G-gen の三浦です。当記事では、Secure Web Proxy を使って、Virtual Private Cloud （以下、VPC）上の Compute Engine VM からインターネットへ接続する際の Web アクセス制御の方法を紹介します。 Secure Web Proxy とは 検証内容の概要 構成図 検証の流れ…

G-genの杉村です。Google Cloud（旧称 GCP）のリソースインベントリサービスである Cloud Asset Inventory を解説します。 Cloud Asset Inventory とは 料金 用語 アセット アセットタイプ アセット関係 フィード エクスポート 代表的なユースケース アセッ…

G-gen の佐々木です。当記事では、Cloud Run サービスの作成時に自動生成されるエンドポイント URL の無効化について解説します。 前提知識 Cloud Run サービスについて Cloud Run におけるロードバランサーの使用 デフォルト URL の無効化 URL 無効化のメリ…

G-gen の三浦です。当記事では Cloud NGFW（旧称 Cloud Firewall）の IPS 機能について検証した結果をご紹介します。 概要 Cloud NGFW とは IPS とは 検証の概要 前提 構成図 検証の流れ EICAR ファイル 検証環境の構築 セキュリティプロファイルの作成 セキ…

G-genの山崎です。Google Cloud（旧称 GCP）の Privileged Access Manager（PAM）を用いた権限管理について解説します。 Privileged Access Manager（PAM） とは PAM の利用方法 利用資格 利用資格とは 付与する IAM ロール 権限を付与する最大時間 申請者と…

G-gen の杉村です。Amazon Web Services（AWS）の Amazon S3 に対する EDoS 攻撃の手法が話題になりました。同様に、Cloud Storage バケット名を知っていれば、EDoS 攻撃を仕掛けられるのでしょうか？ 背景 記事の内容と課金の原因 Cloud Storage では未認証…

G-gen の佐々木です。当記事では、GKE における Workload Identity Federation の、新しく追加された設定方法を解説します。 GKE における Workload Identity Federation 従来の方法 新しい方法 新しい方法の制限事項 新しい Workload Identity Federation …

G-gen の杉村です。Google Cloud では、「サービスアカウントキーの漏洩レスポンス（Service account key exposure response）」という組織ポリシーの制約により、サービスアカウントキーがパブリックな Git レポジトリ等に漏洩した場合でも、自動的に検知さ…

G-gen の武井です。当記事では VPC Service Controls のドライランモードについて解説します。 はじめに VPC Service Controls とは ドライランモード ドライランモードの仕組み ドライランモード 概要 構成 設定項目 Access Context Manager 設定 権限 アク…

G-gen の荒井です。Google Workspace では、初期設定の際にいくつかの DNS レコードの登録が必要です。本記事では Google Workspace で使用する DNS レコードについて解説します。 前提知識 DNS ドメイン ゾーン レコード 名前解決 TTL Google Workspace で…

G-gen の藤岡です。当記事では、Google Cloud (旧称 GCP) の VPC Service Controls を設定する際に登場する、アクセスポリシーやアクセスレベルについて解説します。 前提知識 全体像 サービス境界 アクセスポリシー アクセスレベル 前提知識 VPC Service Co…

2024年2月1日以降、個人用の Gmail アカウントに対してメールを配信する送信者に対し、新しいメール送信者ガイドラインを適用することが発表されました。その要件の1つである DMARC の Gmail への設定方法について紹介します。 送信者ガイドライン 送信者ガ…

G-gen の杉村です。BigQuery では、Cloud KMS で管理する暗号鍵を使って、列レベルの暗号化を行うことができます。その仕組みと方法を解説します。 BigQuery における暗号化 ストレージ暗号化とは 列レベル暗号化とは 権限と読取可能性 暗号化方式 AEAD 暗号…

G-gen の堂原です。本記事では Google Cloud (旧称 GCP) のセキュリティサービスである VPC Service Controls において、IP アドレスを許可したにも関わらずアクセスが弾かれるケースにおける見落としがちな原因について紹介します。 はじめに 事象 : IP ア…

G-gen の藤岡です。当記事では Google Cloud（旧称 GCP）で「ドメイン別の ID の制限」の組織ポリシー適用下で Cloud Run サービスを一般公開する方法を紹介します。 前提知識 「ドメイン別の ID の制限」の組織ポリシー Cloud Run ２つのアクセス制御レイヤ…

G-gen の藤岡です。当記事では、Google Cloud（旧称 GCP）の Private Service Connect から Google Cloud APIs へのアクセスが Private Service Connect Endpoint 経由でプライベート接続できているか確認する方法を紹介します。 Private Service Connect と…

