🛡

SCC Enterprise:次世代マルチクラウドセキュリティ最前線!

2025/02/13に公開

はじめに

Google Cloud Partner Top Engineer\textcolor{red}{赤髪}がトレードマークの Shanks です。
本記事では次世代マルチクラウドセキュリティ最前線と題して、Security Command Center Enterprise (以下、SCCE)についてご紹介します。

Security Command Center とは

従来の CNAPP 製品とその課題

クラウド攻撃は巧妙化の一途をたどり、対処に多くの手間が発生しています。
CNAPP などの対策製品が登場していますが、組織やシステムの成長に伴い運用が複雑になりがちです。
大規模運用では、多数の製品を組み合わせる必要があり、以下のような課題を抱えるケースがあります。

  • 一次対処における情報収集と問題の切り分けの困難さ
  • インシデント対応における担当者の割当や状況共有の漏れ
  • 対処後の調査や相関分析の遅れによる再発防止策の不徹底

CNAPP を進化/補完した SCCE

about-scc
本記事で紹介する Security Command Center Enterprise(以降、SCCE)は、CNAPP+SIEM/SOAR を Google Cloud 上で統合セキュリティサービスとして提供するソリューションです。

利用されている方も多い Security Command Center Premium(以降、SCCP)の機能に加え、Enterprise Tier では下記のような特徴があります。

  • 組織が利用するマルチクラウド環境のセキュリティをマルチクラウド CNAPP で一元管理
  • 組み込まれた SOAR により、チケットでインシデントごとの情報を一元管理
  • 組み込まれた SIEM により、より精緻な分析を効率的に実施可能

https://zenn.dev/cloud_ace/articles/google-secops-overview
https://zenn.dev/cloud_ace/articles/google-cloud-security-solution-seminar-202407

料金体系

SCCE はサブスクリプションベースの料金プランのみ提供されています。


【表:各 Tier ごとの料金体系一覧】

Tier 料金モデル
Standard ・Free
Premium ・プロジェクト レベルでの有効化による従量課金制の料金
・組織レベルでの有効化による従量課金制の料金
Enterprise ・組織レベルでの有効化に限り、サブスクリプションベースの料金

https://cloud.google.com/security-command-center/pricing?hl=ja

SCCE で進化した/補完されたポイント

それでは Enterprise Tier で 進化した/補完された特徴的な機能を抜粋してご紹介します。

マルチクラウド CNAPP

attack-path-simulation
SS:一元管理された脅威分析基盤

多くの企業がマルチクラウド戦略を採用している一方で、複数のクラウド環境にまたがる脅威検出を統合して管理することは容易ではありません。
SCCE の特徴として、Google Cloud だけでなく AWS/Azure(Preview) への CSPM/CWPP もサポートしています。

multi-cloud-cnapp-aws
SS:AWS での検出結果例

例えば、下記のような機能がマルチクラウドに対応しています。

  • Google Cloud/AWS/Azure 環境のソフトウェアの脆弱性と構成ミスを検出して修正する
  • Google Cloud/AWS/Azure で発生した脅威を検知する
  • 公共のインターネットから価値の高い Google Cloud/AWS/Azure アセットに対する潜在的な攻撃パスを特定する
  • 各種クラウドリソースのコンプライアンス準拠状況を確認する

統合された SIEM/SOAR

siem-soar
SS:統合された SIEM/SOAR を提供する専用ダッシュボード画面

SCCE には従来のCNAPPに加えて SIEM/SOAR 機能が備わっています。
これらの機能により、より効率的に日々のセキュリティアラートに対応することが可能です。

例えば、セキュリティインシデントを検知した際に既存の CNAPP 製品ではアラート発報だけが行われ、前後のログ調査は各クラウドプラットフォームの該当箇所で実施する必要がありました。

