このページでは、Google Cloud コンソールで、ID とアクセスに関連するセキュリティ問題の検出結果(ID とアクセスの検出結果)を操作して、潜在的な構成ミスを調査して特定する方法について説明します。
エンタープライズ ティアで提供される Cloud Infrastructure Entitlement Management(CIEM)機能の一部として、Security Command Center は ID とアクセスの検出結果を生成し、Security Command Center の [リスクの概要] ページで簡単にアクセスできるようにします。これらの検出結果は、[ID とアクセスの検出結果] ペインでキュレートされ、分類されます。
始める前に
続行する前に、次の作業が完了していることを確認してください。
検出結果ページで ID とアクセスの検出結果を表示する
Security Command Center の [検出結果] ページの [ID] ビューには、 Google Cloud や Amazon Web Services(AWS)などのクラウド環境全体の ID とアクセスの検出結果が表示されます。
Google Cloud コンソールで、ナビゲーションの [検出結果] を選択します。
[ID] ビューを選択します。
[ID] ビューでは、domains.category フィールドに値 IDENTITY_AND_ACCESS が含まれる検出結果のみを表示するフィルタ条件が追加されます。
特定のクラウド プラットフォームの結果のみを表示するには、[AWS] ボタンと [Google] ボタンを使用します。
[クイック フィルタ] パネルと [クエリエディタ] を使用して、結果をさらにフィルタリングします。特定のサービスで検出された検出結果のみを表示するには、[クイック フィルタ] パネルの [ソースの表示名] カテゴリからそのサービスを選択します。たとえば、CIEM 検出サービスで検出された検出結果のみを表示する場合は、[CIEM] を選択します。他にも以下のような例があります。
- カテゴリ: 詳細を確認する特定の検出結果カテゴリの結果をクエリするフィルタ。
- プロジェクト ID: 特定のプロジェクトに関連する検出結果をクエリするフィルタ。
- リソースタイプ: 特定のリソースタイプに関連する検出結果をクエリするフィルタ。
- 重大度: 特定の重大度の検出結果をクエリするフィルタ。
- ソースの表示名: 構成ミスを検出した特定のサービスによって検出された検出結果をクエリするフィルタ。
[検出結果クエリの結果] パネルは、検出結果の詳細を提供する複数の列で構成されています。その中の、CIEM の目的に関係するものは次のとおりです。
- 重大度: 特定の検出結果の重大度が表示され、修復の優先順位付けに役立ちます。
- リソースの表示名: 検出結果が検出されたリソースが表示されます。
- ソースの表示名: 検出結果を検出したサービスが表示されます。 ID 関連の検出結果を生成するソースには、CIEM、IAM Recommender、Security Health Analytics、Event Threat Detection などがあります。
- クラウド プロバイダ: 検出された検出結果のクラウド環境( Google Cloud、AWS、Microsoft Azure など)が表示されます。
- 不適切なアクセス許可: 不適切なロールが付与されている可能性があるプリンシパルを確認するためのリンクが表示されます。
- ケース ID: 検出結果に関連するケースの ID 番号が表示されます。
検出結果の操作の詳細については、検出結果を確認して管理するをご覧ください。
さまざまなクラウド プラットフォームの ID とアクセスの検出結果を調査する
Security Command Center では、Security Command Center の [検出結果] ページで、AWS、Microsoft Azure、 Google Cloud 環境の ID とアクセスの構成ミスの検出結果を調査できます。
CIEM、IAM Recommender、Security Health Analytics、Event Threat Detection など、さまざまな Security Command Center 検出サービスが、クラウド プラットフォームの潜在的な ID とアクセスのセキュリティの問題を検出する CIEM 固有の検出結果カテゴリを生成します。
Security Command Center の CIEM 検出サービスは、AWS 環境と Microsoft Azure 環境に固有の検出結果を生成し、IAM Recommender、Security Health Analytics、Event Threat Detection 検出サービスは、 Google Cloud環境に固有の検出結果を生成します。
特定のサービスで検出された検出結果のみを表示するには、[ソースの表示名] クイック フィルタ カテゴリからそのサービスを選択します。たとえば、CIEM 検出サービスで検出された検出結果のみを表示する場合は、[CIEM] を選択します。
次の表に、Security Command Center の CIEM 機能の一部とみなされるすべての検出結果を示します。
| Cloud Platform | 検出結果のカテゴリ | 説明 | ソース |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | AWS 環境で検出された、権限が非常に緩いポリシーを持つ想定された IAM ロール。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | AWS 環境で検出された、権限が非常に緩いポリシーを持つ AWS IAM グループまたは AWS IAM Identity Center グループ。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | AWS 環境で検出されされた、権限が非常に緩いポリシーを持つ AWS IAM ユーザーまたは AWS IAM Identity Center ユーザー。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | AWS 環境で、非アクティブな AWS IAM ユーザーまたは AWS IAM Identity Center ユーザーが検出されました。