セキュリティ
全国の G-gen ファンのみなさま、はじめまして。Cisco Systems のセキュリティ SE の稲澤です。今回、G-gen の Google Workspace 検証環境を使い、当社の Cisco Duo との連携テストを行う機会を得たため、内容を記事にまとめました。 当記事は、Cisco System…
G-gen の min です。Looker Studio レポートに表示するデータを、閲覧者のメールアドレスに基づいて動的に制限する方法を解説します。 概要 設定方法 検証 データソースへのアクセスを許可した場合 データソースへのアクセスを許可しない場合 概要 Looker St…
G-gen の三浦です。当記事では、Chrome Enterprise Premium を利用して Web ブラウザのセキュリティを強化する方法を紹介します。 概要 Chrome Enterprise Premium とは Core と Premium 検証手順 URL フィルタリングの検証 設定手順 動作確認 DLP の検証 設…
G-gen の杉村です。当記事では、Google Cloud のセキュリティサービスである Security Command Center の機能の1つ、Event Threat Detection のカスタムモジュールについて解説します。また、あわせてミュートルールの作成方法についても触れます。 概要 Eve…
G-genの杉村です。Google ドライブのファイル共有は非常に便利ですが、設定を誤ると意図せず情報が公開されてしまう可能性があります。本記事では、Google ドキュメント、Google スプレッドシート、Google スライドなどを安全に共有するための設定方法と注意…
G-gen の min です。Looker Studio でデータソースに対する認証にサービスアカウントを使っているとき、VPC Service Controls による IP アドレス制限がどのように適用されるかを検証しました。 概要 環境構築 サービスアカウントの作成 VPC SC の設定 動作…
G-gen の三浦です。当記事では、Cloud Run Threat Detection を検証した結果を紹介します。 概要 Cloud Run Threat Detection とは 2つの検出機能 Artifact Analysis との違い 注意事項 検証内容 検証 脅威検出機能の有効化 Cloud Run のデプロイ ディレクト…
G-gen の山崎です。本記事は Google Cloud Next '25 in Las Vegas の1日目に行われたブレイクアウトセッション「What’s new with IAM and Org Policy : Access risk, at-scale governance and AI」のレポートです。 他の Google Cloud Next '25 の関連記事は…
G-gen の道下です。本記事は Google Cloud Next '25 in Las Vegas の 2日目に行われたスポットライトセッション「What’s next for security professionals」のレポートです。 他の Google Cloud Next '25 の関連記事は Google Cloud Next '25 カテゴリの記…
G-gen の佐々木です。当記事では、Private Service Connect を使用して、Cloud Run サービスから別のプロジェクトにある Cloud Run サービスを内部ネットワーク経由で呼び出す方法を解説します。 Cloud Run 同士のプライベートアクセス 呼び出し元アクセス制…
G-gen の佐々木です。当記事では、Cloud Run のサービスに直接 Identity-Aware Proxy(IAP)を構成する方法について解説します。 前提知識 Cloud Run Identity-Aware Proxy(IAP) Cloud Run を IAP でアクセス制御する方法 ロードバランサを使用する方法 概…
G-gen の杉村です。Google Cloud の Dataplex を活用することで、BigQuery や Cloud Storage などで構成された データ分析基盤の権限管理を抽象化して、簡素に運用することができます。当記事では、Dataplex による権限管理の仕組みを、図を交えて解説します…
G-gen の杉村です。生成 AI のプロンプトおよびレスポンスのスクリーニングサービスである、Google Cloud の Model Armor を解説します。 概要 Model Armor とは アーキテクチャ 対応言語 ユースケース 料金 検知機能 テンプレート テンプレートとは フィル…
G-gen の武井です。当記事では、IAM における基本ロールのアップデートについて解説します。 概要 変更の内容 基本ロールとは 違いの解説 概要 BigQuery に関する権限の差 Cloud Storage に関する権限の差 組織管理に関する権限の差 まとめ diff Owner ロー…
G-gen の佐々木です。当記事では Cloud Run における呼び出し元 IAM チェックの無効化について解説します。 前提知識 Cloud Run について Cloud Run 呼び出し元の IAM 認証 呼び出し元 IAM チェックの無効化 概要 ユースケース 手順 必要な IAM 権限 コンソ…
G-gen の三浦です。当記事では、distroless という Google が提供するコンテナイメージを使って、イメージの脆弱性に対処する方法を紹介します。 distroless とは 検証の流れ 検証準備 ディレクトリ構成 Dockerfile main.py requirements.txt API の有効化 …