しかし、SIEM/SOAR が統合されていれば、SIEM に溜め込まれている前後のログを利用したり、SOAR によって事象調査のハンドリングをチケット管理することができるなど、1つのプラットフォーム(SCCE)で一気通貫に調査・分析・管理を行う事ができます。

siem soar
SS:SIEM 検索画面 SS:SOAR ケース管理画面

『Toxic Combinations』による効果的なリスク特定

クラウドに限らず、個別に発生する分にはリスクが低くとも同時に複数の要因が重なることで高いリスクに繋がるケースがあります。
例として、構成ミスやアプリの脆弱性などが重なり、悪意ある第三者から攻撃されるといったケースです。
これを「有害な組み合わせ(Toxic Combinations)」と呼びます。

SCCE では攻撃パス シミュレーションの評価中に「有害な組み合わせ」と定義されたルールにマッチしたものを Toxic Combination と判定して迅速に検出することができます。

一般に CSPM は対象システムの環境を考慮せずに推奨事項とのズレを検出するため、検出事項の数が多くなりがちですが、この「有害な組み合わせ」の機能をうまく活用することで特に対象システムにとって重要な事項に絞って脆弱性対応を行うことができます。

toxic-combinations
SS:Toxic Combinations 一覧

Cloud Console にて [検出結果] ページへアクセスし、検出結果クエリの結果テーブルを確認すると、検出結果クラスとして「Toxic combination」と表示されていることがわかります。

https://cloud.google.com/security-command-center/docs/toxic-combinations-overview?hl=ja#toxic-combination-attack-path

最小権限の原則を支える CIEM

ciem
SS:CIEM で検出された過剰な権限

不必要な権限を設定してしまうと、情報漏洩や不正アクセスの被害を増大させる恐れがあるため、最小権限の原則を適用しアクセス制限をすることが重要です。
一方で、組織の拡大やマルチクラウドを採用することで管理対象が増え、適切な権限設定や管理が複雑になりがちです。

SCCE は CIEM 機能を備えており、ID とアクセスの構成のミスを自動的に検出し、リスクを軽減することができます。

https://cloud.google.com/security-command-center/docs/ciem-overview?hl=ja

『Assured OSS』によるソフトウェア サプライチェーン セキュリティの強化

Assured OSS とは、OSS を利用したシステム開発におけるソフトウェア サプライチェーン 攻撃のリスクを軽減するソリューションです。
SCCE では Assured OSS の Premium Tier を利用することができます。
Premium Tier では Free Tier と比べセットアップを自動化したり、より多くの厳選されたパッケージを利用できるなど、多くのメリットがあります。

assured-oss-python
SS:Assured OSS によってキュレートされた Python パッケージ一覧

Assured OSS の詳細については以下の公式ドキュメントをご確認ください。
https://cloud.google.com/security-command-center/docs/integrate-aoss-with-scc?hl=ja
https://cloud.google.com/assured-open-source-software/docs/overview

Gemini による提案

gemini

SCCE に搭載された生成AI の Gemini により検出事項の調査に要する時間を短縮することができます。
この機能は SCCE を有効化すると自動的に有効化され、利用者は別途設定する手間なく生成AIによるサマリー レポートを受け取ることができます。

例として、現時点では下記の機能があります。

  • 自然言語による SIEM 検索用クエリの生成
  • 取り込んだケース内容の要約
  • 攻撃パスシミュレーションの要約

https://cloud.google.com/gemini/docs/security-command-center/overview?hl=ja

まとめ

Security Command Center Enterprise(SCCE)は、マルチクラウド セキュリティ対策の進化形と言えるソリューションです。

「アラート発報だけは行うが、前後の調査やハンドリングは結局各々のプラットフォームで実施しなければならない」といった従来の CNAPP 製品が抱えていた課題を解消し、マルチクラウド環境全体を包括的に保護することができます。

マルチクラウドをご利用のご担当者様はぜひ弊社へお声かけいただき、SCCE による強力なセキュリティ運用を体験してください!

Discussion