G-gen の藤岡です。当記事では、Google Cloud（旧称 GCP）で組織外のユーザーにプロジェクトレベルでオーナー（roles/owner）を付与する際の注意点について紹介します。 はじめに・前提知識 IAM と ID 管理 組織外のユーザー 組織外のユーザーにプロジェクト…

G-gen の杉村です。Cloud Logging のログバケットを作成する際に リクエストしたエンティティは見つかりませんでした というメッセージが出力されました。原因と対処法を紹介します。 はじめに・前提知識 事象 原因調査 調査 判明した原因 対処法 はじめに・…

G-gen の杉村です。当記事では Google Cloud（旧称 GCP）の Virtual Private Cloud（VPC）においてアクセス制御に利用する Cloud Next Generation Firewall（Cloud NGFW）について徹底解説します。 概要 Cloud NGFW とは 3つの料金ティアと2つの設定スコープ…

G-gen セキュリティスイート for Google Cloud とは ユースケース 実現できること 概要 機能例 提供体系 Terraform での提供 請求代行サービスへの付帯 プラン一覧 仕組み 使用する Google Cloud サービス スコープ お申し込み方法 G-gen セキュリティスイー…

こんにちは、G-gen の荒井です。Google Cloud を利用中に、プロジェクトを間違って消してしまった！もしくは、消しそうになって、ヒヤッとした。なんて経験がある方も多いのではないでしょうか。今回はそういった誤操作によるプロジェクト削除を防止するリー…

G-gen の堂原です。Google Cloud（旧称 GCP）の Cloud Load Balancing で利用できる Google マネージド SSL/TLS 証明書を、Certificate Manager で作成する方法を紹介します。 Certificate Manager について Certificate Manager とは Google マネージド証明…

G-gen の杉村です。組織の集約ログシンクを作成する際に「適切な権限を付与できませんでした」というメッセージが出力されました。原因と対処法を紹介します。 はじめに・前提知識 事象 原因調査 調査 判明した原因 詳細な原因 対処法 概要 1. 顧客 ID の確…

当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。 Cloud Armor は Google Cloud でセキュアな Web アプリケーションを構築するために欠かせないプロダクトです。 代表的なアプリケーションへの攻撃で…

G-gen の杉村です。Compute Engine の VM で Squid 等の HTTP プロキシサーバ経由でインターネットへ出るような構成を取った際、gcloud コマンドが不可解なエラーメッセージと共に失敗しました。今回はその事象と、解決方法をご紹介します。 事象 やろうとし…

当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。 みずほリサーチ&テクノロジーズ株式会社の舘山です。本日は Artifact Registry リモートリポジトリ機能について、検証した結果を共有します。 Artif…

G-gen の佐藤です。当記事では Google のアイデンティティ管理サービスである Cloud Identity (Free Edition) の登録から組織作成までの手順について紹介します。 概要 Cloud Identity とは 2つのエディション Cloud Identity のユースケース 登録手順 前提 …

G-gen の杉村です。Google Cloud（旧称 GCP）には組織（Organization）という概念があります。ガバナンスとセキュリティのために重要なこの機能を解説します。 組織の基本 組織（Organization）とは リソースの階層構造 組織リソース 組織 ID（顧客 ID） フ…

G-gen の杉村です。当記事では、AWS Lambda のサーバーレス関数から Google Cloud の Cloud Storage にファイルをアップロードする方法をご紹介します。認証・認可には Workload Identity を利用します。 はじめに 検証の概要 留意事項 構成 AWS から Google…

G-gen の藤岡です。当記事では、Google Workspace の Enterprise、Education Standard、Education Plus エディションで使えるセキュリティセンターの機能を紹介します。 概要 Google Workspace とは セキュリティセンターとは 利用の前提 利用可能なエディシ…

当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。 G-gen の藤岡です。組織内アクセス制限は、承認された Google Cloud 組織へのみアクセスを許可する Resource Manager の機能の 1 つです。当記事で…

G-gen の佐々木です。当記事では、Google Kubernetes Engine (以下、GKE) のクラスタにデプロイした Pod から Google Cloud APIs にアクセスする方法を解説します。 GKE の概要 GKE クラスタ内の Pod から Google Cloud APIs にアクセスする方法 ノードに紐…

当記事は みずほリサーチ&テクノロジーズ × G-gen エンジニアコラボレーション企画 で執筆されたものです。 みずほリサーチ&テクノロジーズ株式会社の舘山と申します。 本日は、Google Cloudの監査ログの長期保管とアクセス監査について、調査した内容を共有…

G-gen の杉村です。Google Cloud（旧称 GCP）の VPC では、備え付きのファイアウォール機能である Cloud Next Generation Firewall（Cloud NGFW）が利用できます。そのうち ファイアウォールポリシー （Firewall policies）で利用可能な Cloud NGFW Standard…

