ID とアクセスの検出結果を調査する

このページでは、Google Cloud コンソールで、ID とアクセスに関連するセキュリティ問題の検出結果(ID とアクセスの検出結果)を操作して、潜在的な構成ミスを調査して特定する方法について説明します。

Enterprise ティアで提供される Cloud Infrastructure Entitlement Management(CIEM)機能の一部として、Security Command Center は ID とアクセスの検出結果を生成し、Security Command Center の [リスクの概要] ページで簡単にアクセスできるようにします。これらの検出結果は、[ID とアクセスの検出結果] ペインでキュレートされ、分類されます。

始める前に

続行する前に、次の作業が完了していることを確認してください。

ID とアクセスの検出結果の概要を表示する

Security Command Center の [リスクの概要] ページの [ID とアクセスの検出結果] ペインには、Google Cloud や Amazon Web Services(AWS)などのクラウド環境全体の ID と アクセスに関する上位の検出結果の概要が提供されます。このペインは、検出結果を 3 つの列に整理した表で構成されています。

  • 重大度: 検出結果の重大度は、検出結果カテゴリの修正の重要性を示す一般的な指標です。重大度は CriticalHighMediumLow のいずれかに分類されます。
  • 検出結果のカテゴリ: 検出された ID とアクセスの構成ミスのタイプ。
  • クラウド プロバイダ: 構成ミスが見つかったクラウド環境。
  • 検出結果の合計数: 特定の重大度分類でカテゴリで検出された ID とアクセスの構成ミスの合計数。

ペインで検出結果を移動するには、それぞれの見出しをクリックして、重大度、検出結果カテゴリ、検出結果の合計数で並べ替えます。また、ペインに表示される行数(最大 200)を変更したり、表の下部にあるナビゲーション矢印を使用してページ間を移動したりすることもできます。

カテゴリ名または対応する検出結果の合計数をクリックすると、Security Command Center の [検出結果] ページで特定の検出結果を詳しく調べることができます。詳細については、ID とアクセスの検出結果の詳細を検査するをご覧ください。

検出結果の表の下にある次のコンポーネントは、ID とアクセスの検出結果に追加のコンテキストを提供します。

  • [ソース] ラベルは、Security Command Center が検出結果を生成するためにデータを取り込むソースを示します。ID とアクセスの検出結果は、Google Cloud 環境と AWS 環境の両方に適用でき、CIEM、IAM Recommender、Security Health Analytics などのさまざまな検出機能から取得できます。Security Command Center は、AWS インスタンスに接続し、CIEM に対して AWS ログの取り込みを構成している場合に、AWS の ID とアクセスの検出結果のみを表示します。
  • [すべての ID とアクセスの検出結果を表示] リンクをクリックすると、Security Command Center の [検出結果] ページに移動して、カテゴリまたは重大度に関係なく、検出されたすべての ID とアクセスの構成ミスを確認できます。
  • [Google Cloud の Policy Analyzer でアクセスを確認する] リンクをクリックすると、Policy Analyzer ツールに簡単にアクセスできます。このツールを使用すると、IAM 許可ポリシーに基づいて、どのユーザーがどの Google Cloud リソースにアクセスできるかを確認できます。

検出結果ページで ID とアクセスの検出結果を表示する

[ID とアクセスの検出結果] ペインには、Security Command Center の [検出結果] ページへの複数のエントリ ポイントがあり、ID とアクセスの検出結果を詳細に検査できます。

  • [検出結果のカテゴリ] の下にある検出結果の名前、または [検出結果の合計数] の下にある検出結果の合計数をクリックすると、その特定の検出結果のカテゴリと重大度評価が自動的にクエリされます。
  • [ID とアクセスの検出結果をすべて表示] をクリックして、すべての検出結果を特定の順序なしでクエリします。

Security Command Center では、ID とアクセスの構成ミス専用の検出結果クエリを作成する特定のクイックフィルタが事前選択されています。クイック フィルタ オプションは、1 つまたはすべての ID とアクセスの検出結果をクエリするかどうかによって異なります。これらのクエリは必要に応じて編集できます。CIEM の目的に関係する特定のクイック フィルタのカテゴリとオプションは次のとおりです。

