Cloud Service
Risk Manager
クラウドのセキュリティ態勢を採点し、その結果を保険会社と共有してサイバー保険につなげる診断ツール。CIS ベンチマークに沿って組織のリスクを可視化する Risk Manager(現 Cyber Insurance Hub)。
- 1.組織のセキュリティ態勢を CIS ベンチマークに沿ってスキャンし、リスクレポートとして可視化する。
- 2.レポートを提携保険会社へ共有し、Google Cloud 向けサイバー保険の見積もりにつなげられる(Risk Protection Program)。
- 3.Cloud Asset Inventory と Security Command Center のデータを集約。現在は Cyber Insurance Hub に発展している。
解決する課題
「自社の Google Cloud 環境はどれくらい安全で、それを第三者にどう示すか」という問いに答えるのが Risk Manager です。設定ミスや過剰権限が散在していても、リスクの全体像を客観的な指標でまとめ、外部(とくに保険会社)に説明できる形にするのは難しい作業です。Risk Manager は組織のセキュリティ態勢を業界標準のベンチマークで採点し、共有可能なレポートに落とし込みます。
- 自社のクラウド態勢が業界基準に対してどの程度かを、客観的なスコアで把握したい
- 散らばった設定情報を、説明可能な1つのリスクレポートにまとめたい
- サイバー保険を引き受けてもらうために、保険会社に態勢を証明したい
- 態勢を改善するための具体的な推奨を受け取り、リスクを下げたい
このサービスは Google Cloud の Risk Protection Program(保険会社との提携プログラム)の入口に位置し、現在は Cyber Insurance Hub という名称へ発展しています。
主要概念と用語
- Risk Manager / Cyber Insurance Hub: 組織のセキュリティ態勢をスキャンして採点し、共有可能なレポートを生成する診断ツール。本記事のサービス本体
- Risk Protection Program: Google Cloud と保険会社が提携し、態勢レポートをもとにサイバー保険の引き受け・見積もりへつなぐプログラム
- リスクレポート: スキャン結果をまとめた成果物。組織のセキュリティ態勢を CIS ベンチマークに対して評価し、態勢のスコアと推奨を含む
- CIS ベンチマーク: クラウド設定のセキュリティ基準。Risk Manager のレポートはこの基準に沿って構成を評価する(CIS Google Cloud Platform Foundation Benchmark)
- 態勢スコア: 評価結果を要約した指標。どこに弱点があるかを相対的に示す
- 提携保険会社: レポートを共有できる引受先。Beazley・Chubb・Munich Re などが Google Cloud 向けの保険商品を提供する
- データソース連携: 評価のもとになる構成・検出データ。Cloud Asset Inventory と Security Command Center から集約する
仕様・制限・クォータ
- 組織レベルで動作する: レポートは組織全体のセキュリティ態勢を対象に生成される。プロジェクト単体ではなく組織スコープが基本
- 既存のデータソースを集約する: 独自にゼロからスキャンするのではなく、Cloud Asset Inventory の構成情報と Security Command Center の検出結果を取り込んで評価する。したがって SCC の有効化など前提条件がある
- 評価基準は CIS ベンチマーク: レポートは CIS Google Cloud Platform Foundation Benchmark に沿って構成を採点する
- レポート共有は利用者の明示的な操作: スキャン結果が自動で外部送信されることはなく、保険会社へ送るかどうかは利用者が選ぶ。データのコントロールは利用者側に残る
- 追加料金なしで利用できる: 診断ツール自体は Google Cloud 利用者が追加費用なしで使える位置づけ(保険契約そのものは別)
- 対応する保険会社・ベンチマークのバージョン・利用可能地域などの具体は変動するため、最新は公式ドキュメントで確認する
内部の仕組み
Risk Manager は「集める・採点する・共有する」という流れで動きます。独自のスキャナを一から走らせるのではなく、すでに Google Cloud 内にあるセキュリティ関連データを束ねて評価する点が特徴です。
- データの集約: 組織配下の構成を Cloud Asset Inventory から、設定ミスや脅威の検出を Security Command Center から取り込む
- ベンチマーク評価: 集約した構成を CIS ベンチマークに照らして採点し、基準からの逸脱を洗い出す
- レポート生成: 評価結果を組織レベルのリスクレポートにまとめ、態勢スコアと改善の推奨を付与する
- 共有と保険連携: 利用者がレポートを 提携保険会社 へ送ると、それをもとに引き受け可否や見積もりが返ってくる
Risk Manager は Security Command Center が見つけた弱点を、保険会社にも通じる標準ベンチマークのスコアとレポートへ翻訳する層だと捉えると分かりやすいです。日々の検出・対応は SCC、その態勢を外部に証明する成果物づくりが Risk Manager、という役割分担になります。
設計パターン / ベストプラクティス
- 前提となるサービスを先に整える: Security Command Center を有効化し、評価のもとになる検出データが揃った状態でスキャンする
- 組織スコープで評価する: 一部のプロジェクトだけでなく組織全体を対象にし、態勢の死角をなくす
- レポートを改善サイクルに使う: スコアと推奨を起点に設定ミスや過剰権限を是正し、態勢を継続的に底上げする
- 保険共有は内容を確認してから: 外部送信は利用者操作なので、レポートの中身を点検してから提携先へ共有する
- SCC のトリアージと併用する: 個別 Finding の対処は SCC で進め、その結果を Risk Manager のレポートに反映させて全体像を更新する
運用・監視
- 定期的にレポートを更新する: 構成は変わり続けるため、態勢スコアを定点観測して傾向を追う
- 推奨を是正タスクに落とす: レポートの推奨を SCC の Finding 対応や IAM 見直しと結び付け、放置を防ぐ
