セキュリティ

Cloud RunサービスのエンドポイントURLを無効化する

G-gen の佐々木です。当記事では、Cloud Run サービスの作成時に自動生成されるエンドポイント URL の無効化について解説します。 前提知識 Cloud Run サービスについて Cloud Run におけるロードバランサーの使用 デフォルト URL の無効化 URL 無効化のメリ…

Cloud NGFWのIPS機能を試してみた

G-gen の三浦です。当記事では Cloud NGFW(旧称 Cloud Firewall)の IPS 機能について検証した結果をご紹介します。 概要 Cloud NGFW とは IPS とは 検証の概要 前提 構成図 検証の流れ EICAR ファイル 検証環境の構築 セキュリティプロファイルの作成 セキ…

Privileged Access Manager(PAM)を解説!

G-genの山崎です。Google Cloud(旧称 GCP)の Privileged Access Manager(PAM)を用いた権限管理について解説します。 概要 Privileged Access Manager(PAM) とは Preview 版のサービスに関する注意点 PAM の利用方法 利用資格 利用資格とは 付与する IA…

Cloud Storageバケット名を知っていれば、EDoS攻撃を仕掛けられるのか?

G-gen の杉村です。Amazon Web Services(AWS)の Amazon S3 に対する EDoS 攻撃の手法が話題になりました。同様に、Cloud Storage バケット名を知っていれば、EDoS 攻撃を仕掛けられるのでしょうか? 背景 記事の内容と課金の原因 Cloud Storage では未認証…

Workload Identity Federation for GKEの新しい設定方法を解説

G-gen の佐々木です。当記事では、GKE における Workload Identity Federation の、新しく追加された設定方法を解説します。 GKE における Workload Identity Federation 従来の方法 新しい方法 新しい方法の制限事項 新しい Workload Identity Federation …

サービスアカウントキーの漏洩検知・自動無効化を試してみた

G-gen の杉村です。Google Cloud では、「サービスアカウントキーの漏洩レスポンス(Service account key exposure response)」という組織ポリシーの制約により、サービスアカウントキーがパブリックな Git レポジトリ等に漏洩した場合でも、自動的に検知さ…

VPC Service Controlsのドライランモードについて解説

G-gen の武井です。当記事では VPC Service Controls のドライランモードについて解説します。 はじめに VPC Service Controls とは ドライランモード ドライランモードの仕組み ドライランモード 概要 構成 設定項目 Access Context Manager 設定 権限 アク…

Google Workspaceで使用するDNSレコードを解説

G-gen の荒井です。Google Workspace では、初期設定の際にいくつかの DNS レコードの登録が必要です。本記事では Google Workspace で使用する DNS レコードについて解説します。 前提知識 DNS ドメイン ゾーン レコード 名前解決 TTL Google Workspace で…

VPC Service Controlsのリソース構成を図解

G-gen の藤岡です。当記事では、Google Cloud (旧称 GCP) の VPC Service Controls を設定する際に登場する、アクセスポリシーやアクセスレベルについて解説します。 前提知識 全体像 サービス境界 アクセスポリシー アクセスレベル 前提知識 VPC Service Co…

GmailへのDMARC設定方法。メール送信者ガイドラインに準拠する

2024年2月1日以降、個人用の Gmail アカウントに対してメールを配信する送信者に対し、新しいメール送信者ガイドラインを適用することが発表されました。その要件の1つである DMARC の Gmail への設定方法について紹介します。 送信者ガイドライン 送信者ガ…

BigQueryの列レベル暗号化(Cloud KMS利用)を解説

G-gen の杉村です。BigQuery では、Cloud KMS で管理する暗号鍵を使って、列レベルの暗号化を行うことができます。その仕組みと方法を解説します。 BigQuery における暗号化 ストレージ暗号化とは 列レベル暗号化とは 権限と読取可能性 暗号化方式 AEAD 暗号…

VPC Service ControlsでIPアドレス許可がうまくいかないときはこれを疑え

G-gen の堂原です。本記事では Google Cloud (旧称 GCP) のセキュリティサービスである VPC Service Controls において、IP アドレスを許可したにも関わらずアクセスが弾かれるケースにおける見落としがちな原因について紹介します。 はじめに 事象 : IP ア…

