Google Cloudセキュリティ診断で設定を確認する方法｜GCPのチェックリスト

Google Cloudを導入したものの、セキュリティ設定が適切かどうか不安を感じている方は多いのではないでしょうか。実際に、IPA（情報処理推進機構）の調査によると、クラウドサービスにおける情報漏洩事件の約6割が設定ミスに起因していると報告されています。しかし安心してください。Google Cloudには標準で優れたセキュリティ診断ツールが用意されており、専門知識がなくても基本的な確認は自社で実施できます。この記事では、Google Cloudのセキュリティ設定を確認する具体的な方法と、優先度別のチェックリストを詳しく解説します。

Google Cloudのセキュリティ診断が必要な理由

クラウドサービスの利用が拡大する中、セキュリティ診断の重要性はますます高まっています。ここでは、なぜGoogle Cloudのセキュリティ診断が必要なのか、その背景と理由を解説します。

クラウド設定ミスによる情報漏洩事例

近年、クラウドサービスの設定ミスによる情報漏洩事件が後を絶ちません。IPAが公表している「情報セキュリティ10大脅威」では、クラウドサービスの設定ミスが毎年上位にランクインしています。

具体的な事例として、以下のようなケースが報告されています。

• Cloud Storageのバケットを誤って公開設定にしてしまい、顧客情報数万件が外部から閲覧可能な状態になった
• IAM（Identity and Access Management）で過剰な権限を付与したアカウントが不正アクセスされ、システム全体が侵害された
• ファイアウォールルールの設定不備により、本来アクセス制限すべきデータベースが外部公開されてしまった

これらの事例に共通するのは、クラウドサービス自体の脆弱性ではなく、利用者側の設定ミスが原因だという点です。つまり、適切な設定確認と診断を行うことで、多くのリスクを回避できるのです。

Google Cloud特有のセキュリティリスク

Google Cloudをはじめとするクラウドサービスでは、責任共有モデルという考え方が採用されています。これは、セキュリティ対策の責任をクラウド事業者と利用者で分担するという考え方です。

Google Cloudの責任共有モデルでは、次のように責任範囲が分かれています。

つまり、ハードウェアやネットワーク基盤のセキュリティはGoogleが担保しますが、その上で動くシステムの設定やデータの管理は利用者の責任となります。この点を理解せず、「Google Cloudを使っているから安全」と考えてしまうことが、設定ミスによる情報漏洩につながる大きな要因となっています。

定期的な診断の重要性

セキュリティ診断は一度実施すれば終わりというものではありません。定期的な診断と継続的な改善が必要です。

定期診断が重要な理由として、以下の点が挙げられます。

• 設定変更の影響確認：新しいサービスを追加したり、既存の設定を変更したりすると、意図しないセキュリティホールが生まれる可能性があります
• 新たな脅威への対応：サイバー攻撃の手法は日々進化しており、定期的に最新の脅威に対する防御策を確認する必要があります
• 組織変更への対応：担当者の異動や組織改編により、不要なアカウントや過剰な権限が放置されるケースがあります

推奨される診断頻度は、最低でも四半期に1回、理想的には月に1回です。特に新しいサービスを導入した直後や、大きな設定変更を行った際には、必ず診断を実施することをおすすめします。定期的な診断を習慣化することで、セキュリティリスクを早期に発見し、重大なインシデントを未然に防ぐことができます。

Google Cloud標準のセキュリティ診断ツール3選

Google Cloudには、セキュリティ設定を確認するための強力な診断ツールが標準で用意されています。ここでは、特に重要な3つのツールの概要と使い方を解説します。

Security Command Center（概要と使い方）

**Security Command Center（SCC）**は、Google Cloudのセキュリティ状況を一元管理できる統合セキュリティ管理プラットフォームです。**標準版（無料）とプレミアム版（有料）**の2つのプランがあります。

標準版で利用できる主な機能は以下の通りです。

• セキュリティ上の問題点（検出結果）の一覧表示
• リスクレベル別の脅威の可視化
• 推奨される対策アクションの提示
• Google Cloudリソースの資産管理