  • カテゴリ: 詳細を確認する特定の検出カテゴリの結果をクエリするフィルタ。このカテゴリに表示されるクイック フィルタ オプションは、1 つまたはすべての ID とアクセスの検出結果をクエリするかどうかによって異なります。
  • プロジェクト ID: 特定のプロジェクトに関連する検出結果の結果をクエリするフィルタ。
  • リソースタイプ: 特定のリソースタイプに関連する検出結果の結果をクエリするフィルタ。
  • 重大度: 特定の重大度の検出結果の結果をクエリするフィルタ。
  • ソースの表示名: 構成ミスを検出した特定のサービスによって検出された検出結果の結果をクエリするフィルタ。
  • クラウド プロバイダ: 特定のクラウド プラットフォームの検出結果の結果をクエリするフィルタ。

[検出結果クエリの結果] パネルは、検出結果の詳細を示す複数の列で構成されています。その中の、CIEM の目的に関係するものは次のとおりです。

  • 重大度: 特定の検出結果の重大度が表示され、修正の優先順位付けに役立ちます。
  • リソースの表示名: 検出結果が検出されたリソースが表示されます。
  • ソースの表示名: 検出結果を検出したサービスが表示されます。 ID 関連の検出結果を生成するソースには、CIEM、IAM Recommender、Security Health Analytics などがあります。
  • クラウド プロバイダ: 検出結果が検出されたクラウド環境(Google Cloud や AWS など)が表示されます。
  • 不適切なアクセス許可: 不適切なロールが付与されている可能性があるプリンシパルを確認するためのリンクが表示されます。
  • ケース ID: 検出結果に関連するケースの ID 番号が表示されます。

検出結果の操作の詳細については、検出結果を確認、管理するをご覧ください。

さまざまなクラウド プラットフォームの ID とアクセスの検出結果を調査する

Security Command Center の [検出結果] ページで、AWS 環境と Google Cloud 環境の ID とアクセスの構成ミスの検出結果を調査できます。

CIEM、IAM Recommender、Security Health Analytics など、さまざまな Security Command Center 検出サービスが、クラウド プラットフォームの潜在的な ID とアクセスのセキュリティの問題を検出する CIEM 固有の検出結果カテゴリを生成します。

Security Command Center の CIEM 検出サービスは、AWS 環境の特定の検出結果を生成します。IAM Recommender と Security Health Analytics の検出サービスは、Google Cloud 環境の特定の検出結果を生成します。

特定のサービスによって検出された検出結果のみを表示するには、[ソースの表示名] クイック フィルタ カテゴリからそのサービスを選択します。たとえば、CIEM 検出サービスによって検出された検出結果のみを表示する場合は、[CIEM] を選択します。