「ドメイン別のIDの制限」の組織ポリシー適用下でCloud Runを一般公開する方法

G-gen の藤岡です。当記事では Google Cloud(旧称 GCP)で「ドメイン別の ID の制限」の組織ポリシー適用下で Cloud Run サービスを一般公開する方法を紹介します。 前提知識 「ドメイン別の ID の制限」の組織ポリシー Cloud Run 2つのアクセス制御レイヤ…

Private Service Connect経由でプライベート接続できているか確認してみた

G-gen の藤岡です。当記事では、Google Cloud(旧称 GCP)の Private Service Connect から Google Cloud APIs へのアクセスが Private Service Connect Endpoint 経由でプライベート接続できているか確認する方法を紹介します。 Private Service Connect と…

組織外のユーザーにプロジェクトレベルでオーナーを付与する際の注意点

G-gen の藤岡です。当記事では、Google Cloud(旧称 GCP)で組織外のユーザーにプロジェクトレベルでオーナー(roles/owner)を付与する際の注意点について紹介します。 はじめに・前提知識 IAM と ID 管理 組織外のユーザー 組織外のユーザーにプロジェクト…

ログバケット作成時に「リクエストしたエンティティは見つかりませんでした」

G-gen の杉村です。Cloud Logging のログバケットを作成する際に リクエストしたエンティティは見つかりませんでした というメッセージが出力されました。原因と対処法を紹介します。 はじめに・前提知識 事象 原因調査 調査 判明した原因 対処法 はじめに・…

Cloud Next Generation Firewall(Cloud NGFW)を徹底解説!

G-gen の杉村です。当記事では Google Cloud(旧称 GCP)の Virtual Private Cloud(VPC)においてアクセス制御のために利用する Cloud Next Generation Firewall(Cloud NGFW)について徹底解説します。 概要 Cloud NGFW とは 3つの料金ティアと2つの設定ス…

セキュリティスイート for Google Cloudを徹底解説!

G-gen セキュリティスイート for Google Cloud とは ユースケース 実現できること 概要 機能例 提供体系 Terraform での提供 請求代行サービスへの付帯 プラン一覧 仕組み 使用する Google Cloud サービス スコープ お申し込み方法 G-gen セキュリティスイー…

リーエン保護によるプロジェクト削除防止機能を使ってみた

こんにちは、G-gen の荒井です。Google Cloud を利用中に、プロジェクトを間違って消してしまった!もしくは、消しそうになって、ヒヤッとした。なんて経験がある方も多いのではないでしょうか。今回はそういった誤操作によるプロジェクト削除を防止するリー…

GoogleマネージドSSL/TLS証明書をDNS認証で作成する方法

G-gen の堂原です。Google Cloud (旧称 GCP) の Cloud Load Balancing で利用できる Google マネージド SSL/TLS 証明書を、Certificate Manager で作成する方法を紹介します。 Certificate Manager について Certificate Manager とは 構成 Certificate Cert…

ログシンク作成時に「適切な権限を付与できませんでした」

G-gen の杉村です。組織の集約ログシンクを作成する際に「適切な権限を付与できませんでした」というメッセージが出力されました。原因と対処法を紹介します。 はじめに・前提知識 事象 原因調査 調査 判明した原因 詳細な原因 対処法 概要 1. 顧客 ID の確…

Web アプリを作成して SQL インジェクションから保護してみた

当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。 Cloud Armor は Google Cloud でセキュアな Web アプリケーションを構築するために欠かせないプロダクトです。 代表的なアプリケーションへの攻撃で…

プロキシ経由でgcloudコマンドが失敗。サービスアカウントが使えない

G-gen の杉村です。Compute Engine の VM で Squid 等の HTTP プロキシサーバ経由でインターネットへ出るような構成を取った際、gcloud コマンドが不可解なエラーメッセージと共に失敗しました。今回はその事象と、解決方法をご紹介します。 事象 やろうとし…

Artifact Registryリモートリポジトリを活用し、インターネット接続が制限された環境でビルドを実行する

当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。 みずほリサーチ&テクノロジーズ株式会社の舘山です。本日は Artifact Registry リモートリポジトリ機能について、検証した結果を共有します。 Artif…

