Security Health Analytics と Web Security Scanner 検出器によって、Security Command Center で利用可能な脆弱性の検出結果が生成されます。 VM Manager などの統合サービスでも、Security Command Center で有効にすると脆弱性の検出結果が生成されます。
検出結果を表示および編集できるかどうかは、割り当てられている Identity and Access Management(IAM)のロールと権限によって決まります。Security Command Center での IAM ロールの詳細については、アクセス制御をご覧ください。
検出機能とコンプライアンス
Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。
サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。
CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。
Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。
セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。
コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。
サポートされているセキュリティ標準
Google Cloud
Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。
- Center for Information Security(CIS)Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix(CCM)4
- HIPAA(医療保険の相互運用性と説明責任に関する法律)
- 国際標準化機構(ISO)27001、2022、2013
- 米国国立標準技術研究所(NIST)800-53 R5 および R4
- NIST CSF 1.0
- Open Web Application Security Project(OWASP)トップ 10(2021 および 2017)
- Payment Card Industry データ セキュリティ基準(PCI DSS)4.0 および 3.2.1
- System and Organization Controls(SOC)2 2017 年 Trusted Services Criteria(TSC)
AWS
Security Command Center は、Amazon Web Services(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。
コンプライアンス レポートを表示およびエクスポートする手順については、Google Cloud コンソールでの Security Command Center の使用のコンプライアンスのセクションをご覧ください。
修復後の検出結果の無効化
脆弱性または構成ミスの検出結果を修正した後、検出結果を検出した Security Command Center サービスは、次に検出サービスが検出結果をスキャンするときに、検出結果の状態を自動的に INACTIVE
に設定します。Security Command Center で修正された検出結果を INACTIVE
に設定するのに要する時間は、検出結果を検出するスキャンのスケジュールによって異なります。
検出結果に関連するリソースが削除されたことをスキャンで検出した場合も、Security Command Center サービスは脆弱性または構成ミスの検出結果の状態を INACTIVE
に設定します。
スキャン間隔の詳細については、次のトピックをご覧ください。
Security Health Analytics の検出結果
Security Health Analytics の検出機能は、Cloud Asset Inventory(CAI)のリソースのサブセットをモニタリングし、リソースと Identity and Access Management(IAM)ポリシーの変更について通知を受信します。一部の検出機能では、このページの後の部分の表に示すように、Google Cloud APIs を直接呼び出してデータを取得します。
Security Health Analytics、スキャン スケジュール、組み込みとカスタムの両方のモジュール検出器の Security Health Analytics サポートの詳細については、Security Health Analytics の概要をご覧ください。
次の表に、Security Health Analytics の検出機能、サポートするアセットとコンプライアンスの基準、スキャンに使用する設定、生成する検出結果のタイプを示します。Google Cloud コンソールの Security Command Center の [脆弱性] ページでは、さまざまな属性で検出結果をフィルタリングできます。
問題を修正し、リソースを保護する手順については、Security Health Analytics の検出結果の修正をご覧ください。
API キーの脆弱性の検出
API_KEY_SCANNER
検出項目は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
API key APIs unrestricted
API のカテゴリ名: |
検出結果の説明: 過度に広範囲にわたって使用されている API キーが存在します。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクト内のすべての API キーの
|
API key apps unrestricted
API のカテゴリ名: |
検出結果の説明: 無制限に使用できる API キー(信頼できないアプリによる使用が制限されていない API キー)が存在します。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクト内のすべての API キーの
|
API key exists
API のカテゴリ名: |
検出結果の説明: プロジェクトで標準認証ではなく API キーが使用されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトが所有するすべての API キーを取得します。
|
API key not rotated
API のカテゴリ名: |
検出結果の説明: API キーが 90 日以上ローテーションされていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
すべての API キーの
|
Cloud Asset Inventory の脆弱性の検出結果
この検出機能タイプの脆弱性はすべて Cloud Asset Inventory の構成に関連し、CLOUD_ASSET_SCANNER
タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Cloud Asset API disabled
API のカテゴリ名: |
検出結果の説明: Cloud Asset Inventory による Google Cloud リソースと IAM ポリシーのキャプチャにより、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります。 すべてのプロジェクトで Cloud Asset Inventory サービスを有効にすることをおすすめします。 この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
Cloud Asset Inventory サービスが有効になっているかどうかを確認します。
|
Compute イメージの脆弱性の検出
COMPUTE_IMAGE_SCANNER
検出項目は、Google Cloud イメージ構成に関連する脆弱性を特定します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Public Compute image
API のカテゴリ名: |
検出結果の説明: Compute Engine イメージは一般公開されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
Compute インスタンスの脆弱性の検出
COMPUTE_INSTANCE_SCANNER
検出項目は、Compute Engine インスタンスの構成に関連する脆弱性を識別します。
COMPUTE_INSTANCE_SCANNER
検出項目は、GKE によって作成された Compute Engine インスタンスに関する検出結果を報告しません。このようなインスタンスの名前は「gke-」で始まり、ユーザーは編集できません。このインスタンスを保護するには、「コンテナの脆弱性の検出結果」をご覧ください。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Confidential Computing disabled
API のカテゴリ名: |
検出結果の説明: Compute Engine インスタンスで Confidential Computing が無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
Compute project wide SSH keys allowed
API のカテゴリ名: |
検出結果の説明: プロジェクト全体を対象とする SSH 認証鍵が使用されており、プロジェクト内のすべてのインスタンスへのログインが許可されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
Compute Secure Boot disabled
API のカテゴリ名: |
検出結果の説明: この Shielded VM でセキュアブートが有効になっていません。セキュアブートの使用は、ルートキットやブートキットなどの高度な脅威に対して仮想マシン インスタンスを保護するうえで有効です。 料金階層: プレミアム サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
Compute Engine インスタンスの
|
Compute serial ports enabled
API のカテゴリ名: |
検出結果の説明: インスタンスでシリアルポートが有効になっているため、インスタンスのシリアル コンソールへの接続が許可されます。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
Default service account used
API のカテゴリ名: |
検出結果の説明: デフォルトのサービス アカウントを使用するようにインスタンスが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
Disk CMEK disabled
API のカテゴリ名: |
検出結果の説明: この VM のディスクは顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
ディスク メタデータ内の
|
Disk CSEK disabled
API のカテゴリ名: |
