トップ > VPC Service Controls > VPC Service Controlsの違反ダッシュボードを解説
最終更新日

VPC Service Controlsの違反ダッシュボードを解説

VPC Service Controls セキュリティ Google Cloud

杉村 勇馬 (id:ggen-sugimura)

記事タイトルとURLをコピーする

G-gen の杉村です。VPC Service Controls の違反ダッシュボード機能を解説します。

概要

違反ダッシュボードとは

VPC Service Controls の違反ダッシュボード機能とは、VPC Service Controls の境界のアクセス制御に対する違反を一覧表示したり、傾向を把握するためのダッシュボードです。

違反ダッシュボードは、2025年2月現在、Preview 公開中の機能です。

なお VPC Service Controls とは、接続元 IP アドレスやアカウント情報に基づいて、境界(Perimeter)と呼ばれる論理的境界によって Google Cloud のデータを保護するための機能です。

VPC Service Controls の詳細は以下の記事を参照してください。

blog.g-gen.co.jp

ユースケース

VPC Service Controls の違反の傾向を掴むことで、プロジェクトへの不正アクセスの試みの増減を把握したり、本来は正しいとみなされるべきアクセスがどのくらい拒否されているかなど、傾向を掴むことができます。

また、本来は許可されるべきアクセスが拒否されてしまっているとき、該当の違反をダッシュボードで確認し、トラブルシューティングトークンを取得することもできます。トラブルシューティングトークンは、境界への違反に対して発行される一意の ID です。トラブルシューティングトークンがわかれば、VPC Service Controls の違反アナライザーにより、そのアクセスが拒否された理由を詳細に確認することができます。

ダッシュボード上ではトラブルシューティングトークンが違反アナライザー画面へのリンクとなっており、すぐに違反の原因を確認することができます。

ダッシュボードの閲覧方法

Google Cloud コンソールのセキュリティ > VPC Service Controls 画面の左上部分に表示される「違反ダッシュボード」のリンクから、ダッシュボード画面に遷移できます。

違反ダッシュボードへの遷移(スクリーンショットはプレビュー中のもの)

ダッシュボードの内容

スクリーンショット

ダッシュボードは以下のように表示されます。

違反ダッシュボード(スクリーンショットはプレビュー中のもの)

表示内容

閲覧可能な情報は、以下のとおりです。

違反
指定期間内で発生した、境界に対する違反が表示されます。表示される内容は以下のとおりです。

  • トラブルシューティングトークン(違反の ID)
  • プリンシパル(Google アカウント等)
  • 接続元 IP アドレス
  • アクセスポリシー
  • 境界 ID
  • リソース(境界が保護するプロジェクトまたは VPC ネットワーク)
  • 接続先 API 名
  • メソッド名
  • モード(適用済みまたはドライラン)

前述のとおり、トラブルシューティングトークンをクリックすることで、違反アナライザー画面へ遷移し、違反とみなされた原因を確認することができます。

プリンシパル別の上位の違反
指定期間内の違反数が上位のプリンシパルやその回数が表示されます。

プリンシパル IP 別の上位の違反
指定期間内の違反数が上位の接続元 IP アドレスが表示されます。

サービス別の上位の違反
指定期間内の違反数が上位の接続先 Google Cloud API 名が表示されます。

メソッド別の上位の違反
指定期間内の違反数が上位の API メソッドが表示されます。

リソース別の上位の違反
指定期間内の違反数が上位の接続先リソース(境界が保護するプロジェクトまたは VPC ネットワーク)が表示されます。

サービス境界別の上位の違反
指定期間内の違反数が上位の境界 ID が表示されます。

ダッシュボードのフィルタ

ダッシュボードの表示期間を、1時間、6時間、12時間、1日、2日、4日、7日、14日、30日、カスタムから選択できます。

ダッシュボードで表示する違反は、期間以外にも、以下の項目でフィルタできます。

  • アクセスポリシー
  • リソース(境界が保護するプロジェクトまたは VPC ネットワーク)
  • トラブルシューティングトークン(違反の ID)
  • プリンシパル
  • モード(適用済みまたはドライラン)
  • トラフィックの方向(内向きまたは外向き)
  • 接続先 API 名
  • メソッド

ダッシュボードの有効化

有効化画面

違反ダッシュボードを閲覧する前に、ダッシュボードを有効化する必要があります。ダッシュボードでは有効化した後の違反情報が閲覧可能であり、有効化する以前の情報は閲覧できません

初めてダッシュボード画面に遷移しようとすると、有効化の設定画面が表示されます。

ダッシュボードの有効化(スクリーンショットはプレビュー中のもの)

作成されるリソース

違反ダッシュボードは、Cloud Logging に記録される Cloud Audit Logs のポリシー拒否監査ログをもとに情報を表示しています。

Cloud Audit Logs のポリシー拒否監査ログについては、以下の記事をご参照ください。

ダッシュボードを有効化すると、組織のルートログルーター(シンク)が作成されます。また有効化時に、ログルーターがポリシー拒否監査ログをルーティングする先のプロジェクトとログバケットを指定します。ログバケットは、この画面から新規作成することもできます。

なおログルーターとは、Cloud Logging がログを任意の保存先にルーティングするための設定です。

Cloud Logging のログルーターの詳細は以下の記事をご参照ください。

ログルーター

ダッシュボードを有効化すると、組織のルート(最上位階層)に reserved_vpc_sc_dashboard_log_router という名称のログルーターが作成されます。

このログルーターは、以下のようなフィルタによってポリシー拒否監査ログを抽出し、ログバケットにルーティングします。

resource.type="audited_resource"
protoPayload.metadata.@type="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

ログバケット

有効化時に指定したプロジェクトの、既存のログバケットまたは新規作成したログバケットに、ログがルーティングされます。

違反ダッシュボードはこのログバケットに保存されたログに基づいて情報を表示するため、このログバケットに設定された保持期間が、ダッシュボードの情報の情報保持期間となります。

閲覧権限

ダッシュボードを閲覧するには、閲覧者の Google アカウントが、ログバケットの存在するプロジェクトに対して以下のロールを持っている必要があります。

  • ログ表示アクセス者(roles/logging.viewAccessor
  • VPC Service Controls Troubleshooter Viewer(roles/accesscontextmanager.vpcScTroubleshooterViewer

詳細は、以下の公式ドキュメントに記載されています。

杉村 勇馬 (記事一覧)

執行役員 CTO / クラウドソリューション部 部長

元警察官という経歴を持つ現 IT エンジニア。クラウド管理・運用やネットワークに知見。AWS 12資格、Google Cloud認定資格11資格。X (旧 Twitter) では Google Cloud や AWS のアップデート情報をつぶやいています。