Cloud Identityの登録・組織作成手順

G-gen の佐藤です。当記事では Google のアイデンティティ管理サービスである Cloud Identity (Free Edition) の登録から組織作成までの手順について紹介します。 概要 Cloud Identity とは 2つのエディション Cloud Identity のユースケース 登録手順 前提 …

Google Cloudの組織(Organization)を徹底解説

G-gen の杉村です。Google Cloud (旧称 GCP) には組織 (Organization) という概念があります。ガバナンスとセキュリティのために重要なこの機能を解説します。 組織の基本 組織 (Organization) とは リソースの階層構造 組織リソース 組織 ID(顧客 ID) フ…

AWS LambdaからCloud Storage(GCS)にファイルをアップロードする

G-gen の杉村です。当記事では、AWS Lambda のサーバーレス関数から Google Cloud (旧称 GCP) の Cloud Storage (GCS) にファイルをアップロードする方法をご紹介します。認証・認可には Workload Identity を利用します。 はじめに 検証の概要 留意事項 構…

Google Workspaceのセキュリティセンターを解説

G-gen の藤岡です。当記事では、Google Workspace の Enterprise、Education Standard、Education Plus エディションで使えるセキュリティセンターの機能を紹介します。 概要 Google Workspace とは セキュリティセンターとは 利用の前提 利用可能なエディシ…

Google Cloudの組織内アクセス制限を試してみる

当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。 G-gen の藤岡です。組織内アクセス制限は、承認された Google Cloud 組織へのみアクセスを許可する Resource Manager の機能の 1 つです。当記事で…

GKE クラスタ内のワークロードから Google Cloud APIs にアクセスする(Workload Identity)

G-gen の佐々木です。当記事では、Google Kubernetes Engine (以下、GKE) のクラスタにデプロイした Pod から Google Cloud APIs にアクセスする方法を解説します。 GKE の概要 GKE クラスタ内の Pod から Google Cloud APIs にアクセスする方法 ノードに紐…

Google Cloudの監査ログの長期保管とアクセス監査を考える

当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。 みずほリサーチ&テクノロジーズ株式会社の舘山と申します。 本日は、Google Cloudの監査ログの長期保管とアクセス監査について、調査した内容を共有…

Cloud NGFW Standardの通信制御オブジェクトを解説!

G-gen の杉村です。Google Cloud(旧称 GCP)の VPC では、備え付きのファイアウォール機能である Cloud Next Generation Firewall(Cloud NGFW)が利用できます。そのうち ファイアウォールポリシー (Firewall policies)で利用可能な Cloud NGFW Standard…

Cloud Functions の呼び出しを許可されたアカウントのみが実行できるよう制御する方法

G-gen の又吉です。当記事では、Cloud Functions の呼び出しを許可されたアカウントのみが実行できるよう制御する方法を紹介します。 概要 背景 構成 準備 必要な API の有効化 サービスアカウントの作成 functions-2 関数のサービスアカウント作成 function…

サービスエージェントとは何か

G-gen の杉村です。Google Cloud (旧称 GCP) の Cloud IAM には サービスエージェント という仕組みがあります。これについて解説します。 概要 サービスエージェントとは サービスエージェントとサービスアカウントの違い Compute Engine (GCE) 概要 用途 …

Cloud KMSを徹底解説

G-gen の杉村です。Google Cloud の鍵管理サービスである Cloud KMS (Cloud Key Management Service) を徹底解説します。 Cloud KMS とは Cloud KMS の料金 デフォルト暗号化と CMEK デフォルトの暗号化 顧客管理の鍵 (CMEK) 透過的な暗号化 Key と Key ring…

BigQuery「承認されたビュー」と「承認されたデータセット」

G-gen の杉村です。 Google Cloud (旧称 GCP) の BigQuery にはアクセス制御のための仕組みが多数存在します。その中でも 承認されたビュー と 承認されたデータセット というよく似た名前の2つの機能をご紹介します。 この機能を使うと、利用者に見せるデー…