検出結果の説明: この VM のディスクは顧客指定の暗号鍵(CSEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、特殊なケースの検出項目をご覧ください。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Full API access
API のカテゴリ名: |
検出結果の説明: すべての Google Cloud APIs に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するようにインスタンスが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
HTTP load balancer
API のカテゴリ名: |
検出結果の説明: インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Instance OS Login disabled
API のカテゴリ名: |
検出結果の説明: このインスタンスで OS Login が無効になっています。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット
コンプライアンス標準:
|
インスタンスの
|
IP forwarding enabled
API のカテゴリ名: |
検出結果の説明: インスタンスで IP 転送が有効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンスの
|
OS login disabled
API のカテゴリ名: |
検出結果の説明: このインスタンスで OS Login が無効になっています。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクト メタデータの
|
Public IP address
API のカテゴリ名: |
検出結果の説明: インスタンスにパブリック IP アドレスが割り振られています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
|
Shielded VM disabled
API のカテゴリ名: |
検出結果の説明: このインスタンスで Shielded VM が無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
Compute Engine インスタンスの
|
Weak SSL policy
API のカテゴリ名: |
検出結果の説明: インスタンスに脆弱な SSL ポリシーが設定されています。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
アセット メタデータ内の
|
コンテナの脆弱性の検出
これらの検出タイプはすべて GKE コンテナ構成に関連し、CONTAINER_SCANNER
検出項目タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Alpha cluster enabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタでアルファ版のクラスタ機能が有効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Auto repair disabled
API のカテゴリ名: |
検出結果の説明: ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Auto upgrade disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Binary authorization disabled
API のカテゴリ名: |
検出結果の説明: Binary Authorization が GKE クラスタで無効になっているか、Binary Authorization ポリシーがすべてのイメージのデプロイを許可するように構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
以下を確認してください。
|
Cluster logging disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタに対して Logging が有効になっていません。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Cluster monitoring disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで Monitoring が無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Cluster private Google access disabled
API のカテゴリ名: |
検出結果の説明: クラスタのホストは、Google API にアクセスする際にプライベート内部 IP アドレスのみを使用するように構成されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
サブネットワークの
|
Cluster secrets encryption disabled
API のカテゴリ名: |
検出結果の説明: アプリケーション レイヤでのシークレットの暗号化が GKE クラスタで無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Cluster shielded nodes disabled
API のカテゴリ名: |
検出結果の説明: シールドされた GKE ノードがクラスタで有効になっていません。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
COS not used
API のカテゴリ名: |
検出結果の説明: Compute Engine VM は、Google Cloud で Docker コンテナを安全に実行するための Container-Optimized OS を使用していません。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Integrity monitoring disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタの整合性モニタリングが無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Intranode visibility disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで、ノード内の可視化が無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
IP alias disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタが、エイリアス IP 範囲を無効にして作成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタ内の
|
Legacy authorization enabled
API のカテゴリ名: |
検出結果の説明: 以前の承認が GKE クラスタで有効になっています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Legacy metadata enabled
API のカテゴリ名: |
検出結果の説明: 従来のメタデータが GKE クラスタで有効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Master authorized networks disabled
API のカテゴリ名: |
検出結果の説明: コントロール プレーンの承認済みネットワークが GKE クラスタで有効になっていません。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Network policy disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタでネットワーク ポリシーが無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Nodepool boot CMEK disabled
API のカテゴリ名: |
検出結果の説明: このノードプール内のブートディスクは、顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
CMEK のリソース名についてノードプールの
|
Nodepool secure boot disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタでセキュアブートが無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Over privileged account
API のカテゴリ名: |
検出結果の説明: サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Over privileged scopes
API のカテゴリ名: |
検出結果の説明: ノードのサービス アカウントに、広範なアクセス スコープが設定されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの config.oauthScopes プロパティに表示されているアクセス スコープが、制限付きのサービス アカウント アクセス スコープ https://www.googleapis.com/auth/devstorage.read_only 、https://www.googleapis.com/auth/logging.write 、または https://www.googleapis.com/auth/monitoring であるかどうかを確認します。
|
Pod security policy disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで PodSecurityPolicy が無効になっています。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Private cluster disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで無効になっている限定公開クラスタが存在します。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Release channel disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタはリリース チャンネルに登録されていません。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Web UI enabled
API のカテゴリ名: |
検出結果の説明: GKE ウェブ UI(ダッシュボード)が有効になっています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
|
