は、自動有効化されず、手動で有効化をする必要があります。
- 組織でEnterprise Tierが有効化されている。
- 組織レベルまたはプロジェクトレベルでPremium Tierが有効化されている
- 組織ポリシーでリソースロケーション制約(データレジデンシー要件)が設定されている
データレジデンシーに関する注意事項
自動有効化に関連して、データレジデンシーに関する重要な注意事項があります。
ただし、以下のいずれかに該当する場合は、自動無効化されません。
- 自動有効化後にGoogle Cloudの脆弱性評価を手動で有効化した場合
- Premium TierまたはEnterprise Tierにアップグレードした場合
公式ドキュメントでは、組織で Security Command Center Standard が自動的に有効になったら、Google Cloudの脆弱性評価を有効にすることをおすすめします と記載がありますので、リソースロケーション制約ポリシーを設定している場合は、こちらの設定をご検討ください。
自動無効化された場合、既存の検出結果はグローバルリージョンに保存されますが、手動で再度有効化するまでアクセスできなくなります。
Standard Tier移行後に必要な対応
Google Cloudコンソールでの変更
移行後、Google Cloudコンソールに「セキュリティ分析情報が追加料金なしで有効になりました」というプロンプトが表示されるようになるようです。
手動で有効化が必要なサービス
以下のサービスは、Standard Tier移行後に手動での有効化や設定が必要になります。
| サービス | 備考 |
|---|---|
| Google Cloudの脆弱性評価 | 新規有効化の場合は手動で有効化が必要。Standard-legacyからの移行時は自動的に有効化される |
| Model Armor | 自動有効化以前に未使用の場合は追加の構成の設定が必要 |
API統合の更新
Google Security Operations (SecOps)や外部のSaaSアプリケーションに検出結果を取り組むためにSecurity Command CenterのAPIを利用している場合は、以下の対応が必要になります。
- 新しいソースとして「Compliance Evaluation Service」および「Vulnerability Assessment」が追加されるため、取り込みスクリプトの更新が必要
- Google Security Operationsなどの他のツールを使用している場合は、検索クエリに
AND NOT launch_state="LAUNCH_STATE_DEPRECATED"を追加して、移行済みの検出結果を除外することを推奨
まとめ
今回は、Security Command Center Standard Tierで一部の機能の有効化についてまとめてみました。
Standard Tierは追加料金なしで利用できるTierであり、データ セキュリティ ポスチャーの管理やGoogle Cloudの脆弱性評価といった機能が利用できるようになったのは嬉しいポイントかなと思います。
一方で、Sensitive Data Protection検出サービスやWeb Security ScannerのカスタムスキャンがStandard Tierから廃止されるため、これらの機能を利用している場合はStandard Tierで利用できなくなるため、Premiumへの移行を検討するなどの注意が必要です。
また、自動有効化の対象となる組織は、意図しないタイミングで有効化される可能性があるため、自分の組織が自動有効化の対象になるかを事前に確認しておくことをお勧めします。特にデータレジデンシー要件がある組織は、自動有効化後のリソースロケーション制約ポリシーの適用でSCCが無効化される可能性がある点にも注意が必要です。
この記事が誰かの助けになれば幸いです。
以上、クラウド事業本部コンサルティング部の渡邉でした!
