Defender for Cloud Apps が Google Cloud Platform (GCP) 環境の保護に役立つしくみ

  • [アーティクル]

Google Cloud Platform は、組織がクラウドでワークロード全体をホストおよび管理できるようにする IaaS プロバイダーです。 クラウドでのインフラストラクチャ活用のメリットが得られると同時に、組織の最も重要な資産が脅威にさらされる可能性があります。 公開される資産には、機密情報の可能性があるストレージ インスタンス、最も重要なアプリケーション、ポート、および組織へのアクセスを可能にする仮想プライベート ネットワークの一部を動作させるコンピューティング リソースが含まれます。

GCP を Defender for Cloud Apps に接続すると、管理およびサインインのアクティビティを監視して、ブルート フォース攻撃の可能性、特権ユーザーのアカウントの不正使用、VM の異常な削除について通知することで、ご利用の資産をセキュリティで保護し、潜在的な脅威を検出することができます。

主な脅威

  • クラウド リソースの悪用
  • 侵害されたアカウントと内部関係者による脅威
  • データ漏えい
  • リソースの構成ミスと不十分なアクセス制御

環境を保護する場合の Defender for Cloud Apps の利点

組み込みのポリシーとポリシー テンプレートで GCP を制御する

次の組み込みのポリシー テンプレートを使用すると、潜在的な脅威を検出して通知することができます。

Type 名前
組み込みの異常検出ポリシー 匿名 IP アドレスからのアクティビティ
頻度の低い国からのアクティビティ
不審な IP アドレスからのアクティビティ
あり得ない移動
終了させられたユーザーによって実行されたアクティビティ (IdP として Microsoft Entra ID が必要)
複数回失敗したログイン試行
異常な管理アクティビティ
複数の VM 削除アクティビティ
通常とは異なる複数の VM 作成アクティビティ (プレビュー)
アクティビティ ポリシー テンプレート コンピューティング エンジン リソースへの変更
StackDriver 構成への変更
ストレージ リソースへの変更
仮想プライベート ネットワークへの変更
Logon from a risky IP address (危険な IP アドレスからのログオン)

ポリシーの作成の詳細については、「ポリシーの作成」を参照してください。

ガバナンス制御を自動化する

潜在的な脅威を監視することに加えて、以下の GCP ガバナンス アクションを適用および自動化して、検出された脅威を修復することができます。

Type アクション
ユーザー ガバナンス - ユーザーに Google へのパスワードのリセットを要求する (接続されたリンク済み Google Workspace インスタンスが必要)
- ユーザーを一時停止する (接続されたリンク済み Google Workspace インスタンスが必要)
- アラートをユーザーに通知する (Microsoft Entra ID 経由)
- ユーザーにもう一度ログインするよう要求する (Microsoft Entra ID 経由)
- ユーザーを一時停止する (Microsoft Entra ID 経由)

アプリからの脅威の修復の詳細については、「接続されているアプリを管理する」を参照してください。

GCP をリアルタイムで保護する

外部ユーザーをセキュリティで保護して共同作業し、管理されていない、またはリスクの高いデバイスへの機密データのダウンロードをブロックおよび保護するための、ベスト プラクティスを参照してください。

Google Cloud Platform を Microsoft Defender for Cloud Apps に接続する

このセクションでは、コネクタ API を使用して Microsoft Defender for Cloud Apps を既存の Google Cloud Platform (GCP) アカウントに接続する手順について説明します。 この接続により、GCP の使用を可視化し、制御できるようになります。 Defender for Cloud Apps で GCP を保護する方法の詳細については、GCP の保護に関するページを参照してください。

安定した統合を維持し、セットアップ プロセスの削除/変更を防ぐために、統合には専用のプロジェクトを使用し、プロジェクトへのアクセスを制限することをお勧めします。

Note

監査のために GCP 環境に接続する手順は、集約されたログの使用に関するGoogle の推奨事項に従います。 この統合では Google StackDriver を利用するため、追加のリソースが消費され、請求に影響を与える可能性があります。 消費されるリソースは次のとおりです。

Defender for Cloud Apps の監査接続では管理者アクティビティの監査ログのみがインポートされます。データ アクセスとシステム イベントの監査ログはインポートされません。 GCP ログの詳細については、「Cloud Audit Logs」を参照してください。

前提条件

統合する GCP ユーザーには次の権限が必要です。

  • IAM および管理者の編集 – 組織レベル
  • プロジェクトの作成と編集

GCP セキュリティ監査を Defender for Cloud Apps 接続に接続して、GCP アプリの使用状況を可視化および制御できます。

Google Cloud Platform を構成する

専用のプロジェクトを作成する

組織の下に GCP で専用のプロジェクトを作成し、統合の分離と安定性を実現します。

  1. 統合する GCP ユーザー アカウントを使用して GCP ポータルにサインインします。

  2. [プロジェクトの作成] を選択して、新しいプロジェクトを開始します。

  3. 新しいプロジェクト 画面で、プロジェクトに名前を付け、作成 を選択します。

    Screenshot showing GCP create project dialog.

