G-gen セキュリティスイート for Google Cloud とは
G-gen セキュリティスイート for Google Cloud は、Google Cloud を利用する際に必ず実装しておきたいセキュリティ設定をパッケージ化した G-gen 社のサービスです。
G-gen が多くのお客さんに対して Google Cloud 活用をご支援する中で、最も多く聞かれる悩みが「Google Cloud のセキュリティ設定」です。「どこから初めていいのか悩んでいる」「事例や、標準的な設定を参考にしたい」といったものです。
これらを解消するため当サービスでは、当社の Google Cloud 開発・運用実績を基に、セキュリティ設定・統制設定を Terraform コード化しました。
G-gen セキュリティスイート for Google Cloud は G-gen の Google Cloud 請求代行サービス にバンドル (付帯) されています。
最も基本的なプランである Basic プランは、請求代行サービスをご利用中のお客様であれば無償でご利用いただけます。
ユースケース
当サービスは以下のようなケースで特に有効です。
- これから Google Cloud の利用を開始する
- Google Cloud 環境に対してベストプラクティスに沿ったセキュリティ設定を施したい
- 複数部門で Google Cloud 環境を利用しており、セキュリティベースラインを設定したい
- 自社のセキュリティポリシーに合わせた統制をしたい
実現できること
概要
以下は、当サービスを利用することで実現できることの例です。
- Google Cloud 環境不正利用の未然の防止
- 権限 (IAM) 管理のために最適な組織リソース構成
- ベストプラクティスに沿った監査ログの取得・集約・保存
- 突発課金の検知
機能例
具体的には、以下のような設定が有効となります。以下は一例であり、詳細については当社のセールス担当までご連絡のうえ、サービス仕様書をご確認ください。
| 有効となる内容 | 目的 | 効果 |
|---|---|---|
| リソース階層作成 | 運用効率化 | IAM (権限管理) 運用の効率化・統制強化 |
| データアクセス監査ログ 有効化 |
不正利用対策 | Google Cloud 上で行われた操作の追跡 |
| VPC フローログ有効化 | 不正利用対策 | Google Cloud 上のネットワークログの追跡 |
| 利用リージョン制限 | 不正利用対策 | 通常利用しないリージョンでの利用を禁止 |
| サービスアカウントキーの 作成無効化 |
不正使用対策 情報漏洩防止 |
不正アクセスリスク低減 |
| 組織外 Google アカウントへの アクセス権限付与禁止 |
不正利用対策 情報漏洩防止 |
不正アクセスリスク低減 |
| 突発課金アラート | 不正利用検知 過剰課金検知 |
課金額が想定を超えて高くなった場合に検知 |
提供体系
Terraform での提供
当サービスでは多くの利用環境にフィットするよう、クラウド利用統制や脆弱性対策で実装される標準的なセキュリティ設定をコード化しました (Infrastructure as Code)。
Terraform テンプレートファイルは、お客様組織内による利用に限り、自由に加工・修正してご利用いただくことが可能ですので、貴組織の要件に応じてカスタマイズしていただけます。
当サービスは、コード化された設定値を Terraform 形式で提供します。このコードを実際に環境に適用するために必要な作業は、以下です。
- PC を使い、手順書に沿っていくつかの構築操作を実行する
- 変数設定ファイルを自組織の環境に応じて変更する
- Terraform コマンドラインを実行する
Google Cloud では Web コンソールで Terraform の操作が可能なため、PC に特別なツールのインストールも不要です。
Google Cloud における Terraform については、以下の記事もご参照ください。
請求代行サービスへの付帯
当サービスは G-gen の Google Cloud 請求代行サービスにバンドルされたサービスです。
Google Cloud 請求代行サービスは、請求を G-gen 社経由とすることで Google Cloud 利用量を定価の5%引きの金額で利用可能なサービスです。
さらに、メールベースの無償の技術サポート窓口が付帯します。これに加え、当記事で紹介する G-gen セキュリティスイート for Google Cloud が無償で利用可能になります。
Google Cloud を既に直接契約もしくは他のパートナー様経由でご契約いただいているお客様でも、簡単な操作で当社に請求を切り替えていただくことが可能です。システム停止無しで、割引とセキュリティスイートの恩恵を受けることができます。
請求の切り替えについての詳細は、セールス担当までお問い合わせください。
また、Google Cloud の請求の仕組みについては以下の記事もご参照ください。
プラン一覧
以下のプランをご用意しております。
| プラン名 | ユースケース | 料金と提供方法 |
|---|---|---|
| Basic | スモールスタート | Google Cloud 請求代行サービス に無償付帯 |
| Standard | 本番サービス開始に向けセキュリティを強化したい | セールス担当までお問い合わせください |
| Enterprise | 厳格なセキュリティポリシーに準拠する必要がある G-gen のスペシャリストエンジニアの支援が欲しい |
セールス担当までお問い合わせください |
仕組み
使用する Google Cloud サービス
当サービスでは、以下のような Google Cloud サービスを利用して統制・セキュリティを向上します。
- 組織・フォルダ (Resource Manager) (参考リンク)
- 組織のポリシー (参考リンク)
- Cloud Audit Logs (参考リンク)
- Cloud Logging (参考リンク)
- Cloud Billing (参考リンク)
スコープ
当サービスが提供するセキュリティ設定は、Google Cloud 組織・フォルダ上にセキュリティ・統制関係のリソースを作成します。その統制機能が、継承の仕組みにより各プロジェクトに影響を及ぼします。
またお客様でコードをカスタマイズし、各プロジェクトに個別の設定を入れ込むことも可能です。
ただし Google Cloud 上で稼働するアプリケーションのワークロードに関するセキュリティ (WAF やファイアウォールなど) は、当サービスのスコープ外です。
お申し込み方法
G-gen の請求代行サービスをまだご利用でないお客様は、お申し込みの際に「セキュリティスイート for Google Cloud の利用を希望する」にチェックを入れてお申し込みください (お申込みページ)。
既に当社の Google Cloud 請求代行サービスをご利用頂いているお客様は、セールス担当までお問い合わせください。
三木宏昭 (記事一覧)
クラウドソリューション部
HROne→ServerWorks→WealthNavi→G-gen。AWS 11資格、Google Cloud認定全冠。Google Cloud Partner Top Engineer 2024。最近の悩みは中年太り。Twitter では クラウド関連のことや副業、その他雑多に呟いています。(頻度少なめ)
Follow @cloudeep_miki