GCP セキュリティサービス - Google Cloud セキュリティサービス 設定優先度ランキング
Google Cloud プロジェクトで設定すべきセキュリティサービスを優先度順に解説。Cloud Audit Logs・Organization Policy・Security Command Center・Cloud Armor・VPC Service Controls の役割と運用負荷。
概念図
設定優先度ランキング
Google Cloud プロジェクトを作成したら、以下の順番でセキュリティサービスを有効化します。
| 優先度 | サービス | 役割 | 運用負荷 |
|---|---|---|---|
| 1 | Cloud Audit Logs | 全 API 呼び出しの監査ログ(管理アクティビティは自動有効) | 低(管理アクティビティは自動有効) |
| 2 | Organization Policy | ガードレール(組織全体の制約ルール) | 低〜中(制約定義・例外管理) |
| 3 | Security Command Center (SCC) | CSPM + 脅威検知 + 脆弱性管理の統合ダッシュボード | 中(検出結果のトリアージ) |
| 4 | Cloud Logging + Cloud Monitoring | ログ集約・メトリクス・アラート | 中(アラート設計・ログ管理) |
| 5 | Cloud Armor | HTTP レイヤーの攻撃防御(WAF + DDoS) | 高(誤検知チューニング・ルール更新) |
| 6 | VPC Service Controls | API レベルのデータ境界(データ持ち出し防止) | 高(境界設計・例外管理) |
| 7 | Chronicle Security Operations | エンタープライズ SIEM/SOAR | 高(YARA-L ルール・プレイブック構築) |
サービス利用料は安くても、運用コストは別物です。 Cloud Audit Logs の管理アクティビティログは自動有効・無料ですが、SCC のアラート対応や Cloud Armor の誤検知チューニングなど、サービスを増やすほど運用負荷は飛躍的に増えます。
有効化だけして放置するのが最も危険なパターンです。
必須: 優先度 1〜3 は全プロジェクトで必須。
Cloud Audit Logs の管理アクティビティログは自動有効・無料。
SCC Standard も無料。
推奨: 優先度 4 は本番環境で有効化。
必須(公開ワークロード): 優先度 5 — Global LB でインターネットに公開しているなら Cloud Armor は必須。
Cloudflare WAF で代替する選択肢もある。
いずれの場合もルールの継続的チューニングが必要。
大規模向け: 優先度 6〜7 は規制産業やマルチプロジェクト環境で検討。
VPC Service Controls は GCP 固有の強力なデータ境界機能。