必要な API を有効にする

  1. 専用のプロジェクトに切り替える。

  2. [ライブラリ] タブに移動します。

  3. Cloud Logging API を検索して選択し、API ページで ENABLE を選択します。

  4. Cloud Pub/Sub API を検索して選択し、API ページで ENABLE を選択します。

    Note

    Pub/Sub Lite API を選択しないようにしてください。

セキュリティ監査統合用の専用サービス アカウントを作成する

  1. IAM & 管理者で、 サービス アカウントを選択します。

  2. [サービス アカウントの作成] を選択して、専用のサービス アカウントを作成します。

  3. アカウント名を入力し、[作成] を選択します。

  4. ロールPub/Sub Adminとして指定し、保存を選択します。

    Screenshot showing GCP add IAM role.

  5. Email の値をコピーします。これは後で必要になります。

    Screenshot showing GCP service account dialog.

  6. IAM & 管理者で、 IAMを選択します。

    1. 組織レベルに切り替えます。

    2. [追加] を選択します。

    3. [新しいメンバー] ボックスに、前にコピーした メール の値を貼り付けます。

    4. ロールPub/Sub Adminとして指定し、保存を選択します。

      Screenshot showing add member dialog.

専用サービス アカウントの秘密キーを作成する

  1. プロジェクト レベルに切り替えます。

  2. IAM & 管理者で、 サービス アカウントを選択します。

  3. 専用サービス アカウントを開き、[編集] を選択します。

  4. キーの作成を選択します。

  5. [秘密キーの作成] 画面で、JSON を選択し、作成 を選択します。

    Screenshot showing create private key dialog.

    Note

    後でデバイスにダウンロードされる JSON ファイルが必要になります。

組織 ID を取得する

組織 ID をメモしておきます。これは後で必要になります。 詳細については、「組織 ID の取得」を参照してください。

Screenshot showing organization ID dialog.

Google Cloud Platform の監査を Defender for Cloud Apps に接続する

この手順では、GCP 接続の詳細を追加して、Google Cloud Platform の監査を Defender for Cloud Apps に接続する方法について説明します。

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。

  2. [アプリ コネクタ] ページで、次のいずれかの操作を行って GCP コネクタの資格情報を指定します。

    Note

    統合されたユーザー管理とガバナンスを実現するには、Google Workspace インスタンスに接続することをおすすめします。 これは、Google Workspace プロダクトを使用しておらず、GCP ユーザーが Google Workspace ユーザー管理システムによって管理されている場合でも推奨されます。

    新しいコネクタの場合

    1. [+アプリを接続]、[Google Cloud Platform] の順に選択します。

      Connect GCP.

    2. 次のウィンドウで、コネクタの名前を指定し、[次へ] を選択します。

      GCP connector name.

    3. [詳細の入力] ページで以下の操作を行い、[送信] を選択します。

      1. [組織 ID] ボックスに、前にメモした組織を入力します。
      2. [秘密キー ファイル] ボックスで、前にダウンロードした JSON ファイルを参照します。

      Connect GCP app security auditing for new connector.

    既存のコネクタの場合

    1. コネクタの一覧の GCP コネクタが表示される行で 、[設定の編集] を選択します。

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. [詳細の入力] ページで以下の操作を行い、[送信] を選択します。

      1. [組織 ID] ボックスに、前にメモした組織を入力します。
      2. [秘密キー ファイル] ボックスで、前にダウンロードした JSON ファイルを参照します。

      Connect GCP app security auditing for existing connector.

  3. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。 接続されているアプリ コネクタの状態が [接続済み] になっていることを確認します。

    Note

    Defender for Cloud Apps は、統合プロジェクトの統合サービス アカウントを使用して、集約されたエクスポート シンク (組織レベル)、Pub/Sub トピック、および Pub/Sub サブスクリプションを作成します。

    集約エクスポート シンクは、GCP 組織全体でログを集約するために使用され、作成された Pub/Sub トピックが宛先として使用されます。 Defender for Cloud Apps は、GCP 組織全体の管理アクティビティ ログを取得するために作成された Pub/Sub サブスクリプションを通じてこのトピックをサブスクライブします。

アプリの接続に問題がある場合は、「アプリ コネクタのトラブルシューティング」を参照してください。

次のステップ

ポリシーによるクラウド アプリの制御

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。