Google Cloud セキュリティ対策の参考資料
はじめに
クラウドエースの島田です。
突然ですが、皆さんはGoogle Cloudのセキュリティ対策をしていますか?
Google Cloudでシステムを構築する際にセキュリティ対策をしたいが、「何から手を付ければいいか分からない」、「どこまでやればいいのか分からない」そんな声を最近よくお客様から聞きます。
そこで今回、Google Cloudのセキュリティ対策に役立つ資料を以下の3つのケースごとに紹介したいと思います。
- コンプライアンス標準にしたがって対策したい
- Google Cloudのベストプラクティスにしたがって対策したい
- とにかく脆弱な設定を知りたい
コンプライアンス標準にしたがって対策したい
パブリッククラウドに対応したコンプライアンス標準はいくつかありますが、ここではCIS Benchmarkを紹介します。
CIS Benchmarkとは、Center for Internet Securityというアメリカの団体が作成しているセキュリティのベストプラクティスです。様々なOSやソフトウェアに対応しているのですが、今回紹介するのはそのGoogle Cloud版で、正式名称は以下です。
※記事執筆時点のバージョンは1.3.0です。
CIS Google Cloud Platform Foundation Benchmark
(PDFのダウンロードにはメールアドレスなどの入力が必要です)
CISでは、各設定の推奨値とその根拠、そして確認方法が以下のような形で記載されています。
注)細部は省略します。実際の記載は英語です。
| 項目 | 内容(例) |
|---|---|
| タイトル | 3.1 デフォルトネットワークが存在しないこと |
| 説明 | デフォルトネットワークの使用を防ぐため、プロジェクトにデフォルトネットワークを設定するべきではない |
| 根拠 | デフォルトネットワークは安全ではないファイアウォールルールを自動作成するため (省略) |
| 影響 | デフォルトネットワークを削除すると新しいネットワークへの移行が必要になる場合がある |
| 監査 | - コンソールでの確認方法 (省略) - CLIでの確認方法 (省略) - コンソールでの修正方法 (省略) -CLIでの修正方法 (省略) |
| 防止 | 組織ポリシーを設定することでデフォルトネットワークとファイアウォールルールが自動作成されるのを防ぐことができる https://console.cloud.google.com/iam-admin/orgpolicies/compute-skipDefaultNetworkCreation |
このように、各サービスの推奨設定とその根拠、確認方法と修復方法が具体的に記載されているのがCISの特徴です。加えて、一部の項目には修復方法だけでなく根本的な対処方法が記載されているのも参考になります。
Google Cloudのベストプラクティスにしたがって対策したい
アーキテクチャの観点からセキュリティを考えたい場合はGoogle Cloud Security Foundations Guideが役に立ちます。
- Google Cloud security foundations guide(英語)
- Security Foundations Blueprint(英語) (Google Cloud Security Foundations Guideを説明した公式ドキュメント)
- Build security into Google Cloud deployments with our updated security foundations blueprint(英語) (Google Cloud Security Foundations Guideを紹介したブログ)
Google Cloud Security Foundations Guideには、主にアーキテクチャの観点でセキュリティ上有用な情報がGoogle Cloudによってまとめられています。内容としては、以下のセクションごとに設計のポイントや注意事項、推奨設定、サンプルなどが記載されています。
- Google Cloudの組織構造と組織ポリシー
- 認証と認可
- リソース階層設計とデプロイメント
- ネットワーキング(セグメンテーションとセキュリティ)
- キーとシークレット管理
- ロギング
- 発見的コントロール
- Billingセットアップ
- セキュアなアプリケーションの作成とデプロイ
- 一般的なセキュリティガイダンス
Google Cloudで一からシステムを構築する場合や、これからGoogle Cloudを使い始める方に参考になると思います。
とにかく脆弱な設定を知りたい
コンプライアンス対応やアーキテクチャレベルではなく、Google Cloudの個々のサービス毎に設定レベルで対策したい、という場合には脆弱性に関する検出 (Security Health Analyticsの動作について説明したドキュメント)のページが役に立ちます。
Security Health Analyticsは、Security Command CenterというGoogle Cloudのセキュリティサービスの一部で、セキュリティ上脆弱な設定を検知する機能です。公式ドキュメントのページにSecurity Health Analyticsで何を検知するかの項目の一覧が記載されているため、この項目を参考にすることで、各サービスの脆弱な設定を知ることができます。
特徴としては、各種コンプライアンス標準に則った項目だけでなく、Google Cloud独自の検知項目があることです。
その他
Google Cloud セキュリティ ベスト プラクティス センター
Google Cloudがまとめているセキュリティのベストプラクティス集です。
先程紹介したSecurity Foundations Guideのような、全体設計に関わるところからDWHやコンテナなど特定の分野について言及したベストプラクティスもまとめられています。
Google Cloud セキュリティショーケース
Google Cloud セキュリティショーケースとは、「データ漏洩を防止、発見、修正するにはどうすればよいか」や「処理中のワークロードの機密性を保護するにはどうすればよいか」など、特定のユースケースに対処する方法を動画で紹介する公式ページです。
ドキュメントはなく、動画は全て英語なのですが、Googleの担当者が実際の画面を操作しながら説明してくれるので、操作イメージがつきやすいのが特徴です。
Google Workspace & Cloud Identityのセキュリティチェックリスト
クラウドのセキュリティを考えるうえで切り離すことができないのがアカウントセキュリティです。Googleは二大アカウントサービスであるGoogle WorkspaceとCloud Identityのセキュリティチェックリストを公開しています。
内容としては、「ユーザーによる2段階認証プロセスを必須にする」などの基本的な項目のほか、Google DriveやCalenderなどの個別サービスの推奨設定なども記載されています。
まとめ
Google Cloudはすぐに使い始めることができて便利な一方で、デフォルトの設定を使い続けるとセキュリティ上リスクになる場合があります。
新規システムの構築時や全社導入時など、キリのいいタイミングで一度設定を見直してみることをおすすめします。
Discussion