セキュリティ

Cisco Duoの強化されたGoogle Workspace連携機能を試してみた

全国の G-gen ファンのみなさま、はじめまして。Cisco Systems のセキュリティ SE の稲澤です。今回、G-gen の Google Workspace 検証環境を使い、当社の Cisco Duo との連携テストを行う機会を得たため、内容を記事にまとめました。 当記事は、Cisco System…

Looker Studioで閲覧者メールアドレスに基づき表示データを動的に制限

G-gen の min です。Looker Studio レポートに表示するデータを、閲覧者のメールアドレスに基づいて動的に制限する方法を解説します。 概要 設定方法 検証 データソースへのアクセスを許可した場合 データソースへのアクセスを許可しない場合 概要 Looker St…

Chrome Enterprise Premiumでブラウザのセキュリティを強化してみた

G-gen の三浦です。当記事では、Chrome Enterprise Premium を利用して Web ブラウザのセキュリティを強化する方法を紹介します。 概要 Chrome Enterprise Premium とは Core と Premium 検証手順 URL フィルタリングの検証 設定手順 動作確認 DLP の検証 設…

Event Threat Detectionのカスタムモジュールを解説

G-gen の杉村です。当記事では、Google Cloud のセキュリティサービスである Security Command Center の機能の1つ、Event Threat Detection のカスタムモジュールについて解説します。また、あわせてミュートルールの作成方法についても触れます。 概要 Eve…

Googleドライブの「やってはいけない」。ファイルをインターネット公開しない設定

G-genの杉村です。Google ドライブのファイル共有は非常に便利ですが、設定を誤ると意図せず情報が公開されてしまう可能性があります。本記事では、Google ドキュメント、Google スプレッドシート、Google スライドなどを安全に共有するための設定方法と注意…

VPC Service Controls境界でのサービスアカウントIP制限をLooker Studioで試してみた

G-gen の min です。Looker Studio でデータソースに対する認証にサービスアカウントを使っているとき、VPC Service Controls による IP アドレス制限がどのように適用されるかを検証しました。 概要 環境構築 サービスアカウントの作成 VPC SC の設定 動作…

Cloud Run Threat Detectionを検証してみた

G-gen の三浦です。当記事では、Cloud Run Threat Detection を検証した結果を紹介します。 概要 Cloud Run Threat Detection とは 2つの検出機能 Artifact Analysis との違い 注意事項 検証内容 検証 脅威検出機能の有効化 Cloud Run のデプロイ ディレクト…

What’s new with IAM and Org Policy : Access risk, at-scale governance and AI(Google Cloud Next '25セッションレポート)

G-gen の山崎です。本記事は Google Cloud Next '25 in Las Vegas の1日目に行われたブレイクアウトセッション「What’s new with IAM and Org Policy : Access risk, at-scale governance and AI」のレポートです。 他の Google Cloud Next '25 の関連記事は…

What​​’s next for security professionals(Google Cloud Next '25セッションレポート)

G-gen の道下です。本記事は Google Cloud Next '25 in Las Vegas の 2日目に行われたスポットライトセッション「What​​’s next for security professionals」のレポートです。 他の Google Cloud Next '25 の関連記事は Google Cloud Next '25 カテゴリの記…

Cloud Runから内部ネットワーク経由で別プロジェクトのCloud Runを呼び出す

G-gen の佐々木です。当記事では、Private Service Connect を使用して、Cloud Run サービスから別のプロジェクトにある Cloud Run サービスを内部ネットワーク経由で呼び出す方法を解説します。 Cloud Run 同士のプライベートアクセス 呼び出し元アクセス制…

Cloud Runでロードバランサを使用せずIdentity-Aware Proxy(IAP)を構成する

G-gen の佐々木です。当記事では、Cloud Run のサービスに直接 Identity-Aware Proxy(IAP)を構成する方法について解説します。 前提知識 Cloud Run Identity-Aware Proxy(IAP) Cloud Run を IAP でアクセス制御する方法 ロードバランサを使用する方法 概…

Dataplexによる権限管理の仕組みを徹底解説

G-gen の杉村です。Google Cloud の Dataplex を活用することで、BigQuery や Cloud Storage などで構成された データ分析基盤の権限管理を抽象化して、簡素に運用することができます。当記事では、Dataplex による権限管理の仕組みを、図を交えて解説します…

Model Armorを徹底解説!

