攻撃の発生可能性機能のサポート

このページでは、攻撃の発生可能性機能でサポートされているサービスと検出結果、および対象となるサポートの上限について説明します。

Security Command Center は、次の攻撃の発生可能性スコアとパスを生成します。

次のセクションでは、攻撃の発生可能性スコアでサポートされている Security Command Center のサービスと検出結果を一覧表示します。

組織レベルのサポートのみ

攻撃の発生可能性スコアと攻撃パスを生成する攻撃パス シミュレーションでは、組織レベルで Security Command Center を有効にする必要があります。Security Command Center をプロジェクト レベルで有効にしている場合、攻撃パス シミュレーションはサポートされません。

攻撃パスを表示するには、Google Cloud コンソール ビューが組織に設定されている必要があります。Google Cloud コンソールでプロジェクト ビューまたはフォルダビューを選択すると、攻撃の発生可能性スコアは表示されますが、攻撃パスは表示されません。

また、ユーザーが攻撃パスを表示するために必要な IAM 権限を、組織レベルで付与する必要があります。少なくとも、組織レベルで付与されるロールの securitycenter.attackpaths.list 権限がユーザーに付与されている必要があります。この権限を含む最も制限の少ない IAM 事前定義ロールは、セキュリティ センター攻撃パス読み取りsecuritycenter.attackPathsViewer)です。

この権限を含むその他のロールについては、IAM の基本ロールと事前定義ロールのリファレンスをご覧ください。

組織に対するサイズ上限

攻撃パス シミュレーションの場合、Security Command Center は、組織に含めることができるアクティブなアセットとアクティブな検出結果の数を制限します。

組織が次の表に示す上限を超えると、攻撃パス シミュレーションは実行されません。

上限の対象 使用量上限
アクティブな検出結果の最大数 250,000,000
有効なアセットの最大数 26,000,000

組織内のアセット、検出結果、またはその両方が、これらの上限に近づいているか、上回っている場合は、Cloud カスタマーケアに連絡して、引き上げの可能性について組織の評価をリクエストしてください。

攻撃パス シミュレーションに含まれる Google Cloud サービス

シミュレーションには、次の Google Cloud サービスが含まれます。

  • BigQuery
  • Cloud Functions
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • Virtual Private Cloud(サブネットとファイアウォール構成を含む)
  • Resource Manager

高価値リソースセットの上限

高価値リソースセットでは特定のリソースタイプのみがサポートされ、特定の数のリソース インスタンスのみを含めることができます。

高価値リソースセットのインスタンスの上限

クラウド サービス プロバイダ プラットフォームの高価値リソースセットには、最大 1,000 個のリソース インスタンスを含めることが可能です。

高価値リソースセットでサポートされるリソースタイプ

高価値リソースセットには、次のタイプの Google Cloud リソースのみを追加できます。

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

他のクラウド サービス プロバイダでサポートされるリソースタイプの一覧については、クラウド サービス プロバイダのサポートをご覧ください。

リソース値の構成の上限

Google Cloud では、組織ごとに最大 100 個のリソース値の構成を作成できます。

データ機密性の分類でサポートされているリソースタイプ

攻撃パス シミュレーションでは、次のデータ リソースタイプに対してのみ、Sensitive Data Protectionのデータ機密性の分類に基づいて優先度値を自動的に設定できます。

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance

サポートされている検出カテゴリ

攻撃パス シミュレーションでは、このセクションに記載されている Security Command Center 検出サービスから Security Command Center の検出結果カテゴリのみについて、攻撃の発生可能性スコアと攻撃パスを生成します。

