このページでは、Security Command Center のリスクエンジン機能でサポートされているサービスと検出結果、および対象となるサポートの上限について説明します。
リスクエンジンは、次の攻撃の発生可能性スコアとパスを生成します。
Vulnerability
とMisconfiguration
の検出結果クラスでサポートされている検出カテゴリ。詳細については、サポートされている検出カテゴリをご覧ください。Toxic combination
クラスの検出結果。- 高価値として指定した、サポートされているリソースタイプのリソース インスタンス。詳細については、高価値リソースセットでサポートされるリソースタイプをご覧ください。
以降のセクションでは、Risk Engine でサポートされている Security Command Center のサービスと検出結果について説明します。
組織レベルのサポートのみ
Risk Engine が攻撃の発生可能性スコアと攻撃パスの生成に使用する攻撃パス シミュレーションでは、組織レベルで Security Command Center を有効にする必要があります。Security Command Center をプロジェクト レベルで有効にしている場合、攻撃パス シミュレーションはサポートされません。
攻撃パスを表示するには、Google Cloud コンソール ビューが組織に設定されている必要があります。Google Cloud コンソールでプロジェクト ビューまたはフォルダビューを選択すると、攻撃の発生可能性スコアは表示されますが、攻撃パスは表示されません。
また、ユーザーが攻撃パスを表示するために必要な IAM 権限を、組織レベルで付与する必要があります。少なくとも、組織レベルで付与されるロールの securitycenter.attackpaths.list
権限がユーザーに付与されている必要があります。この権限を含む最も制限の少ない IAM 事前定義ロールは、セキュリティ センター攻撃パス読み取り(securitycenter.attackPathsViewer
)です。
この権限を含むその他のロールについては、IAM の基本ロールと事前定義ロールのリファレンスをご覧ください。
組織に対するサイズ上限
攻撃パス シミュレーションの場合、Risk Engine は、組織に含めることができるアクティブなアセットとアクティブな検出結果の数を制限します。
組織が次の表に示す上限を超えると、攻撃パス シミュレーションは実行されません。
上限の対象 | 使用量上限 |
---|---|
アクティブな検出結果の最大数 | 250,000,000 |
有効なアセットの最大数 | 26,000,000 |
組織内のアセット、検出結果、またはその両方が、これらの上限に近づいているか、上回っている場合は、Cloud カスタマーケアに連絡して、引き上げの可能性について組織の評価をリクエストしてください。
攻撃パス シミュレーションに含まれる Google Cloud サービス
Risk Engine が実行するシミュレーションには、次の Google Cloud サービスが含まれます。
- Artifact Registry
- BigQuery
- Cloud Run 関数
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Virtual Private Cloud(サブネットとファイアウォール構成を含む)
- Resource Manager
高価値リソースセットの上限
高価値リソースセットでは特定のリソースタイプのみがサポートされ、特定の数のリソース インスタンスのみを含めることができます。
高価値リソースセットのインスタンスの上限
クラウド サービス プロバイダ プラットフォームの高価値リソースセットには、最大 1,000 個のリソース インスタンスを含めることが可能です。
高価値リソースセットでサポートされるリソースタイプ
高価値リソースセットには、次のタイプの Google Cloud リソースのみを追加できます。
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
他のクラウド サービス プロバイダでサポートされているリソースタイプの一覧については、クラウド サービス プロバイダのサポートをご覧ください。
リソース値の構成の上限
Google Cloud では、組織ごとに最大 100 個のリソース値の構成を作成できます。
データの機密性の分類でサポートされている Google Cloud リソースタイプ
攻撃パス シミュレーションでは、次のデータ リソースタイプに対してのみ、Sensitive Data Protection の検出のデータ機密性の分類に基づいて優先度値を自動的に設定できます。
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
サポートされている検出カテゴリ
攻撃パス シミュレーションでは、このセクションに記載されている Security Command Center 検出サービスから、Security Command Center の検出結果カテゴリにのみ攻撃の発生可能性スコアと攻撃パスが生成されます。
GKE Security Posture の検出結果
攻撃パス シミュレーションでは、次の GKE Security Posture の検出結果カテゴリがサポートされています。
- GKE ランタイム OS 脆弱性
Mandiant Attack Surface Management の検出結果
攻撃パス シミュレーションでは、次の Mandiant Attack Surface Management の検出結果カテゴリがサポートされています。
- ソフトウェアの脆弱性
Risk Engine の検出結果
Risk Engine が発行する Toxic combination
検出結果カテゴリは、攻撃の発生可能性スコアをサポートしています。
Security Health Analytics の検出結果
Google Cloud の攻撃パス シミュレーションでは、次の Security Health Analytics の検出結果がサポートされています。
- 管理サービス アカウント
- 自動修復が無効
- 自動アップグレードが無効
- Binary Authorization が無効
- バケット ポリシーのみ無効
- クラスタの限定公開の Google アクセスが無効
- クラスタ シークレットの暗号化が無効
- クラスタのシールドされたノードが無効
- Compute プロジェクト全体で SSH 認証鍵が許可されている
- Compute のセキュアブートが無効
- Compute のシリアルポートが有効
- COS が使用されていない
- デフォルトのサービス アカウントが使用されている
- API に対する完全アクセス権
- マスター承認済みネットワークが無効
- MFA が未適用
- ネットワーク ポリシーが無効
- ノードプールのセキュアブートが無効
- Cassandra ポートがオープン状態
- CiscoSecure WebSM ポートがオープン状態
