G-gen のminです。BigQuery のデータマスキング機能を解説します。データマスキングを使うと、機密情報をマスキングして特定できない形でクエリ結果に表示させることができ、分析を阻害せずにデータを保護することができます。 データマスキングとは 概要 列…

G-gen の堂原です。当記事では、Google Workspace の Gmail で、メールの送受信を特定のメールアドレスやドメインとの間にだけ許可し、それ以外は制限する方法について解説します。 はじめに 当記事について 仕様 手順1 : アドレスリスト作成 手順1-1 : アド…

G-gen の三浦です。当記事では、Gemini CLI から Google SecOps MCP server を使用して、ケース確認からログ調査までを自然言語で要約した検証結果を紹介します。 前提知識 Google SecOps とは Gemini CLI とは 概要 Google SecOps MCP server とは 使用可能…

G-gen の武井です。当記事では、Google が提供する SIEM/SOAR 製品である Google SecOps と AWS のログ連携をキーレス認証で実現する方法について解説します。 前提知識 Google SecOps データフィード キーレス認証 過去記事との相違 AWS の設定 カスタム IA…

G-gen の武井です。当記事では、Google が提供する SIEM/SOAR 製品である Google SecOps に、AWS CloudTrail ログを取り込む方法について解説します。 はじめに Google SecOps とは データフィードとは 設定の流れ AWS の設定 S3 バケット SQS（Simple Queue…

G-gen の武井です。当記事では Google SecOps に AWS の VPC Flow Logs を取り込む方法について解説します。 はじめに Google SecOps とは データフィードとは 設定の流れ AWS の設定 S3 バケット VPC VPC Flow Logs EC2 インスタンス IAM データフィードの…

G-gen の武井です。当記事では Workforce Identity 連携を構成し、Google Cloud にアクセスする方法を解説します。IdP として Okta を、連携方法として SAML 2.0 を選択したケースの手順を紹介します。 はじめに Workforce Identity 連携とは 設定の流れ ユ…

G-gen の齊間です。Looker Studio で作成したレポートにおいて、閲覧ユーザーに応じて表示するデータを制御したい（出し分けたい）場合があります。当記事では、そのための主要な3つの方法と、それぞれの設定手順や注意点を解説します。 概要 手法1. メール…

G-gen の三浦です。当記事では、Windows Server のイベントログを Google SecOps で分析する方法を解説します。 概要 Google SecOps とは Bindplane とは 検証概要 構成図 前提条件 検証の流れ Bindplane コレクタの設定 Bindplane コレクタのインストール G…

G-gen の杉村です。Google の生成 AI 開発ツールである Vertex AI と Google AI Studio の違いや、それぞれのユースケースについて解説します。 概要 Vertex AI と Google AI Studio 差異の一覧 選定の基本的な考え方 セキュリティと統制 Vertex AI の場合 G…

G-gen の武井です。当記事では、Google Cloud が提供するセキュリティ運用プラットフォームである Google SecOps を徹底解説します。 Google SecOps とは 概要 主な特徴 主な機能 エディションと料金体系 用語と機能 Security Information and Event Managem…

Google Cloud プロダクトを中心としたセキュリティオペレーション担当者向けの認定資格である Professional Security Operations Engineer 試験について、合格に向けて役立つ情報をご紹介します。 試験情報 PSOE 試験とは 難易度 他の認定試験との違い 出題…

G-gen のkiharuです。当記事では、reCAPTCHA の料金体系について解説します。 はじめに reCAPTCHA とは Classic と Enterprise 料金ティア 3つの料金ティア ティアの適用 料金単価と無料枠 料金表 無料枠 はじめに reCAPTCHA とは reCAPTCHA は、スパムや不…

G-gen の佐々木です。当記事では、GKE で Gateway API を使用する際に、作成されたアプリケーションロードバランサーに対して Cloud Armor セキュリティポリシーと IAP を構成する方法を解説します。 はじめに GKE における Gateway API Cloud Armor とは Id…

G-genの杉村です。Google Cloud の Identity-Aware Proxy（IAP）で、プロジェクトの所属組織とは異なる Google Workspace 組織の Google アカウントからのアクセスを許可する方法を解説します。 はじめに Identity-Aware Proxy（IAP）とは デフォルトの挙動…

G-genの福井です。Cloud Storage バケットへのアクセスを送信元 IP アドレスに基づいて制御する IP フィルタリング機能の概要と設定方法、そして VPC Service Controls との違いについて解説します。 はじめに Cloud Storage の IP フィルタリングとは 機能…

全国の G-gen ファンのみなさま、はじめまして。Cisco Systems のセキュリティ SE の稲澤です。今回、G-gen の Google Workspace 検証環境を使い、当社の Cisco Duo との連携テストを行う機会を得たため、内容を記事にまとめました。 当記事は、Cisco System…