Mandiant Attack Surface Management の検出結果

攻撃パス シミュレーションでは、次の Mandiant Attack Surface Management 検出結果カテゴリがサポートされています。

  • ソフトウェアの脆弱性

Security Health Analytics の検出結果

Google Cloud の攻撃パス シミュレーションでは、次の Security Health Analytics の検出結果がサポートされています。

  • 管理サービス アカウント
  • 自動修復が無効
  • 自動アップグレードが無効
  • Binary Authorization が無効
  • バケット ポリシーのみ無効
  • クラスタの限定公開の Google アクセスが無効
  • クラスタ シークレットの暗号化が無効
  • クラスタのシールドされたノードが無効
  • Compute プロジェクト全体で SSH 認証鍵が許可されている
  • Compute のセキュアブートが無効
  • Compute のシリアルポートが有効
  • COS が使用されていない
  • デフォルトのサービス アカウントが使用されている
  • API に対する完全アクセス権
  • マスター承認済みネットワークが無効
  • MFA が未適用
  • ネットワーク ポリシーが無効
  • ノードプールのセキュアブートが無効
  • Cassandra ポートがオープン状態
  • CiscoSecure WebSM ポートがオープン状態
  • ディレクトリ サービス ポートがオープン状態
  • DNS ポートがオープン状態
  • Elasticsearch ポートがオープン状態
  • ファイアウォールがオープン状態
  • FTP ポートがオープン状態
  • HTTP ポートがオープン状態
  • LDAP ポートがオープン状態
  • Memcached ポートがオープン状態
  • MongoDB ポートがオープン状態
  • MySQL ポートがオープン状態
  • NetBIOS ポートがオープン状態
  • OracleDB ポートがオープン状態
  • POP3 ポートがオープン状態
  • PostgreSQL ポートがオープン状態
  • RDP ポートがオープン状態
  • Redis ポートがオープン状態
  • SMTP ポートがオープン状態
  • SSH ポートがオープン状態
  • Telnet ポートがオープン状態
  • 過剰な権限を持つアカウント
  • 過剰な権限のスコープ
  • 過剰な権限を持つサービス アカウント ユーザー
  • 基本ロールが使用されている
  • 限定公開クラスタが無効になっている
  • バケットの ACL が公開状態
  • パブリック IP アドレス
  • 公開ログバケット
  • リリース チャンネルが無効
  • サービス アカウント キーがローテーションされていない
  • ユーザーが管理するサービス アカウント キー
  • Workload Identity が無効

Rapid Vulnerability Detection の検出結果

攻撃パス シミュレーションでは、次の Rapid Vulnerability Detection の検出結果がサポートされます。

  • 脆弱な認証情報
  • Elasticsearch API の露出
  • 露出した Grafana エンドポイント
  • 露出したメタベース
  • 露出した Spring Boot Actuator エンドポイント
  • Hadoop Yarn Unauthenticated Resource Manager API
  • Java JMX RMI の露出
  • Jupyter Notebook の露出した UI
  • Kubernetes API の露出
  • 未完了の Wordpress インストール
  • 未認証の Jenkins New Item コンソール
  • Apache HTTPD RCE
  • Apache HTTPD SSRF
  • Consul RCE
  • Druid RCE
  • Drupal RCE
  • Flink ファイルの開示
  • Gitlab RCE
  • GoCD RCE
  • Jenkins RCE
  • Joomla RCE
  • Log4j RCE
  • MantisBT 権限昇格
  • OGNL RCE
  • OpenAM RCE
  • Oracle WebLogic RCE
  • PHPUnit RCE
  • PHP CGI RE
  • Portal RCE
  • Redis RCE
  • Solr ファイルの開示
  • Solr RCE
  • Struts RCE
  • Tomcat ファイルの開示
  • vBulletin RCE
  • vCenter RCE
  • WebLogic RCE

VM Manager の検出結果

VM Manager が発行する OS Vulnerability 検出結果カテゴリは、攻撃の発生可能性スコアをサポートしています。

Pub/Sub 通知のサポート

攻撃の発生可能性スコアの変更は、Pub/Sub への通知のトリガーとして使用できません。

また、検出結果が作成される際に Pub/Sub に送信される検出結果は、スコアの計算前に送信されるため、検出結果には攻撃の発生可能性スコアは含まれません。

マルチクラウド サポート

Security Command Center は、次のクラウド サービス プロバイダに対して攻撃の発生可能性スコアと攻撃パスの可視化を提供します。

  • アマゾン ウェブ サービス(AWS)