G-gen の三浦です。当記事では、Google Workspace の Google Vault(以下、Vault)を使用して、データ管理やコンプライアンス対応に役立つ方法を紹介します。 概要 Google Vault とは 前提条件 検証内容 動作確認 事前設定 データ保持ルールの設定 案件の作…
G-gen の三浦です。当記事では、Google Workspace の Data Loss Prevention(以下、DLP)を使用して、Gmail の機密情報が外部に漏洩するのを防ぐ方法を紹介します。 概要 Data Loss Prevention(DLP)とは 前提条件 制約 検証内容 動作確認 DLP のルール設定…
G-gen の杉村です。VPC Service Controls の違反ダッシュボード機能を解説します。 概要 違反ダッシュボードとは ユースケース ダッシュボードの閲覧方法 ダッシュボードの内容 スクリーンショット 表示内容 ダッシュボードのフィルタ ダッシュボードの有効…
G-gen の佐々木です。当記事では Cloud Run から Secret Manager に格納したシークレットを利用する方法を解説します。 事前知識 Cloud Run Secret Manager Cloud Run で Secret Manager を利用する ユースケース 2つの方法 事前準備 シェル変数の設定 シー…
G-gen の杉村です。Google Cloud リソースへの詳細なアクセス制御を実現する VPC Service Controls には、Ingress rules(内向きルールまたは上りルール)と Egress rules(外向きルールまたは下りルール)の設定が存在します。これらの仕様と、適切な設定方…
G-genの福井です。Google Cloud の IAM の一機能であるプリンシパルアクセス境界ポリシー (Principal access boundary)を用いたリソースへのアクセス制御について解説します。 概要 プリンシパルアクセス境界ポリシーとは アクセス可否の評価 ユースケース…
G-gen の武井です。当記事では Context-Aware Access の request.auth 属性を使ったアクセス制御でハマった際の顛末について解説します。 はじめに 背景 Context-Aware Access カスタムアクセスレベル request.auth 属性 事象の詳細 構成 カスタムアクセスレ…
G-gen の三浦です。当記事では、Google Workspace の Data Loss Prevention(以下、DLP)を使用して、Google ドライブ上の機密情報が外部に漏れないようにする方法を紹介します。 概要 DLP とは 前提条件 検証内容 動作確認 DLP のルール設定(警告) 動作確…
G-gen の三浦です。当記事では、Google Workspace の エンドポイント管理を使用して、iPhone や Android 端末などのモバイル端末を管理する方法を紹介します。 概要 エンドポイント管理とは エンドポイント管理を使用するメリット 前提条件 基本管理と詳細管…
G-gen の三浦です。当記事では、Google ドライブのインベントリレポート機能を使ったセキュリティリスクの管理方法を紹介します。 概要 ドライブインベントリとは 前提条件 設定の概要 設定手順 [Google Cloud] BigQuery データセットの作成 [Google Workspa…
2024年12月17日より、Cloud Run を呼び出すための権限を持つ3つの事前定義ロールが新たに利用可能となりました。当記事ではロールの詳細や、従来から利用されてきた事前定義ロールとの違いなどを解説します。 はじめに 新たな事前定義ロール Cloud Run サー…
G-gen の三浦です。当記事では Google Workspace(Cloud Identity)を使用して、Slack にシングルサインオン(以下、SSO)を設定する方法を紹介します。 基礎知識 シングルサインオン(SSO)とは SAML 認証とは SAML 認証の流れ Google Workspace の SSO 対…
G-gen の三浦です。当記事では、コンテキストアウェア アクセス(CAA)を使って Google ドライブ等の Google Workspace アプリケーションへのアクセスを制御する方法を紹介します。 コンテキストアウェア アクセスとは 前提条件 検証内容 動作確認 モニター…
G-gen の武井です。当記事では Privileged Access Manager を Terraform で管理する方法について紹介します。 はじめに 概要 Privileged Access Manager (PAM) PAM に必要な権限 利用資格の管理 利用資格の利用 (申請、承認) 全体構成 連携方式 ソースコード…
G-gen の堂原です。本記事では Google Cloud(旧称 GCP)の Cloud Run functions(旧 Cloud Functions)から、VPC Service Controls 境界の中のリソースへアクセスさせる方法について紹介します。 はじめに 本記事の趣旨 VPC Service Controls Cloud Run fun…
G-gen の三浦です。当記事では Workload Identity の仕組みを使うことで、サービスアカウントキーを使わずに GitHub Enterprise の監査ログを BigQuery にエクスポートする仕組みを構築したのでご紹介します。 GitHub Enterprise とは 概要 監査ログ Google …
G-gen の武井です。当記事では IAM Deny policies(拒否ポリシー)を使った予防的統制について解説します。 はじめに 当記事について 予防的統制 拒否ポリシー 拒否ポリシーの使い所 拒否ポリシーと組織のポリシーの違い 検証の概要 目的 前提 環境 必要な I…