Security Command Centerを使い始めるには、Google Cloud コンソールで「Security」セクションから「Security Command Center」を選択するだけです。初回アクセス時に自動的にスキャンが開始され、数分から数十分でセキュリティ診断結果が表示されます。

診断結果は重要度別（高・中・低）に分類されて表示されるため、優先的に対処すべき問題を一目で把握できます。特に「高」と表示された項目については、できるだけ早く対応することが推奨されます。

IAMポリシー分析ツール

IAM（Identity and Access Management）は、Google Cloudのリソースへのアクセス権限を管理する仕組みです。IAMポリシー分析ツールを使用することで、現在のアクセス権限設定を詳細に確認できます。

このツールで確認できる主な内容は次の通りです。

• 各ユーザーやサービスアカウントに付与されている権限の一覧
• 特定のリソースにアクセスできるユーザーの確認
• 過剰な権限が付与されているアカウントの検出
• 長期間使用されていないアカウントの特定

Google Cloud コンソールの「IAMと管理」セクションから「IAMポリシーアナライザ」を選択することで利用できます。特に注意すべきは、「Owner（オーナー）」や「Editor（編集者）」といった強力な権限が不必要に付与されていないかという点です。これらの権限は必要最小限のユーザーにのみ付与し、通常の作業には「Viewer（閲覧者）」や個別のサービス専用の権限を使用することが推奨されます。

脆弱性スキャン機能

Google Cloudでは、Compute EngineのVM（仮想マシン）やGKE（Google Kubernetes Engine）上のコンテナに対して、脆弱性スキャンを実施できます。

脆弱性スキャンでは以下の項目がチェックされます。

• OSやミドルウェアの既知の脆弱性
• セキュリティパッチの適用状況
• コンテナイメージに含まれる脆弱なパッケージ
• 推奨されるセキュリティ更新の有無

VMの脆弱性スキャンは、Security Command Centerのプレミアム版で提供されていますが、コンテナの脆弱性スキャンはContainer Analysisという機能で標準的に利用可能です。Container Registryにイメージをプッシュすると、自動的にスキャンが実行され、検出された脆弱性がレポートとして表示されます。

脆弱性が検出された場合は、可能な限り早急にパッチを適用するか、該当するパッケージを最新版にアップデートすることが重要です。ただし、本番環境への適用前には必ず検証環境でテストを実施し、既存のアプリケーションへの影響がないことを確認してください。

Cloud Asset Inventory

Cloud Asset Inventoryは、Google Cloud上のすべてのリソースを一覧表示し、その設定状況を確認できるツールです。

このツールで確認できる情報には以下が含まれます。

• プロジェクト内のすべてのリソース一覧（VM、データベース、ストレージなど）
• 各リソースの詳細設定情報
• リソースのタグやラベル情報
• IAMポリシーの設定状況

Cloud Asset Inventoryは、Google Cloud コンソールの「リソース」セクションから「Asset Inventory」を選択することで利用できます。「どこに何があるか」を把握することがセキュリティの第一歩であり、このツールを使って定期的に棚卸しを実施することで、不要なリソースや設定ミスを発見できます。

特に注意すべきは、削除し忘れた検証用のリソースや、担当者が退職後も残っているアカウントです。これらは攻撃の入り口になりやすいため、定期的に確認して不要なものは削除することが重要です。

優先度別セキュリティ診断項目のチェックリスト

セキュリティ診断では、すべての項目を一度に確認しようとすると時間がかかりすぎて継続が困難になります。ここでは、優先度別に確認すべき項目をチェックリスト形式で紹介します。

【高優先度】IAM・アクセス権限設定の5つの確認項目

アクセス権限の設定ミスは、最も重大なセキュリティリスクにつながります。以下の5つの項目を最優先で確認してください。

1. 不要なサービスアカウントの削除

長期間使用されていないサービスアカウントがないか確認 退職した社員や終了したプロジェクトのアカウントが残っていないか確認 確認方法：IAMセクションから「サービスアカウント」を選択し、最終使用日時を確認 2. 過剰な権限の是正