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | AWS 環境で検出された AWS IAM グループまたは AWS IAM Identity Center グループがアクティブではありません。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | AWS 環境で検出された想定される IAM ロールが無効です。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | 想定される IAM ロールに適用される信頼ポリシーは、非常に緩和されています。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | 1 つ以上の ID が、ロールの権限借用によって AWS 環境内で横方向に移動できます。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
Azure 環境で検出された、権限の強いロールが割り当てられたサービス プリンシパルまたはマネージド ID。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
Azure 環境で検出された、権限の強いロールが割り当てられたグループ。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
Azure 環境で検出された、権限の緩いロールが割り当てられたユーザー。詳細については、CIEM の検出結果をご覧ください。 | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | 2 段階認証プロセスを使用していないユーザーが存在します。詳細については、多要素認証の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていません。詳細については、脆弱性の検出結果のモニタリングをご覧ください。 | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | 職掌分散が適用されていません。また、暗号鍵の暗号化 / 復号、暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | ユーザーに、オーナー(roles/owner)、編集者(roles/editor)、閲覧者(roles/viewer)のいずれかの基本ロールが付与されています。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Redis IAM ロールが組織レベルまたはフォルダレベルで割り当てられています。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | ユーザーにサービス アカウント管理者とサービス アカウント ユーザーのロールが割り当てられています。これは「職掌分散」の原則に違反しています。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | 組織の認証情報を使用していないユーザーがいます。CIS Google Cloud Foundations 1.0 では、この検出機能は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | 承認なしで結合できる Google グループ アカウントが、IAM 許可ポリシーのプリンシパルとして使用されます。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザー アカウントを検出しました。詳細については、IAM Recommender の検出結果をご覧ください。 | IAM Recommender |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM Recommender が、ユーザー アカウントに過剰な権限を付与する IAM ロールを持つサービス アカウントを検出しました。詳細については、IAM Recommender の検出結果をご覧ください。 | IAM Recommender |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
IAM Recommender が、サービス エージェントに付与された元のデフォルトの IAM ロールが、IAM 基本ロール(オーナー、編集者、閲覧者)のいずれかに置き換えられたことを検出しました。基本ロールは過剰な権限を保有する以前のロールであり、サービス エージェントに付与することは回避してください。詳細については、IAM Recommender の検出結果をご覧ください。 | IAM Recommender |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | IAM Recommender が、サービス エージェントに IAM 基本ロール(オーナー、編集者、閲覧者)のいずれかが付与されていることを検出しました。基本ロールは過剰な権限を保有する以前のロールであり、サービス エージェントに付与することは回避してください。詳細については、IAM Recommender の検出結果をご覧ください。 | IAM Recommender |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | サービス アカウントに、管理者、オーナー、または編集者の権限があります。これらのロールは、ユーザーが作成するサービス アカウントに割り当てないでください。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | インスタンスが、デフォルトのサービス アカウントを使用するように構成されています。詳細については、コンピューティング インスタンスの脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。詳細については、コンテナの脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Over privileged service account