他のクラウド サービス プロバイダの検出機能のサポート

他のクラウド サービス プロバイダ プラットフォームに対する攻撃パス シミュレーションがサポートする脆弱性と構成ミスの検出機能は、Security Command Center の検出サービスがプラットフォームでサポートする検出によって異なります。

検出機能のサポートは、クラウド サービス プロバイダごとに異なります。

AWS のサポート

Security Command Center では、AWS 上のリソースに対する攻撃の発生可能性スコアと攻撃パスの可視化を計算できます。

攻撃パス シミュレーションでサポートされる AWS サービス

シミュレーションには、次の AWS サービスを含めることができます。

  • Identity and Access Management(IAM)
  • Security Token Service(STS)
  • Simple Storage Service(S3)
  • ウェブ アプリケーション ファイアウォール(WAFv2)
  • Elastic Compute Cloud(EC2)
  • Elastic Load Balancing(ELB と ELBv2)
  • リレーショナル データベース サービス(RDS)
  • 鍵管理サービス(KMS)
  • Elastic Container Registry(ECR)
  • Elastic Container Service(ECS)
  • ApiGateway と ApiGatewayv2
  • Organizations(アカウント管理サービス)
  • CloudFront
  • AutoScaling
  • Lambda
  • DynamoDB

高価値リソースとして指定できる AWS リソースタイプ

高価値リソースセットには、次のタイプの AWS リソースのみを追加できます。

  • DynamoDB 表
  • EC2 インスタンス
  • LAMBDA 関数
  • RDS DBCluster
  • RDS DBInstance
  • S3 バケット

AWS の検出結果のサポート

攻撃パス シミュレーションでは、次の Security Health Analytics 検出結果カテゴリのスコアと攻撃パスの可視化が表示されます。

  • 90 日以内でローテーションされるアクセスキー
  • 45 日以上使用されていない認証情報が無効
  • デフォルトのセキュリティ グループ VPC がすべてのトラフィックを制限
  • パブリック IP のない EC2 インスタンス
  • IAM パスワード ポリシー
  • IAM パスワード ポリシーでパスワードの再利用を禁止
  • IAM パスワード ポリシーで 14 文字以上の長さを要求
  • IAM ユーザーの未使用の認証情報のチェック
  • IAM ユーザーが権限グループを取得
  • KMS cmk の削除予定なし
  • MFA の削除が有効な S3 バケット
  • MFA が有効になっている root ユーザー アカウント
  • すべての IAM ユーザー コンソールで多要素認証 MFA が有効
  • root ユーザー アカウントのアクセスキーなし
  • 0 リモート サーバー管理への上り(内向き)を許可するセキュリティ グループなし
  • 0 0 0 0 リモート サーバー管理への上り(内向き)を許可するセキュリティ グループなし
  • 単一の IAM ユーザーが利用できるアクティブなアクセスキーが 1 つ
  • 公開アクセス可能な RDS インスタンス
  • 制限付き共通ポート
  • 制限付き SSH
  • 顧客作成の CMK のローテーションが有効
  • 顧客作成の対称 CMK のローテーションが有効
  • S3 バケット構成ブロック パブリック アクセス バケット設定
  • S3 バケット ポリシーが HTTP リクエストの拒否に設定
  • S3 のデフォルトの暗号化 KMS
  • VPC デフォルト セキュリティ グループをクローズ

ユーザー インターフェースのサポート

Google Cloud コンソールの Security Command Center または Security Command Center API を使用して、攻撃の発生可能性スコアを操作できます。

リソース値の構成は、Google Cloud コンソールの Security Command Center の [設定] ページにある [攻撃パス シミュレーション] タブでのみ作成できます。