G-gen の杉村です。生成 AI のプロンプトおよびレスポンスのスクリーニングサービスである、Google Cloud の Model Armor を解説します。 概要 Model Armor とは アーキテクチャ 対応言語 ユースケース 料金 検知機能 テンプレート テンプレートとは フィル…

IAMの基本ロールがアップデート

G-gen の武井です。当記事では、IAM における基本ロールのアップデートについて解説します。 概要 変更の内容 基本ロールとは 違いの解説 概要 BigQuery に関する権限の差 Cloud Storage に関する権限の差 組織管理に関する権限の差 まとめ diff Owner ロー…

Cloud Runの呼び出し元IAMチェックを無効化してサービスを公開する

G-gen の佐々木です。当記事では Cloud Run における呼び出し元 IAM チェックの無効化について解説します。 前提知識 Cloud Run について Cloud Run 呼び出し元の IAM 認証 呼び出し元 IAM チェックの無効化 概要 ユースケース 手順 必要な IAM 権限 コンソ…

distrolessでコンテナイメージの脆弱性に対処してみた

G-gen の三浦です。当記事では、distroless という Google が提供するコンテナイメージを使って、イメージの脆弱性に対処する方法を紹介します。 distroless とは 検証の流れ 検証準備 ディレクトリ構成 Dockerfile main.py requirements.txt API の有効化 …

Google VaultでGoogle Workspaceのデータ保持とコンプライアンス対応を強化する方法

G-gen の三浦です。当記事では、Google Workspace の Google Vault(以下、Vault)を使用して、データ管理やコンプライアンス対応に役立つ方法を紹介します。 概要 Google Vault とは 前提条件 検証内容 動作確認 事前設定 データ保持ルールの設定 案件の作…

Google WorkspaceのDLPでGmailの機密情報漏洩を防ぐ

G-gen の三浦です。当記事では、Google Workspace の Data Loss Prevention(以下、DLP)を使用して、Gmail の機密情報が外部に漏洩するのを防ぐ方法を紹介します。 概要 Data Loss Prevention(DLP)とは 前提条件 制約 検証内容 動作確認 DLP のルール設定…

VPC Service Controlsの違反ダッシュボードを解説

G-gen の杉村です。VPC Service Controls の違反ダッシュボード機能を解説します。 概要 違反ダッシュボードとは ユースケース ダッシュボードの閲覧方法 ダッシュボードの内容 スクリーンショット 表示内容 ダッシュボードのフィルタ ダッシュボードの有効…

Cloud RunからSecret Managerのシークレットにアクセスする

G-gen の佐々木です。当記事では Cloud Run から Secret Manager に格納したシークレットを利用する方法を解説します。 事前知識 Cloud Run Secret Manager Cloud Run で Secret Manager を利用する ユースケース 2つの方法 事前準備 シェル変数の設定 シー…

VPC Service Controlsの内向きルールと外向きルールを理解する

G-gen の杉村です。Google Cloud リソースへの詳細なアクセス制御を実現する VPC Service Controls には、Ingress rules(内向きルールまたは上りルール)と Egress rules(外向きルールまたは下りルール)の設定が存在します。これらの仕様と、適切な設定方…

プリンシパルアクセス境界ポリシー(Principal access boundary policies)を解説

G-genの福井です。Google Cloud の IAM の一機能であるプリンシパルアクセス境界ポリシー (Principal access boundary)を用いたリソースへのアクセス制御について解説します。 概要 プリンシパルアクセス境界ポリシーとは アクセス可否の評価 ユースケース…

Context-Aware Accessのrequest.auth属性を使ったアクセス制御でハマった件

G-gen の武井です。当記事では Context-Aware Access の request.auth 属性を使ったアクセス制御でハマった際の顛末について解説します。 はじめに 背景 Context-Aware Access カスタムアクセスレベル request.auth 属性 事象の詳細 構成 カスタムアクセスレ…

Google WorkspaceのDLPでGoogleドライブの機密情報漏洩を防ぐ

G-gen の三浦です。当記事では、Google Workspace の Data Loss Prevention(以下、DLP)を使用して、Google ドライブ上の機密情報が外部に漏れないようにする方法を紹介します。 概要 DLP とは 前提条件 検証内容 動作確認 DLP のルール設定(警告) 動作確…

Google Workspaceのエンドポイント管理でモバイルデバイスを安全に管理する

G-gen の三浦です。当記事では、Google Workspace の エンドポイント管理を使用して、iPhone や Android 端末などのモバイル端末を管理する方法を紹介します。 概要 エンドポイント管理とは エンドポイント管理を使用するメリット 前提条件 基本管理と詳細管…