「Owner」や「Editor」権限が不必要に付与されていないか確認 必要最小限の権限のみを付与する「最小権限の原則」を徹底 確認方法：IAMポリシーアナライザで各ユーザーの権限を確認 3. 多要素認証（MFA）の有効化

すべての管理者アカウントで多要素認証が有効化されているか確認 特に強力な権限を持つアカウントでは必須 確認方法：Google Workspace管理コンソールのセキュリティ設定 4. 外部共有の確認

組織外のユーザーにアクセス権限が付与されていないか確認 必要な場合でも、期限付きの権限付与を検討 確認方法：IAMセクションで「allUsers」や「allAuthenticatedUsers」の設定を検索 5. サービスアカウントキーの管理

JSON形式のサービスアカウントキーが安全に保管されているか確認 可能であれば、キーを使わない認証方法（Workload Identity）への移行を検討 確認方法：サービスアカウントの詳細画面で「キー」タブを確認

【高優先度】ネットワーク設定の確認項目

ネットワーク設定の不備は、外部からの不正アクセスを許してしまう可能性があります。以下の項目を確認してください。

1. ファイアウォールルールの見直し

すべてのIPアドレス（0.0.0.0/0）からのアクセスを許可するルールがないか確認 必要最小限のIPアドレス範囲のみを許可する設定になっているか確認 確認方法：VPCネットワークの「ファイアウォール」セクションを確認 2. VPC（Virtual Private Cloud）の構成確認

本番環境と開発環境が適切に分離されているか確認 機密性の高いリソースは専用のサブネットに配置されているか確認 確認方法：VPCネットワークの「サブネット」セクションを確認 3. Cloud Load Balancerのセキュリティ設定

SSL/TLS証明書が適切に設定されているか確認 HTTPSへのリダイレクトが設定されているか確認 確認方法：「ネットワークサービス」の「ロードバランシング」セクションを確認

【中優先度】データ暗号化設定の確認項目

データの暗号化は、万が一データが漏洩した場合でも内容を保護する重要な対策です。

1. 保存データの暗号化

Cloud Storageのバケットで暗号化が有効になっているか確認 Cloud SQLなどのデータベースで暗号化が有効になっているか確認 確認方法：各サービスの設定画面で「暗号化」セクションを確認 2. 転送データの暗号化

HTTPS/TLSを使用した通信が強制されているか確認 内部通信でも暗号化が適用されているか確認 確認方法：ロードバランサーやAPI設定で確認 3. 暗号化キーの管理

顧客管理の暗号化キー（CMEK）を使用している場合、キーのアクセス権限が適切か確認 キーのローテーションが定期的に実施されているか確認 確認方法：Cloud Key Management Serviceの設定を確認

【中優先度】ログ・監視設定の確認項目

ログの記録と監視は、セキュリティインシデントの早期発見に不可欠です。

1. Cloud Loggingの設定確認

すべての重要なリソースでログ記録が有効になっているか確認 ログの保持期間が適切に設定されているか確認（最低30日、推奨90日以上） 確認方法：Cloud Loggingの「ログルーター」セクションを確認 2. 監査ログの有効化

管理アクティビティログが有効になっているか確認 データアクセスログが必要なリソースで有効になっているか確認 確認方法：IAMセクションの「監査ログ」設定を確認 3. アラート設定

異常なアクティビティを検知するアラートが設定されているか確認 通知先が適切に設定され、担当者が確実に受信できるか確認 確認方法：Cloud Monitoringの「アラート」セクションを確認

セキュリティ診断後の改善ステップと注意点

セキュリティ診断を実施した後は、検出された問題を適切に対処する必要があります。ここでは、診断後の改善プロセスと注意すべき点について解説します。

診断結果の優先順位付け

診断で検出された問題は、すべてを一度に対応しようとするのではなく、リスクレベルに応じて優先順位をつけることが重要です。

優先順位付けの基準として、以下のマトリクスを活用してください。

この評価に基づいて、「最優先」に分類された項目から順に対応していきます。特に、外部からのアクセスが可能な状態になっている設定ミスや、管理者権限が不適切に付与されている問題は、最優先で対応してください。