次の表に、Security Command Center の CIEM 機能の一部と見なされる検出結果を示します。

Cloud Platform 検出結果のカテゴリ 説明 ソース
AWS Assumed identity has excessive permissionsASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS 非常に許可が緩いポリシーを持つ AWS 環境で検出された IAM ロール。詳細については、CIEM の検出結果をご覧ください。 CIEM
AWS Group has excessive permissionsGROUP_HAS_EXCESSIVE_PERMISSIONS 非常に許可が緩いポリシーを持つ AWS 環境で検出された IAM グループ。詳細については、CIEM の検出結果をご覧ください。 CIEM
AWS User has excessive permissionsUSER_HAS_EXCESSIVE_PERMISSIONS 非常に許可が緩いポリシーを持つ IAM ユーザーが AWS 環境で検出されました。詳細については、CIEM の検出結果をご覧ください。 CIEM
AWS User is inactiveINACTIVE_USER AWS 環境で非アクティブな IAM ユーザーが検出されます。詳細については、CIEM の検出結果をご覧ください。 CIEM
AWS Group is inactiveINACTIVE_GROUP AWS 環境で検出された IAM グループがアクティブではありません。詳細については、CIEM の検出結果をご覧ください。 CIEM
AWS Assumed identity is inactiveINACTIVE_ASSUMED_IDENTITY AWS 環境で検出された仮想 IAM ロールがアクティブではありません。詳細については、CIEM の検出結果をご覧ください。 CIEM
AWS Overly permissive trust policy enforced on assumed identityOVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY 引き受けた IAM ロールに適用される信頼ポリシーは、非常に緩和されています。詳細については、CIEM の検出結果をご覧ください。 CIEM
AWS Assumed identity has lateral movement riskASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK 1 つ以上の ID が、ロールの権限借用によって AWS 環境内で横方向に移動できます。詳細については、CIEM の検出結果をご覧ください。 CIEM
Google Cloud MFA not enforcedMFA_NOT_ENFORCED 2 段階認証プロセスを使用していないユーザーが存在します。詳細については、多要素認証の検出結果をご覧ください。 Security Health Analytics
Google Cloud Custom role not monitoredCUSTOM_ROLE_NOT_MONITORED ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていません。詳細については、モニタリングでの脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud KMS role separationKMS_ROLE_SEPARATION 職掌分散が適用されていません。また、暗号鍵の暗号化 / 復号暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Primitive roles usedPRIMITIVE_ROLES_USED ユーザーに、オーナーroles/owner)、編集者roles/editor)、閲覧者roles/viewer)のいずれかの基本ロールが付与されています。詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Redis role used on orgREDIS_ROLE_USED_ON_ORG Redis IAM ロールが組織レベルまたはフォルダレベルで割り当てられています。詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Service account role separationSERVICE_ACCOUNT_ROLE_SEPARATION ユーザーにサービス アカウント管理者サービス アカウント ユーザーのロールが割り当てられています。これは「職掌分散」の原則に違反しています。 詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Non org IAM memberNON_ORG_IAM_MEMBER 組織の認証情報を使用していないユーザーがいます。CIS Google Cloud Foundations 1.0 では、この検出機能は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Open group IAM memberOPEN_GROUP_IAM_MEMBER 承認なしで結合できる Google グループ アカウントが、IAM 許可ポリシーのプリンシパルとして使用されます。詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Unused IAM roleUNUSED_IAM_ROLE IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザー アカウントを検出しました。詳細については、IAM Recommender の検出結果をご覧ください。 IAM Recommender
Google Cloud IAM role has excessive permissionsIAM_ROLE_HAS_EXCESSIVE_PERMISSIONS IAM Recommender が、ユーザー アカウントに過剰な権限を付与する IAM ロールを持つサービス アカウントを検出しました。詳細については、IAM Recommender の検出結果をご覧ください。 IAM Recommender
Google Cloud Service agent role replaced with basic roleSERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE IAM Recommender が、サービス エージェントに付与された元のデフォルトの IAM ロールが、IAM 基本ロール(オーナー編集者閲覧者)のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。詳細については、IAM Recommender の検出結果をご覧ください。 IAM Recommender
Google Cloud Service agent granted basic roleSERVICE_AGENT_GRANTED_BASIC_ROLE IAM Recommender が、サービス エージェントに IAM 基本ロール(オーナー編集者閲覧者)のいずれかが付与されていることを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。詳細については、IAM Recommender の検出結果をご覧ください。 IAM Recommender
Google Cloud Admin service accountADMIN_SERVICE_ACCOUNT サービス アカウントに、管理者オーナー、または編集者の権限があります。これらのロールは、ユーザーが作成するサービス アカウントに割り当てないでください。詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Default service account usedDEFAULT_SERVICE_ACCOUNT_USED インスタンスが、デフォルトのサービス アカウントを使用するように構成されています。詳細については、コンピューティング インスタンスの脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Over privileged accountOVER_PRIVILEGED_ACCOUNT サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。詳細については、コンテナの脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Over privileged service account userOVER_PRIVILEGED_SERVICE_ACCOUNT_USER ユーザーが、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを持っています。詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Service account key not rotatedSERVICE_ACCOUNT_KEY_NOT_ROTATED サービス アカウント キーが 90 日以上ローテーションされていません。詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Over privileged scopesOVER_PRIVILEGED_SCOPES ノードのサービス アカウントに、範囲の広いアクセス スコープがあります。詳細については、コンテナの脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud KMS public keyKMS_PUBLIC_KEY Cloud KMS 暗号鍵が一般公開されています。詳細については、KMS の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Public bucket ACLPUBLIC_BUCKET_ACL Cloud Storage バケットが一般公開されています。詳細については、ストレージの脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Public log bucketPUBLIC_LOG_BUCKET ログシンクとして使用されるストレージ バケットが一般公開されています。詳細については、ストレージの脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud User managed service account keyUSER_MANAGED_SERVICE_ACCOUNT_KEY ユーザーがサービス アカウント キーを管理しています。詳細については、IAM の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Too many KMS usersTOO_MANY_KMS_USERS 暗号鍵のユーザーが 3 人を超えています。詳細については、KMS の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud KMS project has ownerKMS_PROJECT_HAS_OWNER ユーザーが、暗号鍵が含まれるプロジェクトに対するオーナー権限を持っています。詳細については、KMS の脆弱性の検出結果をご覧ください。 Security Health Analytics
Google Cloud Owner not monitoredOWNER_NOT_MONITORED ログ指標とアラートが、プロジェクト所有権の割り当て、または変更をモニタリングするように構成されていません。詳細については、Monitoring の脆弱性の検出結果をご覧ください。 Security Health Analytics