インベントリレポートを使ったGoogle ドライブのセキュリティリスク管理

G-gen の三浦です。当記事では、Google ドライブのインベントリレポート機能を使ったセキュリティリスクの管理方法を紹介します。 概要 ドライブインベントリとは 前提条件 設定の概要 設定手順 [Google Cloud] BigQuery データセットの作成 [Google Workspa…

新しく追加されたCloud Run実行用の事前定義ロールを解説

2024年12月17日より、Cloud Run を呼び出すための権限を持つ3つの事前定義ロールが新たに利用可能となりました。当記事ではロールの詳細や、従来から利用されてきた事前定義ロールとの違いなどを解説します。 はじめに 新たな事前定義ロール Cloud Run サー…

Google WorkspaceをIdPとしてSlackにSSOする方法

G-gen の三浦です。当記事では Google Workspace(Cloud Identity)を使用して、Slack にシングルサインオン(以下、SSO)を設定する方法を紹介します。 基礎知識 シングルサインオン(SSO)とは SAML 認証とは SAML 認証の流れ Google Workspace の SSO 対…

コンテキストアウェアアクセスでGoogle Workspaceのセキュリティを強化してみた

G-gen の三浦です。当記事では、コンテキストアウェア アクセス(CAA)を使って Google ドライブ等の Google Workspace アプリケーションへのアクセスを制御する方法を紹介します。 コンテキストアウェア アクセスとは 前提条件 検証内容 動作確認 モニター…

Privileged Access Manager(PAM)をTerraformで管理する

G-gen の武井です。当記事では Privileged Access Manager を Terraform で管理する方法について紹介します。 はじめに 概要 Privileged Access Manager (PAM) PAM に必要な権限 利用資格の管理 利用資格の利用 (申請、承認) 全体構成 連携方式 ソースコード…

Cloud Run functionsからVPC Service Controls境界内へのアクセスを許可する方法

G-gen の堂原です。本記事では Google Cloud(旧称 GCP)の Cloud Run functions(旧 Cloud Functions)から、VPC Service Controls 境界の中のリソースへアクセスさせる方法について紹介します。 はじめに 本記事の趣旨 VPC Service Controls Cloud Run fun…

GitHub監査ログをWorkload Identity認証でBigQueryにエクスポートしてみた

G-gen の三浦です。当記事では Workload Identity の仕組みを使うことで、サービスアカウントキーを使わずに GitHub Enterprise の監査ログを BigQuery にエクスポートする仕組みを構築したのでご紹介します。 GitHub Enterprise とは 概要 監査ログ Google …

IAM Deny policies(拒否ポリシー)を使った予防的統制

G-gen の武井です。当記事では IAM Deny policies(拒否ポリシー)を使った予防的統制について解説します。 はじめに 当記事について 予防的統制 拒否ポリシー 拒否ポリシーの使い所 拒否ポリシーと組織のポリシーの違い 検証の概要 目的 前提 環境 必要な I…

組織のポリシーをタグで制御してみた

Google Cloud の組織ポリシー機能で、プロジェクトにタグを適用することで例外設定を行う方法を検証しました。 はじめに 当記事について 前提知識 検証 タグキーと値の作成 フォルダとプロジェクトの作成 ポリシーの適用 補足情報 条件の指定について Terraf…

DNSエンドポイントを使用してGitHub ActionsからGKEクラスタにリソースをデプロイする

G-gen の佐々木です。当記事では、GitHub Actions で GKE クラスタにリソースをデプロイする際に、DNS エンドポイントを使用する方法を解説します。 DNS エンドポイントとは GitHub Actions を使用した GKE へのデプロイ 従来の方法 DNS エンドポイントを使…

DNSベースのエンドポイントを使用してGKEのコントロールプレーンに接続する

G-gen の佐々木です。当記事では、GKE のコントロールプレーンにアクセスするための新しい方法として、DNS ベースのエンドポイント(DNS エンドポイント)を紹介します。 はじめに GKE におけるコントロールプレーンへのアクセス方法 従来の方法 パブリック…

Cloud Load Balancingのアクセスログとクエリのサンプル

G-gen の杉村です。2024年10月現在で利用可能な12種類の Cloud Load Balancing のアクセスログは、それぞれフォーマットが異なります。アクセスログをクエリするための Cloud Logging クエリと、アクセスログのサンプルを掲載します。 はじめに アクセスログ…

