Cloud Asset Inventoryの有効化について
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、gcloud CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、GCP Cloud Asset Inventoryを有効化してリソースの完全な可視化と変更履歴の追跡を実現する方法について、リスクと対策を解説します。
ポリシーの説明
Cloud Asset Inventoryは、GCP上のリソースとIAMポリシーの包括的なインベントリを提供するサービスです。 このサービスを有効化することで、組織内のすべてのGCPリソースの現在の状態と変更履歴を追跡でき、 セキュリティ分析、コンプライアンス監査、リソースの最適化などに活用できます。
修復方法
コンソールでの修復手順
Google Cloud コンソールを使用して、Cloud Asset Inventoryを有効化します。
- Google Cloud コンソールにログインし、対象のプロジェクトを選択します
- ナビゲーションメニューから「Asset Inventory」を検索して選択します
- 検索ボックスに「Asset Inventory」と入力するか、「IAM と管理」→「Asset Inventory」を選択
- 初回アクセス時は「Asset Inventory APIを有効にする」ボタンが表示されるので、クリックして有効化します。
Terraformでの修復手順
Cloud Asset Inventoryを有効化し、定期的なエクスポートとリアルタイムフィードを設定するTerraformコードと、主要な修正ポイントを説明します。
# Cloud Asset Inventory APIの有効化
resource "google_project_service" "asset_inventory" {
project = var.project_id
service = "cloudasset.googleapis.com"
disable_on_destroy = false
}
# エクスポート用のCloud Storageバケット
resource "google_storage_bucket" "asset_inventory_export" {
project = var.project_id
name = "${var.project_id}-asset-inventory-export"
location = var.region
force_destroy = false
# バケットレベルのアクセス制御
uniform_bucket_level_access = true
# パブリックアクセス防止
public_access_prevention = "enforced"
# ライフサイクルルール(90日後にNearlineへ移行)
lifecycle_rule {
condition {
age = 90
}
action {
type = "SetStorageClass"
storage_class = "NEARLINE"
}
}
# バージョニングを有効化
versioning {
enabled = true
}
}
# Cloud Asset InventoryサービスアカウントへのバケットアクセスIAM
resource "google_storage_bucket_iam_member" "asset_inventory_writer" {
bucket = google_storage_bucket.asset_inventory_export.name
role = "roles/storage.objectCreator"
member = "serviceAccount:service-${data.google_project.current.number}@gcp-sa-cloudasset.iam.gserviceaccount.com"
depends_on = [google_project_service.asset_inventory]
}
# リアルタイムフィード用のPub/Subトピック
resource "google_pubsub_topic" "asset_changes" {
project = var.project_id
name = "asset-inventory-changes"
message_retention_duration = "604800s" # 7日間
}
# Cloud Asset InventoryサービスアカウントへのPub/Sub発行権限
resource "google_pubsub_topic_iam_member" "asset_inventory_publisher" {
project = var.project_id
topic = google_pubsub_topic.asset_changes.name
role = "roles/pubsub.publisher"
member = "serviceAccount:service-${data.google_project.current.number}@gcp-sa-cloudasset.iam.gserviceaccount.com"
depends_on = [google_project_service.asset_inventory]
}
# リアルタイムフィードの設定
resource "google_cloud_asset_feed" "all_resources" {
project = var.project_id
feed_id = "all-resources-feed"
content_type = "RESOURCE"
asset_types = [
"compute.googleapis.com/Instance",
"storage.googleapis.com/Bucket",
"iam.googleapis.com/ServiceAccount",
"cloudresourcemanager.googleapis.com/Project",
# 必要に応じて監視対象リソースタイプを追加
]
feed_output_config {
pubsub_destination {
topic = google_pubsub_topic.asset_changes.id
}
}
depends_on = [
google_project_service.asset_inventory,
google_pubsub_topic_iam_member.asset_inventory_publisher
]
}
# 組織レベルでのCloud Asset Inventory有効化(組織管理者権限が必要)
resource "google_organization_iam_member" "asset_viewer" {
count = var.enable_org_level ? 1 : 0
org_id = var.organization_id
role = "roles/cloudasset.viewer"
member = "serviceAccount:${google_service_account.asset_inventory_sa.email}"
}
# Asset Inventory用のサービスアカウント
resource "google_service_account" "asset_inventory_sa" {
project = var.project_id
account_id = "asset-inventory-sa"
display_name = "Cloud Asset Inventory Service Account"
description = "Service account for Cloud Asset Inventory operations"
}
# 定期的なエクスポートジョブ(Cloud Schedulerを使用)
resource "google_cloud_scheduler_job" "asset_export" {
project = var.project_id
name = "asset-inventory-export"
description = "Daily export of Cloud Asset Inventory"
schedule = "0 2 * * *" # 毎日午前2時に実行
time_zone = "Asia/Tokyo"
http_target {
http_method = "POST"
uri = "<https://cloudasset.googleapis.com/v1/$>{var.organization_id != "" ? "organizations/${var.organization_id}" : "projects/${var.project_id}"}/assets:exportAssets"
body = base64encode(jsonencode({
outputConfig = {
gcsDestination = {
uri = "gs://${google_storage_bucket.asset_inventory_export.name}/inventory-export/"
uriPrefix = "export"
}
}
contentType = "RESOURCE"
assetTypes = ["*"] # すべてのアセットタイプをエクスポート
}))
oauth_token {
service_account_email = google_service_account.asset_inventory_sa.email
scope = "<https://www.googleapis.com/auth/cloud-platform>"
}
}
depends_on = [google_project_service.asset_inventory]
}
# 変数定義
variable "project_id" {
description = "GCP Project ID"
type = string
}
variable "region" {
description = "Default region for resources"
type = string
default = "asia-northeast1"
}
variable "organization_id" {
description = "GCP Organization ID (optional)"
type = string
default = ""
}
variable "enable_org_level" {
description = "Enable organization-level Cloud Asset Inventory"
type = bool
default = false
}
# データソース
data "google_project" "current" {
project_id = var.project_id
}
まとめ
この記事では、GCP Cloud Asset Inventoryを有効化してリソースの可視化と変更履歴の追跡を実現する方法について、リスクと対策を解説しました。
Cloud Asset Inventoryは、GCP環境のガバナンスとセキュリティを維持するための基盤となるサービスです。リソースの変更履歴を追跡し、不正な変更や設定ミスを早期に検出することで、セキュリティインシデントのリスクを大幅に削減できます。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。