Cloud Platform で ID とアクセスの検出結果をフィルタする

[検出結果クエリの結果] ペインで、[クラウド プロバイダ]、[リソースの表示名]、または [リソースの種類] 列の内容を調べることで、特定のクラウド プラットフォームに関連する検出結果を知ることができます。

デフォルトでは、[検出結果のクエリ結果] に、Google Cloud 環境と AWS 環境の両方の ID とアクセスの検出結果が表示されます。デフォルトの検出結果クエリの結果を編集して、特定のクラウド プラットフォームの検出結果のみを表示するには、[クラウド プロバイダ] クイック フィルタ カテゴリから [Amazon Web Services] または [Google Cloud Platform] を選択します。

ID とアクセスの検出結果の詳細を検査する

認証情報とアクセスの検出結果の詳細を確認するには、[検出結果クエリの結果] パネルの [カテゴリ] 列にある検出結果の名前をクリックして、検出結果の詳細ビューを開きます。検出結果の詳細ビューの詳細については、検出結果の詳細を表示するをご覧ください。

詳細ビューの [概要] タブの次のセクションは、ID とアクセスの検出結果の調査に役立ちます。

不適切なアクセス許可

検出結果の詳細ペインの [概要] タブで、[不適切なアクセス許可] 行は、連携 ID やリソースに対するアクセスなど、プリンシパルをすばやく検査する方法を提供します。 この情報は、IAM Recommender が、制限が緩すぎるロール、基本ロール、または未使用のロールを付与された Google Cloud リソースのプリンシパルを検出した場合にのみ、検出結果に表示されます。

[違反しているアクセス権の付与を確認] をクリックして [違反しているアクセス権の付与を確認] ペインを開きます。このペインには次の情報が表示されます。

  • プリンシパルの名前。この列に表示されるプリンシパルは、Google Cloud ユーザー アカウント、グループ、連携 ID、サービス アカウントの組み合わせです。
  • プリンシパルに付与されたロールの名前。
  • 問題のあるアクセスを修正するために実行できる推奨されるアクション。

ケース情報

特定の検出結果に対応するケースまたはチケットがある場合、検出結果の詳細ページの [概要] タブに [ケース情報] セクションが表示されます。重大度が Critical または High の検出結果に対して、ケースとチケットが自動的に作成されます。

[ケース情報] セクションでは、特定の検出結果の修正作業を追跡できます。対応するケースとチケット発行システム(Jira または ServiceNow)のチケットへのリンク、割り当て先、ケースのステータス、ケースの優先度など、対応するケースの詳細が表示されます。

  • 検出結果に対応するケースにアクセスするには、[ケース ID] 行のケース ID 番号をクリックします。

  • 検出結果に対応する Jira または ServiceNow チケットにアクセスするには、[チケット ID] 行のチケット ID 番号をクリックします。

チケット発行システムを Security Command Center Enterprise に接続するには、Security Command Center Enterprise をチケット発行システムと統合するをご覧ください。

対応するケースを確認する方法については、ID とアクセスの検出結果のケースを確認するをご覧ください。

次のステップ

検出結果の詳細ページの [概要] タブの [次のステップ] セクションには、検出された問題をすぐに修正する方法に関する詳細なガイダンスが示されます。これらの推奨事項は、表示されている特定の検出結果に合わせてカスタマイズされます。

次のステップ