G-gen の又吉です。当記事では、Cloud Functions の呼び出しを許可されたアカウントのみが実行できるよう制御する方法を紹介します。 概要 背景 構成 準備 必要な API の有効化 サービスアカウントの作成 functions-2 関数のサービスアカウント作成 function…

G-gen の杉村です。Google Cloud（旧称 GCP）の IAM には、サービスエージェント という仕組みがあります。 概要 サービスエージェントとは サービスエージェントとサービスアカウントの違い Compute Engine 概要 永続ディスクの CMEK による暗号化・復号 VM…

G-gen の杉村です。Google Cloud の鍵管理サービスである Cloud KMS（Cloud Key Management Service）を徹底解説します。 Cloud KMS とは Cloud KMS の料金 デフォルト暗号化と CMEK デフォルトの暗号化 顧客管理の鍵（CMEK） 透過的な暗号化 Key と Key rin…

G-gen の武井です。 Google Cloud（旧称 GCP）の Identity and Access Management（IAM）にて、権限不足に伴うエラーが発生した場合の対処方法について説明します。 前提知識 用語 図説 IAM ロール IAM の基本知識 事象 対処手順 原因と対処法の特定 Policy …

G-gen の杉村です。 Google Cloud (旧称 GCP) には 組織のポリシー 機能があり、企業や官公庁など、組織における Google Cloud 利用に統制を効かせることができます。当記事では組織のポリシーを徹底解説します。 組織のポリシーとは 仕組み 制約 継承 有効…

G-gen の杉村です。BigQuery にはアクセス制御のための仕組みが多数存在します。その中でも、承認済みビューと承認済みデータセットというよく似た名前の2つの機能をご紹介します。 はじめに 当記事について BigQuery へのアクセス制御について 訳語 承認済…

G-gen の杉村です。Chromebook（Chrome OS）から Cloud IAP のトンネリング機能を使い、 Compute Engine の Windows Server へリモートデスクトップ（RDP）する方法について紹介します。 前提知識 前提作業 1. Linux 開発環境の有効化 2. gcloud コマンドの…

G-genの杉村です。 BigQueryでは、列レベルのアクセス制御や行レベルのセキュリティといった機能を使い、きめ細かいアクセス制御を行うことができます。 列レベルのアクセス制御 列レベルのアクセス制御 分類とポリシータグ 制限 行レベルのセキュリティ 行…

G-genの杉村です。Google Cloud（旧称 GCP）の Identity and Access Management（IAM）における拒否ポリシー（Deny policies）について解説します。 はじめに IAM とは 拒否ポリシーとは IAM ポリシーの評価順 仕組み 拒否ポリシーの性質 拒否ポリシーを管理…

G-gen の杉村です。当記事では、Google Cloud（旧称 GCP）の認定資格である Professional Cloud Security Engineer 試験の対策方法について紹介します。 概要 はじめに Professional Cloud Security Engineer 試験の難易度 推奨の勉強法 出題傾向 責任共有モ…

G-gen の渡邉@norry です。Compute Engine VM にアタッチするサービスアカウントと、VM のアクセススコープの概念について整理しました。 はじめに 前提知識 サービスアカウントとアクセススコープ IAM 検証 「デフォルトのアクセス権を許可」の場合 「すべ…

Google が提供するゼロトラスト・ソリューションであるChrome Enterprise Premium（旧称 BeyondCorp Enterprise）を紹介します。 Chrome Enterprise Premium の概要 Chrome Enterprise Premium とは 実現できること ゼロトラストセキュリティとは 構成要素 …

G-gen の杉村です。 Google Cloud（旧称 GCP）の Security Command Center は、Google Cloud 環境の構成ミス、脆弱性、脅威を特定するための統合セキュリティプラットフォームサービスです。今回はこの Security Command Center を徹底解説します。 Security…

G-genの杉村です。Google Cloud（旧称 GCP）のクラウド型 WAF である Google Cloud Armor について、概要や特徴を記載します。 Cloud Armor とは Cloud Armor の概要 WAF 機能 料金 料金ティア Standard ティア Enterprise ティア セキュリティポリシー セキ…

G-gen の杉村です。Google Cloud (旧称 GCP) のセキュリティサービスである Cloud IDS について解説していきます。 Cloud IDS とは アーキテクチャ 構成図 IDS エンドポイント Packet mirroring policy 脅威検知 Application-ID シグネチャーセット 重要度 …

G-genの杉村です。BigQuery への認証・認可は Cloud IAM によって制御されますが、その仕組みは複雑です。当記事では、仕組みを詳細に解説します。 はじめに BigQuery と認証・認可 IAM の基本概念 BigQuery 関連の IAM 権限の理解 ジョブ実行とデータアクセ…