脆弱性レポートを表示する


ソフトウェアの脆弱性は、偶発的なシステム障害や悪意のあるアクティビティを引き起こす可能性がある弱点です。詳細については、脆弱性レポートをご覧ください。

このドキュメントでは、VM Manager を使用して VM を設定し、オペレーティング システムの脆弱性レポートを表示する方法について説明します。

始める前に

  • OS Config の割り当てを確認します。
  • VM Manager を設定します。
  • まだ設定していない場合は、認証を設定します。認証とは、Google Cloud サービスと API にアクセスするために ID を確認するプロセスです。ローカル開発環境からコードまたはサンプルを実行するには、次のように Compute Engine に対する認証を行います。

    このページのサンプルをどのように使うかに応じて、タブを選択してください。

    コンソール

    Google Cloud コンソールを使用して Google Cloud サービスと API にアクセスする場合、認証を設定する必要はありません。

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. デフォルトのリージョンとゾーンを設定します

    REST

    このページの REST API サンプルをローカル開発環境で使用するには、gcloud CLI に指定した認証情報を使用します。

      Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init

サポートされているオペレーティング システム

VM Manager を使用して脆弱性レポートを取得できるオペレーティング システムとバージョンの完全なリストについては、オペレーティング システムの詳細をご覧ください。

必要なロールと権限

脆弱性レポートを表示するために必要な権限を取得するには、プロジェクトに対して次の IAM ロールを付与するよう管理者に依頼してください。

ロールの付与の詳細については、アクセスの管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

Google Cloud コンソールを使用して Compute Engine リソースにアクセスするには、これらのロールに加えて、プロジェクトに対して compute.projects.get 権限を持つロールが必要です。

脆弱性レポートを表示する

脆弱性レポートを表示するには、次のいずれかのオプションを使用できます。

gcloud CLI または API を使用して脆弱性レポートを表示する

VM の脆弱性レポートを表示するには、次のいずれかの方法を使用します。

コンソール

Google Cloud コンソールを使用して VM の OS 脆弱性レポートを表示するには、次の操作を行います。

  1. Google Cloud コンソールで [VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. OS 情報を表示するインスタンスの名前をクリックします。[インスタンスの詳細] ページが表示されます。
  3. [OS 情報] タブをクリックします。
    OS インベントリ データを表示するには、VM Manager を有効にする必要があります。 Google Cloud コンソールで VM Manager を有効にするように求められたら、次のいずれかのオプションを選択します。
    • 現在のプロジェクトに対して有効化: 選択したプロジェクト内のすべての VM に対して VM Manager を有効にする
    • この VM に対して有効化: 選択した VM に対してのみ VM Manager を有効にする
  4. [OS 情報] タブで、OS の脆弱性のリストを確認する。

gcloud

  • 特定のゾーンにおける VM の脆弱性レポートを表示するには、os-config vulnerability-reports list コマンドを使用します。

    たとえば、インベントリ データを持つすべての VM を一覧表示するには、次のコマンドを実行します。

    gcloud compute os-config vulnerability-reports list \
       --location=ZONE
    

    ZONE は、VM を配置するゾーンに置き換えます。

    gcloud compute os-config vulnerability-reports list \
       --location=us-west2-a
    

    出力例

    INSTANCE_ID         VULNERABILITY_COUNT  UPDATE_TIME
    29255009728795105   2                    2021-04-13T19:10:10.303046Z
    307058717116242358  1                    2021-04-13T19:10:10.303046Z
    
  • 特定の VM について脆弱性レポートを表示するには、前のステップで返された INSTANCE_ID または INSTANCE_NAME を指定して os-config vulnerability-reports describe コマンドを実行します。

    gcloud compute os-config vulnerability-reports describe VM_NAME \
       --location=ZONE
    

    次のように置き換えます。

    • VM_NAME: VM の名前
    • ZONE: VM インスタンスを配置するゾーン

    gcloud compute os-config vulnerability-reports describe vm1-centos \
       --location=us-west2-a
    

    出力例

    ┌───────────────────────────────────────────────────────────────────┐
    │                          Vulnerabilities                          │
    ├──────────────────┬──────────┬───────────────┬─────────────────────┤
    │       CVE        │ SEVERITY │ CVSS_V3_SCORE │     CREATE_TIME     │
    ├──────────────────┼──────────┼───────────────┼─────────────────────┤
    │ CVE-2012-6655    │ LOW      │ 3.3           │ 2021-04-29T22:19:53 │
    │ CVE-2016-1585    │ MEDIUM   │ 9.8           │ 2021-04-29T22:19:53 │
    │ CVE-2016-2781    │ LOW      │ 6.5           │ 2021-04-29T22:19:53 │
    │ CVE-2019-7306    │ LOW      │ 7.5           │ 2021-04-29T22:19:53 │
    │ CVE-2020-13776   │ LOW      │ 6.7           │ 2021-04-29T22:19:53 │
    │ CVE-2021-31879   │ MEDIUM   │ 6.1           │ 2021-05-05T06:11:53 │
    └──────────────────┴──────────┴───────────────┴─────────────────────┘
    name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport
    updateTime: '2021-05-11T22:29:50'
    

REST

  • 特定のゾーンにおける VM の脆弱性レポートを表示するには、projects.locations.instances.vulnerabilityReports メソッドに対する GET リクエストを作成します。

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
    

    次のように置き換えます。

    • PROJECT_ID: プロジェクト ID
    • ZONE: VM が配置されているゾーン
  • 特定の VM について脆弱性レポートを表示するには、projects.locations.instances.getVulnerabilityReport メソッドに対する GET リクエストを作成します。

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
    

    次のように置き換えます。

    • PROJECT_ID: プロジェクト ID
    • ZONE: VM インスタンスを配置するゾーン
    • INSTANCE: インスタンス ID または VM の名前

Security Command Center のダッシュボードを使用して脆弱性レポートを表示する

Security Command Center は、脆弱性と脅威の報告を一元的に行う Google Cloud のサービスです。

Security Command Center のプレミアム ティアユーザーは、組織内の VM で実行されているオペレーティング システムの脆弱性レポートデータにアクセスできます。

Security Command Center のダッシュボードの [検出結果] ページでは、オペレーティング システムに影響するすべての特定された脆弱性の共通脆弱性識別子(CVE ID)を確認できます。

Security Command Center ダッシュボードを使用して、オペレーティング システムの脆弱性データを確認する方法については、VM Manager をご覧ください。

Cloud Asset Inventory の脆弱性レポートデータを表示する

OS Inventory Management は、インベントリ データと脆弱性レポートデータを保存し、Cloud Asset Inventory に転送します。Cloud Asset Inventory は、Google Cloud 全体のアセットを表示、モニタリング、分析できるメタデータ インベントリ サービスです。Cloud Asset Inventory で情報をポーリングし、データの変更を表示できます。

Cloud Asset Inventory の OS インベントリと脆弱性レポートデータにアクセスするには、次の手順を完了する必要があります。

詳細については、VM Manager データの表示をご覧ください。

次のステップ