Google Security Command Center ぐーぐる せきゅりてぃ こまんど せんたー
簡単に言うとこんな感じ!
Google Cloud(GCP)上のシステム全体を一か所で見張ってくれる「セキュリティの管制塔」だよ!「どこに脆弱性があるか」「不審なアクセスはないか」「設定ミスはないか」をまとめて監視・通知してくれる、Google公式のセキュリティ管理サービスなんだ!
Google Security Command Centerとは
Google Security Command Center(略称:SCC)は、Google Cloud Platform(GCP)上で動くすべてのリソース(サーバー、データベース、ストレージなど)を対象に、セキュリティリスクを一元的に可視化・管理するためのGoogle公式サービスです。「クラウド上の防犯カメラ+警備員+管理台帳」が一体になったようなイメージで捉えるとわかりやすいでしょう。
SCCは大きく2つの役割を担います。ひとつは脅威の検出(不正アクセス・マルウェア・内部不正など)、もうひとつは構成ミスや脆弱性の発見(誰でもアクセスできるストレージバケットになっていないか、古いソフトウェアが動いていないか、など)です。GCPを使っている企業であれば、これ一つでセキュリティの”見える化”が大幅に進められます。
CSPM(クラウドセキュリティ態勢管理:Cloud Security Posture Management)と呼ばれる分野のサービスに分類され、クラウド特有の設定ミスや過剰な権限付与を自動で検出できる点が大きな特徴です。
SCCの主要機能と構成
SCCは複数の機能モジュールで構成されています。
| 機能 | 説明 |
|---|---|
| Security Health Analytics | GCPリソースの設定ミス・脆弱性を自動スキャン |
| Event Threat Detection | Cloud LoggingのログをAIで分析し、脅威を即時検出 |
| Container Threat Detection | Kubernetesコンテナへの攻撃を検出 |
| Web Security Scanner | App EngineやCloud Runの公開URLに対する自動脆弱性診断 |
| VM Manager | Compute EngineのVM上のOSパッチ状況・脆弱性を管理 |
| Sensitive Data Protection 連携 | 個人情報・機密データの保存場所を特定・リスク評価 |
覚え方:「SCC = 見る・知る・直す」
- 見る → ダッシュボードでGCP全体を一望
- 知る → アラートで脅威や設定ミスを通知
- 直す → 修正手順のガイドを提示(自動修復も一部対応)
ティアの違い:StandardとPremium
| 項目 | Standard(無料) | Premium(有料) |
|---|---|---|
| Security Health Analytics | 基本項目のみ | 全項目 + カスタム |
| Event Threat Detection | ❌ | ✅ |
| Container Threat Detection | ❌ | ✅ |
| Compliance レポート | ❌ | ✅(PCI DSS, CIS, NIST等) |
| SLAサポート | ❌ | ✅ |
歴史と背景
- 2017年 — Googleが「Cloud Security Command Center」として限定プレビュー公開。GCPのセキュリティ管理ツールとして開発開始
- 2019年 — 正式GA(一般提供)。名称を「Security Command Center」に変更
- 2020年 — PremiumティアとStandardティアの2段階提供を開始。Event Threat DetectionやContainer Threat Detectionを追加
- 2021年 — Sensitive Data Protection(旧:Cloud DLP)との統合が強化。コンプライアンスレポート機能が充実
- 2022年以降 — Google Workspace(旧G Suite)との連携、Chronicle SIEM(Googleのエンタープライズ向けSIEM)との統合が進む
- 現在 — 「Google Cloud Security」ブランドの中核製品として、クラウドネイティブなセキュリティ運用の基盤に位置づけられている
背景として、クラウド利用拡大に伴い「設定ミスによる情報漏洩」が急増したことがあります。SCCはこうした「クラウド特有のリスク」に正面から対応するために生まれました。
他社サービス・関連ツールとの比較
SCCはGoogle Cloud専用ですが、他のクラウドや汎用ツールとの違いを把握しておくと選定時に役立ちます。
| サービス | 対応クラウド | 主な機能 | 特徴 |
|---|---|---|---|
| Google SCC | GCPのみ | 脅威検出・CSPM・脆弱性管理 | GCP完全統合・AI活用 |
| Microsoft Defender for Cloud | Azure中心(マルチクラウド対応) | CSPM・CWPP | Azure環境に最適 |
| AWS Security Hub | AWSのみ | セキュリティ検出結果の集約 | AWS各サービスの統合ハブ |
| Prisma Cloud(Palo Alto) | マルチクラウド | CSPM・CWPP・CNAPP | クラウドを問わず使える |
| Chronicle SIEM | GCP連携 | ログ分析・脅威ハンティング | SCCと連携して深い分析が可能 |
SCCとChronicle SIEMの位置関係
SCCが「GCPリソースの直接監視・設定チェック」に強みを持つのに対し、Chronicle SIEMは「大量のログを長期保管・横断分析する」用途に向いています。両者を連携させることで、検知から深掘り調査まで一気通貫の対応が可能になります。
関連する規格・RFC
| 規格 | 内容 |
|---|---|
| CIS Benchmarks | クラウドリソースのセキュリティ設定基準。SCCのPremiumティアでコンプライアンス確認に使用 |
| NIST SP 800-53 | 米国政府標準のセキュリティ管理策。SCCのコンプライアンスレポートで対応状況を確認可能 |
| PCI DSS | クレジットカード業界のセキュリティ基準。SCCのPremiumで対応状況をレポート |
| ISO/IEC 27001 | 情報セキュリティ管理の国際規格。SCCの管理機能と対応付けて運用されることが多い |
関連用語
- CSPM — クラウドの設定ミスや過剰権限を継続的に検出・修正するセキュリティ管理の考え方
- SIEM — セキュリティイベントのログを収集・分析し、脅威を検出するシステム
- Google Cloud Platform(GCP) — Googleが提供するクラウドインフラサービス群
- IAM(Identity and Access Management) — クラウドリソースへのアクセス権限を管理する仕組み
- 脆弱性スキャン — システムのセキュリティ上の弱点を自動で検出する技術
- コンテナセキュリティ — DockerやKubernetesなどコンテナ環境に特化したセキュリティ対策
- Chronicle SIEM — GoogleのエンタープライズSIEM。SCCと連携して深い脅威分析が可能
- ゼロトラストセキュリティ — 「社内だから安全」という前提を捨て、すべてのアクセスを検証するセキュリティ思想