Google Cloud の組織ポリシー機能で、プロジェクトにタグを適用することで例外設定を行う方法を検証しました。 はじめに 当記事について 前提知識 検証 タグキーと値の作成 フォルダとプロジェクトの作成 ポリシーの適用 補足情報 条件の指定について Terraf…
G-gen の佐々木です。当記事では、GitHub Actions で GKE クラスタにリソースをデプロイする際に、DNS エンドポイントを使用する方法を解説します。 DNS エンドポイントとは GitHub Actions を使用した GKE へのデプロイ 従来の方法 DNS エンドポイントを使…
G-gen の佐々木です。当記事では、GKE のコントロールプレーンにアクセスするための新しい方法として、DNS ベースのエンドポイント(DNS エンドポイント)を紹介します。 はじめに GKE におけるコントロールプレーンへのアクセス方法 従来の方法 パブリック…
G-gen の杉村です。2024年10月現在で利用可能な12種類の Cloud Load Balancing のアクセスログは、それぞれフォーマットが異なります。アクセスログをクエリするための Cloud Logging クエリと、アクセスログのサンプルを掲載します。 はじめに アクセスログ…
G-gen の武井です。当記事では、Access Context Manager を使い、Google Cloud コンソール と API へのアクセスを制限する方法について解説します。 はじめに 概要 実現できること アクセスレベル アーキテクチャ 概要 アクセス制限の対象ユーザー 組織外ユ…
G-gen の杉村です。当記事では、Google Cloud の IAM(Identity and Access Management)で最小権限の原則を実現するための手段をご紹介します。 IAM と最小権限の原則 過剰な権限を予防する IAM の仕組みを正確に理解する IAM 権限を操作できる人を限定する…
G-gen の三浦です。当記事では、Secure Web Proxy を使って、Virtual Private Cloud (以下、VPC)上の Compute Engine VM からインターネットへ接続する際の Web アクセス制御の方法を紹介します。 Secure Web Proxy とは 検証内容の概要 構成図 検証の流れ…
G-genの杉村です。Google Cloud(旧称 GCP)のリソースインベントリサービスである Cloud Asset Inventory を解説します。 Cloud Asset Inventory とは 料金 用語 アセット アセットタイプ アセット関係 フィード エクスポート 代表的なユースケース アセッ…
G-gen の佐々木です。当記事では、Cloud Run サービスの作成時に自動生成されるエンドポイント URL の無効化について解説します。 前提知識 Cloud Run サービスについて Cloud Run におけるロードバランサーの使用 デフォルト URL の無効化 URL 無効化のメリ…
G-gen の三浦です。当記事では Cloud NGFW(旧称 Cloud Firewall)の IPS 機能について検証した結果をご紹介します。 概要 Cloud NGFW とは IPS とは 検証の概要 前提 構成図 検証の流れ EICAR ファイル 検証環境の構築 セキュリティプロファイルの作成 セキ…
G-genの山崎です。Google Cloud(旧称 GCP)の Privileged Access Manager(PAM)を用いた権限管理について解説します。 Privileged Access Manager(PAM) とは PAM の利用方法 利用資格 利用資格とは 付与する IAM ロール 権限を付与する最大時間 申請者と…
G-gen の杉村です。Amazon Web Services(AWS)の Amazon S3 に対する EDoS 攻撃の手法が話題になりました。同様に、Cloud Storage バケット名を知っていれば、EDoS 攻撃を仕掛けられるのでしょうか? 背景 記事の内容と課金の原因 Cloud Storage では未認証…
G-gen の佐々木です。当記事では、GKE における Workload Identity Federation の、新しく追加された設定方法を解説します。 GKE における Workload Identity Federation 従来の方法 新しい方法 新しい方法の制限事項 新しい Workload Identity Federation …
G-gen の杉村です。Google Cloud では、「サービスアカウントキーの漏洩レスポンス(Service account key exposure response)」という組織ポリシーの制約により、サービスアカウントキーがパブリックな Git レポジトリ等に漏洩した場合でも、自動的に検知さ…
G-gen の武井です。当記事では VPC Service Controls のドライランモードについて解説します。 はじめに VPC Service Controls とは ドライランモード ドライランモードの仕組み ドライランモード 概要 構成 設定項目 Access Context Manager 設定 権限 アク…
G-gen の荒井です。Google Workspace では、初期設定の際にいくつかの DNS レコードの登録が必要です。本記事では Google Workspace で使用する DNS レコードについて解説します。 前提知識 DNS ドメイン ゾーン レコード 名前解決 TTL Google Workspace で…
G-gen の藤岡です。当記事では、Google Cloud (旧称 GCP) の VPC Service Controls を設定する際に登場する、アクセスポリシーやアクセスレベルについて解説します。 前提知識 全体像 サービス境界 アクセスポリシー アクセスレベル 前提知識 VPC Service Co…