G-gen の min です。Looker Studio レポートに表示するデータを、閲覧者のメールアドレスに基づいて動的に制限する方法を解説します。 概要 設定方法 検証 データソースへのアクセスを許可した場合 データソースへのアクセスを許可しない場合 概要 Looker St…

G-gen の三浦です。当記事では、Chrome Enterprise Premium を利用して Web ブラウザのセキュリティを強化する方法を紹介します。 概要 Chrome Enterprise Premium とは Core と Premium 検証手順 URL フィルタリングの検証 設定手順 動作確認 DLP の検証 設…

G-gen の杉村です。当記事では、Google Cloud のセキュリティサービスである Security Command Center の機能の1つ、Event Threat Detection のカスタムモジュールについて解説します。また、あわせてミュートルールの作成方法についても触れます。 概要 Eve…

G-genの杉村です。Google ドライブのファイル共有は非常に便利ですが、設定を誤ると意図せず情報が公開されてしまう可能性があります。本記事では、Google ドキュメント、Google スプレッドシート、Google スライドなどを安全に共有するための設定方法と注意…

G-gen の min です。Looker Studio でデータソースに対する認証にサービスアカウントを使っているとき、VPC Service Controls による IP アドレス制限がどのように適用されるかを検証しました。 概要 環境構築 サービスアカウントの作成 VPC SC の設定 動作…

G-gen の三浦です。当記事では、Cloud Run Threat Detection を検証した結果を紹介します。 概要 Cloud Run Threat Detection とは 2つの検出機能 Artifact Analysis との違い 注意事項 検証内容 検証 脅威検出機能の有効化 Cloud Run のデプロイ ディレクト…

G-gen の山崎です。本記事は Google Cloud Next '25 in Las Vegas の1日目に行われたブレイクアウトセッション「What’s new with IAM and Org Policy : Access risk, at-scale governance and AI」のレポートです。 他の Google Cloud Next '25 の関連記事は…

G-gen の道下です。本記事は Google Cloud Next '25 in Las Vegas の 2日目に行われたスポットライトセッション「What​​’s next for security professionals」のレポートです。 他の Google Cloud Next '25 の関連記事は Google Cloud Next '25 カテゴリの記…

G-gen の佐々木です。当記事では、Private Service Connect を使用して、Cloud Run サービスから別のプロジェクトにある Cloud Run サービスを内部ネットワーク経由で呼び出す方法を解説します。 Cloud Run 同士のプライベートアクセス 呼び出し元アクセス制…

G-gen の佐々木です。当記事では、Cloud Run のサービスに直接 Identity-Aware Proxy（IAP）を構成する方法について解説します。 前提知識 Cloud Run Identity-Aware Proxy（IAP） Cloud Run を IAP でアクセス制御する方法 ロードバランサを使用する方法 概…

G-gen の杉村です。Google Cloud の Dataplex を活用することで、BigQuery や Cloud Storage などで構成された データ分析基盤の権限管理を抽象化して、簡素に運用することができます。当記事では、Dataplex による権限管理の仕組みを、図を交えて解説します…

G-gen の杉村です。生成 AI のプロンプトおよびレスポンスのスクリーニングサービスである、Google Cloud の Model Armor を解説します。 概要 Model Armor とは 使用方法 対応言語 ユースケース 料金 検知機能 テンプレート テンプレートとは フィルタ Enfo…

G-gen の武井です。当記事では、IAM における基本ロールのアップデートについて解説します。 概要 変更の内容 基本ロールとは 違いの解説 概要 BigQuery に関する権限の差 Cloud Storage に関する権限の差 組織管理に関する権限の差 まとめ diff Owner ロー…

G-gen の佐々木です。当記事では Cloud Run における呼び出し元 IAM チェックの無効化について解説します。 前提知識 Cloud Run について Cloud Run 呼び出し元の IAM 認証 呼び出し元 IAM チェックの無効化 概要 ユースケース 手順 必要な IAM 権限 コンソ…

G-gen の三浦です。当記事では、distroless という Google が提供するコンテナイメージを使って、イメージの脆弱性に対処する方法を紹介します。 distroless とは 検証の流れ 検証準備 ディレクトリ構成 Dockerfile main.py requirements.txt API の有効化 …

G-gen の三浦です。当記事では、Google Workspace の Google Vault（以下、Vault）を使用して、データ管理やコンプライアンス対応に役立つ方法を紹介します。 概要 Google Vault とは 前提条件 検証内容 動作確認 事前設定 データ保持ルールの設定 案件の作…