Access Context ManagerでGoogle CloudコンソールとAPIへのアクセスを制限する

G-gen の武井です。当記事では、Access Context Manager を使い、Google Cloud コンソール と API へのアクセスを制限する方法について解説します。 はじめに 概要 実現できること アクセスレベル アーキテクチャ 概要 アクセス制限の対象ユーザー 組織外ユ…

Google CloudのIAMで最小権限の原則を実現する方法

G-gen の杉村です。当記事では、Google Cloud の IAM(Identity and Access Management)で最小権限の原則を実現するための手段をご紹介します。 IAM と最小権限の原則 過剰な権限を予防する IAM の仕組みを正確に理解する IAM 権限を操作できる人を限定する…

Secure Web ProxyでVMからのWebアクセスを制御してみた

G-gen の三浦です。当記事では、Secure Web Proxy を使って、Virtual Private Cloud (以下、VPC)上の Compute Engine VM からインターネットへ接続する際の Web アクセス制御の方法を紹介します。 Secure Web Proxy とは 検証内容の概要 構成図 検証の流れ…

Cloud Asset Inventoryを徹底解説!

G-genの杉村です。Google Cloud(旧称 GCP)のリソースインベントリサービスである Cloud Asset Inventory を解説します。 Cloud Asset Inventory とは 料金 用語 アセット アセットタイプ アセット関係 フィード エクスポート 代表的なユースケース アセッ…

Cloud RunサービスのエンドポイントURLを無効化する

G-gen の佐々木です。当記事では、Cloud Run サービスの作成時に自動生成されるエンドポイント URL の無効化について解説します。 前提知識 Cloud Run サービスについて Cloud Run におけるロードバランサーの使用 デフォルト URL の無効化 URL 無効化のメリ…

Cloud NGFWのIPS機能を試してみた

G-gen の三浦です。当記事では Cloud NGFW(旧称 Cloud Firewall)の IPS 機能について検証した結果をご紹介します。 概要 Cloud NGFW とは IPS とは 検証の概要 前提 構成図 検証の流れ EICAR ファイル 検証環境の構築 セキュリティプロファイルの作成 セキ…

Privileged Access Manager(PAM)を解説!

G-genの山崎です。Google Cloud(旧称 GCP)の Privileged Access Manager(PAM)を用いた権限管理について解説します。 Privileged Access Manager(PAM) とは PAM の利用方法 利用資格 利用資格とは 付与する IAM ロール 権限を付与する最大時間 申請者と…

Cloud Storageバケット名を知っていれば、EDoS攻撃を仕掛けられるのか?

G-gen の杉村です。Amazon Web Services(AWS)の Amazon S3 に対する EDoS 攻撃の手法が話題になりました。同様に、Cloud Storage バケット名を知っていれば、EDoS 攻撃を仕掛けられるのでしょうか? 背景 記事の内容と課金の原因 Cloud Storage では未認証…

Workload Identity Federation for GKEの新しい設定方法を解説

G-gen の佐々木です。当記事では、GKE における Workload Identity Federation の、新しく追加された設定方法を解説します。 GKE における Workload Identity Federation 従来の方法 新しい方法 新しい方法の制限事項 新しい Workload Identity Federation …

サービスアカウントキーの漏洩検知・自動無効化を試してみた

G-gen の杉村です。Google Cloud では、「サービスアカウントキーの漏洩レスポンス(Service account key exposure response)」という組織ポリシーの制約により、サービスアカウントキーがパブリックな Git レポジトリ等に漏洩した場合でも、自動的に検知さ…

VPC Service Controlsのドライランモードについて解説

G-gen の武井です。当記事では VPC Service Controls のドライランモードについて解説します。 はじめに VPC Service Controls とは ドライランモード ドライランモードの仕組み ドライランモード 概要 構成 設定項目 Access Context Manager 設定 権限 アク…

Google Workspaceで使用するDNSレコードを解説

G-gen の荒井です。Google Workspace では、初期設定の際にいくつかの DNS レコードの登録が必要です。本記事では Google Workspace で使用する DNS レコードについて解説します。 前提知識 DNS ドメイン ゾーン レコード 名前解決 TTL Google Workspace で…

VPC Service Controlsのリソース構成を図解

G-gen の藤岡です。当記事では、Google Cloud (旧称 GCP) の VPC Service Controls を設定する際に登場する、アクセスポリシーやアクセスレベルについて解説します。 前提知識 全体像 サービス境界 アクセスポリシー アクセスレベル 前提知識 VPC Service Co…