BigQueryの列レベル・行レベルのセキュリティを解説

G-genの杉村です。 BigQueryでは 列レベル および 行レベル でアクセスポリシーを設定し、アクセス制限を行うことができます。この機能について解説します。 BigQuery 列レベルのセキュリティ 列レベルのセキュリティとは 分類 (Taxonomy) とポリシータグ 制…

Google CloudのIAMにおけるDenyポリシーを解説

G-genの杉村です。 Google Cloud (旧称 GCP) の Identity and Access Management (IAM) における 明示的な Deny ポリシー についての解説記事です。 IAM の Deny policy が 2022/03/03 に Preview 公開、2022/10/25 に GA されました。この発表までは IAM Po…

Professional Cloud Security Engineer試験対策マニュアル。出題傾向・勉強方法

G-gen の杉村です。Google Cloud (旧称 GCP) 認定資格である Professional Cloud Security Engineer 試験 は、 Google Cloud のセキュリティ関連の知識と実務能力を問う難関試験です。当記事では、試験合格のために何を知っているべきかをご紹介します。この…

改めてサービスアカウントとVMのアクセススコープを理解する

G-gen の渡邉@norry です。Compute Engine (GCE) にアタッチする サービスアカウント と VM の アクセススコープ の概念について整理してみました。 はじめに 前提知識 サービスアカウントとアクセススコープ Cloud IAM 検証 アクセススコープ = デフォルト…

BeyondCorp Enterpriseを徹底解説。 Googleで実現するゼロトラスト・セキュリティ

G-gen の杉村です。情報セキュリティの世界でゼロトラストというキーワードが半ばバズワードのように取り上げられるようになってから久しくなりました。Google のゼロトラスト・ソリューションとして BeyondCorp Enterprise があります。 当記事の前半では、…

Security Command Centerを徹底解説。Google Cloud(GCP)の脆弱性を自動検知

G-gen の杉村です。 Google Cloud (旧称 GCP) のセキュリティサービスである Security Command Center は Google Cloud 環境の構成ミス、脆弱性、脅威を特定するためのサービスです。今回はこの Security Command Center (通称 SCC)を徹底解説します。 Secur…

Cloud Armorを徹底解説。GoogleのWAFの実力とは

G-genの杉村です。Google Cloud(旧称 GCP)のクラウド型 WAF である Google Cloud Armor について、概要や特徴を記載します。 Cloud Armor とは Cloud Armor の概要 WAF 機能 料金ティア(Standard / Enterprise) セキュリティポリシー セキュリティポリシ…

Google CloudのCloud IDSを徹底解説

G-gen の杉村です。Google Cloud (旧称 GCP) のセキュリティサービスである Cloud IDS について解説していきます。 Cloud IDS とは アーキテクチャ 構成図 IDS エンドポイント Packet mirroring policy 脅威検知 Application-ID シグネチャーセット 重要度 …

BigQueryのアクセス制御と権限設計を解説

G-genの杉村です。BigQuery への認証・認可は Cloud IAM によって制御されますが、その仕組みは複雑です。当記事では、仕組みを詳細に解説します。 はじめに BigQuery と認証・認可 IAM の基本概念 BigQuery 関連の IAM 権限の理解 ジョブ実行とデータアクセ…

Cloud Audit Logsを解説。Google Cloud(GCP)の証跡管理

杉村です。Google Cloud (旧称 GCP) では Cloud Audit Logs (Cloud Audit Logging) という仕組みで、自動的に API コールの履歴が記録されています。しかし一部のログは有効化しなければ記録されないなど、中身を正しく理解しておく必要があります。当記事で…

VPC Service Controlsを分かりやすく解説

G-genの杉村です。本投稿では、 Google Cloud (GCP) のセキュリティ系サービスの中でも特に重要な VPC Service Controls の概念について分かりやすく解説します。 VPC Service Controls とは VPC Service Controls って結局何ができるの? できること できな…

踏み台サーバはもういらない。IAP(Identity-Aware Proxy)の便利な使い方

G-genの杉村です。Google Cloud(旧称 GCP)の Cloud Identity-Aware Proxy(以下、Cloud IAP)についてご紹介します。 Cloud IAP とは 料金 VM にアクセスするための踏み台として使う 設定方法 VPC のファイアウォール設定 IAM 権限の付与 アクセス方法 SSH…