SCC Enterprise:次世代マルチクラウドセキュリティ最前線!
はじめに
Google Cloud Partner Top Engineer で
本記事では次世代マルチクラウドセキュリティ最前線と題して、Security Command Center Enterprise (以下、SCCE)についてご紹介します。
Security Command Center とは
従来の CNAPP 製品とその課題
クラウド攻撃は巧妙化の一途をたどり、対処に多くの手間が発生しています。
CNAPP などの対策製品が登場していますが、組織やシステムの成長に伴い運用が複雑になりがちです。
大規模運用では、多数の製品を組み合わせる必要があり、以下のような課題を抱えるケースがあります。
- 一次対処における情報収集と問題の切り分けの困難さ
- インシデント対応における担当者の割当や状況共有の漏れ
- 対処後の調査や相関分析の遅れによる再発防止策の不徹底
CNAPP を進化/補完した SCCE
本記事で紹介する Security Command Center Enterprise(以降、SCCE)は、CNAPP+SIEM/SOAR を Google Cloud 上で統合セキュリティサービスとして提供するソリューションです。
利用されている方も多い Security Command Center Premium(以降、SCCP)の機能に加え、Enterprise Tier では下記のような特徴があります。
- 組織が利用するマルチクラウド環境のセキュリティをマルチクラウド CNAPP で一元管理
- 組み込まれた SOAR により、チケットでインシデントごとの情報を一元管理
- 組み込まれた SIEM により、より精緻な分析を効率的に実施可能
料金体系
SCCE はサブスクリプションベースの料金プランのみ提供されています。
【表:各 Tier ごとの料金体系一覧】
| Tier | 料金モデル |
|---|---|
| Standard | ・Free |
| Premium | ・プロジェクト レベルでの有効化による従量課金制の料金 ・組織レベルでの有効化による従量課金制の料金 |
| Enterprise | ・組織レベルでの有効化に限り、サブスクリプションベースの料金 |
SCCE で進化した/補完されたポイント
それでは Enterprise Tier で 進化した/補完された特徴的な機能を抜粋してご紹介します。
マルチクラウド CNAPP
SS:一元管理された脅威分析基盤
多くの企業がマルチクラウド戦略を採用している一方で、複数のクラウド環境にまたがる脅威検出を統合して管理することは容易ではありません。
SCCE の特徴として、Google Cloud だけでなく AWS/Azure(Preview) への CSPM/CWPP もサポートしています。
SS:AWS での検出結果例
例えば、下記のような機能がマルチクラウドに対応しています。
- Google Cloud/AWS/Azure 環境のソフトウェアの脆弱性と構成ミスを検出して修正する
- Google Cloud/AWS/Azure で発生した脅威を検知する
- 公共のインターネットから価値の高い Google Cloud/AWS/Azure アセットに対する潜在的な攻撃パスを特定する
- 各種クラウドリソースのコンプライアンス準拠状況を確認する
統合された SIEM/SOAR
SS:統合された SIEM/SOAR を提供する専用ダッシュボード画面
SCCE には従来のCNAPPに加えて SIEM/SOAR 機能が備わっています。
これらの機能により、より効率的に日々のセキュリティアラートに対応することが可能です。
例えば、セキュリティインシデントを検知した際に既存の CNAPP 製品ではアラート発報だけが行われ、前後のログ調査は各クラウドプラットフォームの該当箇所で実施する必要がありました。
しかし、SIEM/SOAR が統合されていれば、SIEM に溜め込まれている前後のログを利用したり、SOAR によって事象調査のハンドリングをチケット管理することができるなど、1つのプラットフォーム(SCCE)で一気通貫に調査・分析・管理を行う事ができます。
 |
 |
|---|---|
| SS:SIEM 検索画面 | SS:SOAR ケース管理画面 |
『Toxic Combinations』による効果的なリスク特定
クラウドに限らず、個別に発生する分にはリスクが低くとも同時に複数の要因が重なることで高いリスクに繋がるケースがあります。
例として、構成ミスやアプリの脆弱性などが重なり、悪意ある第三者から攻撃されるといったケースです。
これを「有害な組み合わせ(Toxic Combinations)」と呼びます。
SCCE では攻撃パス シミュレーションの評価中に「有害な組み合わせ」と定義されたルールにマッチしたものを Toxic Combination と判定して迅速に検出することができます。
一般に CSPM は対象システムの環境を考慮せずに推奨事項とのズレを検出するため、検出事項の数が多くなりがちですが、この「有害な組み合わせ」の機能をうまく活用することで特に対象システムにとって重要な事項に絞って脆弱性対応を行うことができます。
SS:Toxic Combinations 一覧
Cloud Console にて [検出結果] ページへアクセスし、検出結果クエリの結果テーブルを確認すると、検出結果クラスとして「Toxic combination」と表示されていることがわかります。
最小権限の原則を支える CIEM
SS:CIEM で検出された過剰な権限
不必要な権限を設定してしまうと、情報漏洩や不正アクセスの被害を増大させる恐れがあるため、最小権限の原則を適用しアクセス制限をすることが重要です。
一方で、組織の拡大やマルチクラウドを採用することで管理対象が増え、適切な権限設定や管理が複雑になりがちです。
SCCE は CIEM 機能を備えており、ID とアクセスの構成のミスを自動的に検出し、リスクを軽減することができます。
『Assured OSS』によるソフトウェア サプライチェーン セキュリティの強化
Assured OSS とは、OSS を利用したシステム開発におけるソフトウェア サプライチェーン 攻撃のリスクを軽減するソリューションです。
SCCE では Assured OSS の Premium Tier を利用することができます。
Premium Tier では Free Tier と比べセットアップを自動化したり、より多くの厳選されたパッケージを利用できるなど、多くのメリットがあります。
SS:Assured OSS によってキュレートされた Python パッケージ一覧
Assured OSS の詳細については以下の公式ドキュメントをご確認ください。
Gemini による提案
SCCE に搭載された生成AI の Gemini により検出事項の調査に要する時間を短縮することができます。
この機能は SCCE を有効化すると自動的に有効化され、利用者は別途設定する手間なく生成AIによるサマリー レポートを受け取ることができます。
例として、現時点では下記の機能があります。
- 自然言語による SIEM 検索用クエリの生成
- 取り込んだケース内容の要約
- 攻撃パスシミュレーションの要約
まとめ
Security Command Center Enterprise(SCCE)は、マルチクラウド セキュリティ対策の進化形と言えるソリューションです。
「アラート発報だけは行うが、前後の調査やハンドリングは結局各々のプラットフォームで実施しなければならない」といった従来の CNAPP 製品が抱えていた課題を解消し、マルチクラウド環境全体を包括的に保護することができます。
マルチクラウドをご利用のご担当者様はぜひ弊社へお声かけいただき、SCCE による強力なセキュリティ運用を体験してください!
Discussion