user(OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | ユーザーが、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを持っています。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | サービス アカウント キーが 90 日以上ローテーションされていません。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | ノードのサービス アカウントに、範囲の広いアクセス スコープがあります。詳細については、コンテナの脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Cloud KMS 暗号鍵が一般公開されています。詳細については、KMS の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Cloud Storage バケットが一般公開されています。詳細については、ストレージの脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | ログシンクとして使用されるストレージ バケットが一般公開されています。詳細については、ストレージの脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | ユーザーがサービス アカウント キーを管理しています。詳細については、IAM の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | 暗号鍵のユーザーが 3 人を超えています。詳細については、KMS の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | ユーザーが、暗号鍵が含まれるプロジェクトに対するオーナー権限を持っています。詳細については、KMS の脆弱性の検出結果をご覧ください。 | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | ログ指標とアラートが、プロジェクト所有権の割り当て、または変更をモニタリングするように構成されていません。詳細については、モニタリングの脆弱性の検出結果をご覧ください。 | Security Health Analytics |
Cloud Platform で ID とアクセスの検出結果をフィルタする
[検出結果クエリの結果] ペインで、[クラウド プロバイダ]、[リソースの表示名]、または [リソースの種類] 列の内容を調べることで、特定のクラウド プラットフォームに関連する検出結果を知ることができます。
[検出結果クエリの結果] には、デフォルトでGoogle Cloud、AWS、Microsoft Azure 環境の ID とアクセスの検出結果が表示されます。デフォルトの検出結果クエリの結果を編集して、特定のクラウド プラットフォームの検出結果のみを表示するには、[クラウド プロバイダ] クイック フィルタ カテゴリから [Amazon Web Services] または [Google Cloud Platform] を選択します。
ID とアクセスの検出結果の詳細を検査する
ID とアクセスの検出結果の詳細を確認するには、[検出結果] パネルの [カテゴリ] 列にある検出結果の名前をクリックして、検出結果の詳細ビューを開きます。検出結果の詳細ビューの詳細については、検出結果の詳細を表示するをご覧ください。
詳細ビューの [概要] タブの次のセクションは、ID とアクセスの検出結果を調査する際に役立ちます。
不適切なアクセス許可
検出結果の詳細ペインの [概要] タブには、[不適切なアクセス許可] 行は、連携 ID やリソースに対するアクセスなど、プリンシパルをすばやく検査する方法があります。この情報は、IAM Recommender が、制限が緩すぎるロール、基本ロール、または未使用のロールを付与された Google Cloud リソースのプリンシパルを検出した場合にのみ、検出結果に表示されます。
[不適切なアクセス許可] をクリックして [不適切なアクセス許可を確認] ペインを開きます。このペインには、次の情報が表示されます。
- プリンシパルの名前。この列に表示されるプリンシパルは、 Google Cloud ユーザー アカウント、グループ、連携 ID、サービス アカウントの組み合わせです。
- プリンシパルに付与されたロールの名前。
- 不適切なアクセスを修正するために実行できる推奨されるアクション。
ケース情報
検出結果の詳細ページの [概要] タブの [ケース情報] セクションは、特定の検出結果に対応するケースまたはチケットがある場合に表示されます。
[ケース情報] セクションでは、特定の検出結果の修復作業を追跡できます。対応するケースとチケット発行システム(Jira または ServiceNow)のチケットへのリンク、割り当て先、ケースのステータス、ケースの優先度など、対応するケースの詳細が表示されます。
検出結果に対応するケースにアクセスするには、[ケース ID] 行のケース ID 番号をクリックします。
検出結果に対応する Jira チケットまたは ServiceNow チケットにアクセスするには、[チケット ID] 行のチケット ID 番号をクリックします。
チケット発行システムを Security Command Center Enterprise に接続するには、Security Command Center Enterprise をチケット発行システムと統合するをご覧ください。
対応するケースの確認について詳しくは、ID とアクセスの検出結果のケースを確認するをご覧ください。
次のステップ
検出結果の詳細ページの [概要] タブの [次のステップ] セクションには、検出された問題を直ちに修正する方法の手順が表示されています。これらの推奨事項は、表示している特定の検出結果に合わせて調整されています。
次のステップ
- 検出結果を確認して管理する方法を確認する。
- ID とアクセスの検出結果のケースを確認する方法を学習する。
- AWS と Microsoft Azure の検出結果を生成する CIEM 検出機能について学習する。