- ディレクトリ サービス ポートがオープン状態
- DNS ポートがオープン状態
- Elasticsearch ポートがオープン状態
- ファイアウォールがオープン状態
- FTP ポートがオープン状態
- HTTP ポートがオープン状態
- LDAP ポートがオープン状態
- Memcached ポートがオープン状態
- MongoDB ポートがオープン状態
- MySQL ポートがオープン状態
- NetBIOS ポートがオープン状態
- OracleDB ポートがオープン状態
- POP3 ポートがオープン状態
- PostgreSQL ポートがオープン状態
- RDP ポートがオープン状態
- Redis ポートがオープン状態
- SMTP ポートがオープン状態
- SSH ポートがオープン状態
- Telnet ポートがオープン状態
- 過剰な権限を持つアカウント
- 過剰な権限のスコープ
- 過剰な権限を持つサービス アカウント ユーザー
- 基本ロールが使用されている
- 限定公開クラスタが無効になっている
- バケットの ACL が公開状態
- パブリック IP アドレス
- 公開ログバケット
- リリース チャンネルが無効
- サービス アカウント キーがローテーションされていない
- ユーザーが管理するサービス アカウント キー
- Workload Identity が無効
VM Manager の検出結果
VM Manager が発行する OS Vulnerability
検出結果カテゴリは、攻撃の発生可能性スコアをサポートしています。
Pub/Sub 通知のサポート
攻撃の発生可能性スコアの変更は、Pub/Sub への通知のトリガーとして使用できません。
また、検出結果が作成される際に Pub/Sub に送信される検出結果は、スコアの計算前に送信されるため、検出結果には攻撃の発生可能性スコアは含まれません。
マルチクラウド サポート
Security Command Center では、次のクラウド サービス プロバイダの攻撃の発生可能性スコアと攻撃パスの可視化を提供できます。
他のクラウド サービス プロバイダ プラットフォームに対する攻撃パス シミュレーションがサポートする脆弱性と構成ミスの検出機能は、Security Command Center の検出サービスがプラットフォームでサポートする検出機能によって異なります。
検出機能のサポートは、クラウド サービス プロバイダごとに異なります。
AWS のサポート
Security Command Center では、AWS 上のリソースに対する攻撃の発生可能性スコアと攻撃パスの可視化を計算できます。
攻撃パス シミュレーションでサポートされている AWS サービス
シミュレーションには、次の AWS サービスが含まれます。
- Identity and Access Management(IAM)
- Security Token Service(STS)
- Simple Storage Service(S3)
- ウェブ アプリケーション ファイアウォール(WAFv2)
- Elastic Compute Cloud(EC2)
- Elastic Load Balancing(ELB & ELBv2)
- リレーショナル データベース サービス(RDS)
- Key Management Service(KMS)
- Elastic Container Registry(ECR)
- Elastic Container Service(ECS)
- ApiGateway と ApiGatewayv2
- Organizations(アカウント管理サービス)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
高価値リソースセットでサポートされる AWS リソースタイプ
高価値リソースセットには、次のタイプの AWS リソースのみを追加できます。
- DynamoDB 表
- EC2 インスタンス
- LAMBDA 関数
- RDS DBCluster
- RDS DBInstance
- S3 バケット
データ機密性の分類でサポートされている AWS リソースタイプ
攻撃パス シミュレーションでは、次の AWS データ リソースタイプに対してのみ、Sensitive Data Protection の検出のデータ機密性の分類に基づいて優先度値を自動的に設定できます。
- Amazon S3 バケット
AWS 向け Security Health Analytics での検出結果のサポート
攻撃パス シミュレーションでは、次の Security Health Analytics の検出結果カテゴリに対してスコアと攻撃パスの可視化が提供されます。
- 90 日以内でローテーションされるアクセスキー
- 45 日以上使用されていない認証情報が無効
- デフォルトのセキュリティ グループ VPC がすべてのトラフィックを制限
- パブリック IP のない EC2 インスタンス
- IAM パスワード ポリシー
- IAM パスワード ポリシーでパスワードの再利用を禁止
- IAM パスワード ポリシーで 14 文字以上の長さを要求
- IAM ユーザーの未使用の認証情報のチェック
- IAM ユーザーが権限グループを取得
- KMS cmk の削除予定なし
- MFA の削除が有効な S3 バケット
- MFA が有効になっている root ユーザー アカウント
- すべての IAM ユーザー コンソールで多要素認証 MFA が有効
- root ユーザー アカウントのアクセスキーなし
- 0 リモート サーバー管理への上り(内向き)を許可するセキュリティ グループなし
- 0 0 0 0 リモート サーバー管理への上り(内向き)を許可するセキュリティ グループなし
- 単一の IAM ユーザーが利用できるアクティブなアクセスキーが 1 つ
- 公開アクセス可能な RDS インスタンス
- 制限付き共通ポート
- 制限付き SSH
- 顧客作成の CMK のローテーションが有効
- 顧客作成の対称 CMK のローテーションが有効
- S3 バケット構成ブロック パブリック アクセス バケット設定
- S3 バケット ポリシーが HTTP リクエストの拒否に設定
- S3 のデフォルトの暗号化 KMS
- VPC デフォルト セキュリティ グループをクローズ
EC2 脆弱性評価の検出結果
EC2 脆弱性評価が発行する Software vulnerability
検出結果カテゴリは、攻撃の発生可能性スコアをサポートしています。
ユーザー インターフェースのサポート
攻撃の発生可能性スコアは、Google Cloud コンソール、Security Operations コンソール、Security Command Center API のいずれかで操作できます。
有害な組み合わせのケースの攻撃の発生可能性スコアと攻撃パスは、セキュリティ運用コンソールでのみ操作できます。
リソース値の構成は、Google Cloud コンソールの Security Command Center の [設定] ページにある [攻撃パス シミュレーション] タブでのみ作成できます。