また、対応スケジュールを立てる際は、実現可能な期限を設定することが重要です。すべてを1週間で対応しようとするのではなく、最優先項目は1週間以内、優先項目は1ヶ月以内といった現実的な計画を立てましょう。

設定変更時の注意事項

セキュリティ設定を変更する際は、既存のサービスへの影響を慎重に確認する必要があります。設定変更によって意図しないサービス停止が発生するリスクがあるためです。

設定変更時に必ず守るべき手順は以下の通りです。

1. 変更前のバックアップ

現在の設定をドキュメント化または設定ファイルとしてエクスポート 問題が発生した場合に元に戻せるようにしておく 2. 検証環境でのテスト

可能な限り本番環境と同様の検証環境を用意 そこで設定変更を実施し、アプリケーションが正常に動作することを確認 3. 段階的な適用

一度にすべての設定を変更するのではなく、1つずつ適用 各変更後に動作確認を実施 4. 変更のタイミング

本番環境での変更は、業務時間外やメンテナンスウィンドウで実施 問題が発生した場合に対応できる体制を整えておく

特に注意が必要なのは、ファイアウォールルールやIAM権限の変更です。これらを誤って変更すると、アプリケーションがデータベースにアクセスできなくなったり、管理者自身がリソースにアクセスできなくなったりする可能性があります。変更前に必ず影響範囲を確認し、慎重に作業を進めてください。

継続的なモニタリング体制

セキュリティ対策は一度実施すれば終わりではなく、継続的な監視と改善が必要です。以下の体制を整えることをおすすめします。

1. 定期診断のスケジュール化

カレンダーに定期診断の予定を登録 担当者を明確にし、確実に実施される体制を作る 推奨頻度は月に1回、最低でも四半期に1回 2. 自動アラートの設定

異常なアクティビティを自動検知するアラートを設定 例：深夜の不審なアクセス、大量のデータダウンロード、権限変更など アラートは担当者のメールやSlackなどに確実に届くよう設定 3. セキュリティ情報の収集

Google Cloudの公式ブログやセキュリティ速報をチェック 新たな脅威や推奨される対策を定期的に確認 社内で情報共有を行い、セキュリティ意識を高める 4. インシデント対応計画の策定

セキュリティインシデントが発生した場合の対応手順を文書化 連絡体制や役割分担を明確にしておく 年に1回程度、訓練を実施して対応手順を確認

これらの体制を整えることで、セキュリティリスクを継続的に低減し、安心してGoogle Cloudを利用できる環境を維持できます。

まとめ

この記事では、Google Cloudのセキュリティ診断方法と、優先度別のチェックリストについて解説しました。重要なポイントは以下の3つです。

• クラウド特有のリスクを理解する：責任共有モデルでは、利用者側の設定管理が重要です。IPAの調査では、情報漏洩の約6割が設定ミスに起因しているため、定期的な診断が不可欠です
• 標準ツールで基本診断は自社で可能：Security Command CenterやIAMポリシー分析ツールなど、Google Cloudには優れた診断ツールが標準で用意されています。これらを活用することで、専門知識がなくても基本的な確認は実施できます
• 優先順位をつけた継続的な改善：すべての問題を一度に解決しようとせず、リスクレベルに応じて優先順位をつけて対応することが重要です。また、月に1回の定期診断と自動アラート設定により、継続的にセキュリティを維持できます

次のステップとしては、まずSecurity Command Centerにアクセスして現在のセキュリティ状況を確認し、本記事のチェックリストに沿って高優先度項目から順に対応していくことをおすすめします。また、より専門的な脆弱性診断や第三者視点での評価が必要な場合は、認定を受けたセキュリティ診断業者への相談も検討してください。安全なクラウド環境の構築は、ビジネスの継続と顧客の信頼を守るための重要な投資です。