- データソースの健全性を確認する: Cloud Asset Inventory と Security Command Center が正しく機能していないと評価が偏るため、前提サービスの稼働を点検する
- 共有履歴を管理する: どのレポートをいつどの保険会社へ送ったかを把握し、最新の態勢で交渉できる状態を保つ
- アクセス権を絞る: レポートは弱点情報を含むため、閲覧・共有できる担当を限定する
コスト
Risk Manager(Cyber Insurance Hub)の診断ツールは、Google Cloud 利用者が追加料金なしで使える位置づけです。費用が関わるのは、評価のもとになる Security Command Center のエディション(上位機能は有償)や、レポートをもとに実際に締結するサイバー保険の保険料といった周辺要素です。ツール自体の利用ではなく、前提サービスと保険契約のコストを分けて考えるのが要点です。具体的な料金・対応状況は変動するため、最新は公式の情報で確認してください。
| コスト要素 | 発生の有無 | 備考 |
|---|---|---|
| Risk Manager 診断ツール | 追加料金なし | 態勢スキャンとレポート生成自体は無償の位置づけ |
| Security Command Center | エディション次第 | 上位機能は有償。評価データの前提となる |
| サイバー保険の保険料 | 保険会社との契約 | レポートに基づく見積もり。ツール費用とは別 |
セキュリティ
- データのコントロールは利用者に残る: スキャン結果が自動で外部に出ることはなく、保険会社への共有は明示的な操作で行う
- レポートは機微情報: 態勢の弱点そのものを含むため、閲覧・共有権限を IAM で最小化する
- 前提サービスの権限も整える: Cloud Asset Inventory や Security Command Center へのアクセスを適切に設定し、評価データの取り扱いを統制する
- 採点は出発点であって修復ではない: レポートは弱点を可視化するが、実際のリスク低減は IAM・組織ポリシー・暗号化などの設定変更で行う
Risk Manager のレポートは態勢を採点・可視化・証明する成果物であり、それ自体が設定を直すわけではありません。スコアが低い項目は、Security Command Center の Finding 対応や IAM・組織ポリシーの見直しで是正して初めてリスクが下がります。レポートを取得しただけで安心しないことが重要です。
関連サービス・比較
Risk Manager は Security Command Center のデータを土台に動くため、両者は競合ではなく役割の異なる補完関係です。SCC が日々の弱点検出と脅威対応を担うのに対し、Risk Manager はその態勢を標準ベンチマークのレポートに翻訳し、外部(保険会社)への証明と保険連携につなげます。
| 観点 | Risk Manager(Cyber Insurance Hub) | Security Command Center |
|---|---|---|
| 主目的 | 態勢の採点とレポート化、保険連携 | 弱点検出と脅威の継続監視 |
| 評価基準 | CIS ベンチマークに沿ったスコア | 検出器ごとの Finding を集約 |
| データの流れ | SCC や資産情報を集約して評価 | 資産と挙動を直接スキャン |
| 主な利用者 | リスク管理・保険担当 | セキュリティ運用チーム |
| 外部連携 | 提携保険会社へレポート共有 | Pub/Sub 通知・BigQuery エクスポート |
ハンズオン / CLI例
Risk Manager(Cyber Insurance Hub)のレポート生成と保険共有は主にコンソールと API で操作します。ここでは前提サービスを整える gcloud の例を示します。
# 前提サービスを有効化する(資産インベントリと SCC)
gcloud services enable \
cloudasset.googleapis.com \
securitycenter.googleapis.com
# 組織 ID を確認する(レポートは組織スコープで生成される)
gcloud organizations list
# 評価データの土台となる SCC の Finding を確認しておく
gcloud scc findings list ORGANIZATION_ID \
--filter="state=\"ACTIVE\" AND severity=\"CRITICAL\""
# 組織配下の資産インベントリ件数を把握する(評価対象の規模を確認)
gcloud asset search-all-resources \
--scope=organizations/ORGANIZATION_ID
スキャンの実行・リスクレポートの生成・保険会社への共有は Google Cloud コンソールの Cyber Insurance Hub(旧 Risk Manager)画面から行うのが基本です。CLI では前提となる Security Command Center や資産インベントリの整備に専念し、レポートの取得と共有はコンソールで操作すると迷いません。
Google Cloud Service
Risk Managerを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
セキュリティ・ID
比較で見る軸
クラウド: Google Cloud / カテゴリ: セキュリティ・ID / 難易度: basic
導入後に効く点
レポートを提携保険会社へ共有し、Google Cloud 向けサイバー保険の見積もりにつなげられる(Risk Protection Program)。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- Google Cloud
- カテゴリ
- セキュリティ・ID
- 難易度
- basic
- 関連資格
- —
- 設計柱
- security / operational
判断チェックリスト
- 自社の用途が「セキュリティ・ID / security」に近いか確認する。
- 強みである「組織のセキュリティ態勢を CIS ベンチマークに沿ってスキャンし、リスクレポートとして可視化する。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。