G-gen の三浦です。当記事では、Google Workspace の Data Loss Prevention（以下、DLP）を使用して、Gmail の機密情報が外部に漏洩するのを防ぐ方法を紹介します。 概要 Data Loss Prevention（DLP）とは 前提条件 制約 検証内容 動作確認 DLP のルール設定…

G-gen の杉村です。VPC Service Controls の違反ダッシュボード（violation dashboard）機能を解説します。当機能は、VPC Service Controls の境界のアクセス制御に対する違反を一覧表示したり、傾向を把握するためのダッシュボード機能です。 概要 違反ダッ…

G-gen の佐々木です。当記事では Cloud Run から Secret Manager に格納したシークレットを利用する方法を解説します。 事前知識 Cloud Run Secret Manager Cloud Run で Secret Manager を利用する ユースケース 2つの方法 事前準備 シェル変数の設定 シー…

G-gen の杉村です。Google Cloud リソースへの詳細なアクセス制御を実現する VPC Service Controls には、Ingress rules（内向きルールまたは上りルール）と Egress rules（外向きルールまたは下りルール）の設定が存在します。これらの仕様と、適切な設定方…

G-genの福井です。Google Cloud の IAM の一機能であるプリンシパルアクセス境界ポリシー （Principal access boundary）を用いたリソースへのアクセス制御について解説します。 概要 プリンシパルアクセス境界ポリシーとは アクセス可否の評価 ユースケース…

G-gen の武井です。当記事では Context-Aware Access の request.auth 属性を使ったアクセス制御でハマった際の顛末について解説します。 はじめに 背景 Context-Aware Access カスタムアクセスレベル request.auth 属性 事象の詳細 構成 カスタムアクセスレ…

G-gen の三浦です。当記事では、Google Workspace の Data Loss Prevention（以下、DLP）を使用して、Google ドライブ上の機密情報が外部に漏れないようにする方法を紹介します。 概要 DLP とは 前提条件 検証内容 動作確認 DLP のルール設定（警告） 動作確…

G-gen の三浦です。当記事では、Google Workspace の エンドポイント管理を使用して、iPhone や Android 端末などのモバイル端末を管理する方法を紹介します。 概要 エンドポイント管理とは エンドポイント管理を使用するメリット 前提条件 基本管理と詳細管…

G-gen の三浦です。当記事では、Google ドライブのインベントリレポート機能を使ったセキュリティリスクの管理方法を紹介します。 概要 ドライブインベントリとは 前提条件 設定の概要 設定手順 [Google Cloud] BigQuery データセットの作成 [Google Workspa…

2024年12月17日より、Cloud Run を呼び出すための権限を持つ3つの事前定義ロールが新たに利用可能となりました。当記事ではロールの詳細や、従来から利用されてきた事前定義ロールとの違いなどを解説します。 はじめに 新たな事前定義ロール Cloud Run サー…

G-gen の三浦です。当記事では Google Workspace（Cloud Identity）を使用して、Slack にシングルサインオン（以下、SSO）を設定する方法を紹介します。 基礎知識 シングルサインオン（SSO）とは SAML 認証とは SAML 認証の流れ Google Workspace の SSO 対…

G-gen の三浦です。当記事では、コンテキストアウェア アクセス（CAA）を使って Google ドライブ等の Google Workspace アプリケーションへのアクセスを制御する方法を紹介します。 コンテキストアウェア アクセスとは 前提条件 検証内容 動作確認 モニター…

G-gen の武井です。当記事では Privileged Access Manager を Terraform で管理する方法について紹介します。 はじめに 概要 Privileged Access Manager (PAM) PAM に必要な権限 利用資格の管理 利用資格の利用 (申請、承認) 全体構成 連携方式 ソースコード…

G-gen の堂原です。本記事では Google Cloud（旧称 GCP）の Cloud Run functions（旧 Cloud Functions）から、VPC Service Controls 境界の中のリソースへアクセスさせる方法について紹介します。 はじめに 本記事の趣旨 VPC Service Controls Cloud Run fun…

G-gen の三浦です。当記事では Workload Identity の仕組みを使うことで、サービスアカウントキーを使わずに GitHub Enterprise の監査ログを BigQuery にエクスポートする仕組みを構築したのでご紹介します。 GitHub Enterprise とは 概要 監査ログ Google …

G-gen の武井です。当記事では IAM Deny policies（拒否ポリシー）を使った予防的統制について解説します。 はじめに 当記事について 予防的統制 拒否ポリシー 拒否ポリシーの使い所 拒否ポリシーと組織のポリシーの違い 検証の概要 目的 前提 環境 必要な I…

Google Cloud の組織ポリシー機能で、プロジェクトにタグを適用することで例外設定を行う方法を検証しました。 はじめに 当記事について 前提知識 検証 タグキーと値の作成 フォルダとプロジェクトの作成 ポリシーの適用 補足情報 条件の指定について Terraf…