Workload Identity disabled
API のカテゴリ名: |
検出結果の説明: Workload Identity が GKE クラスタで無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Dataproc の脆弱性の検出
この検出機能の脆弱性はすべて Dataproc に関連しており、DATAPROC_SCANNER
検出機能タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Dataproc CMEK disabled
API のカテゴリ名: |
検出結果の説明: Dataproc クラスタが暗号化構成 CMEK なしで作成されました。CMEK を使用すると、Cloud Key Management Service で作成、管理する鍵は、Google Cloud がデータの暗号化に使用する鍵をラップするため、データへのアクセスをより細かく制御できます。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Dataproc image outdated
API のカテゴリ名: |
検出の説明: Dataproc クラスタは、Apache Log4j 2 ユーティリティのセキュリティ脆弱性(CVE-2021-44228 および CVE-2021-45046)の影響を受ける Dataproc イメージ バージョンで作成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
|
データセットの脆弱性の検出
この検出機能タイプの脆弱性はすべて BigQuery データセットの構成に関連し、DATASET_SCANNER
検出機能タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
BigQuery table CMEK disabled
API のカテゴリ名: |
検出結果の説明: BigQuery テーブルが、顧客管理の暗号鍵(CMEK)を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Dataset CMEK disabled
API のカテゴリ名: |
検出結果の説明: BigQuery データセットが、デフォルトの CMEK を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Public dataset
API のカテゴリ名: |
検出結果の説明: データセットが公開アクセスを許可するように構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
DNS の脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud DNS 構成に関連し、DNS_SCANNER
検出機能タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
DNSSEC disabled
API のカテゴリ名: |
検出結果の説明: Cloud DNS ゾーンで DNSSEC が無効になっています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
RSASHA1 for signing
API のカテゴリ名: |
検出結果の説明: RSASHA1 が Cloud DNS ゾーンの鍵署名に使用されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
ファイアウォールの脆弱性の検出
この検出機能タイプの脆弱性はすべてファイアウォール構成に関連し、FIREWALL_SCANNER
検出機能タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Egress deny rule not set
API のカテゴリ名: |
検出結果の説明: ファイアウォールに下り(外向き)拒否ルールが設定されていません。不要なアウトバウンド トラフィックをブロックするには、下り(外向き)拒否ルールを設定する必要があります。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォールの
|
Firewall rule logging disabled
API のカテゴリ名: |
検出結果の説明: ファイアウォール ルールのロギングが無効になっています。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open Cassandra port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン Cassandra ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open ciscosecure websm port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン CISCOSECURE_WEBSM ポートが構成されています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open directory services port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DIRECTORY_SERVICES ポートが構成されています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open DNS port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DNS ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open elasticsearch port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ELASTICSEARCH ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open firewall
API のカテゴリ名: |
検出結果の説明: ファイアウォールが公開のアクセスを許可するように構成されています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
|
Open FTP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン FTP ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open HTTP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン HTTP ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open LDAP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン LDAP ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open Memcached port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MEMCACHED ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open MongoDB port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MONGODB ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open MySQL port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MYSQL ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open NetBIOS port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン NETBIOS ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open OracleDB port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ORACLEDB ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open pop3 port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン POP3 ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open PostgreSQL port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン PostgreSQL ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open RDP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン RDP ポートが構成されています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open Redis port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン REDIS ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open SMTP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SMTP ポートが構成されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open SSH port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SSH ポートが構成されています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open Telnet port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン TELNET ポートが構成されています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
IAM の脆弱性の検出
この検出機能タイプの脆弱性はすべて Identity and Access Management(IAM)の構成に関連し、IAM_SCANNER
検出機能タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Access Transparency disabled
API のカテゴリ名: |
検出結果の説明: 組織で Google Cloud アクセスの透明性が無効になっています。アクセスの透明性では、Google Cloud の従業員が組織内のプロジェクトにアクセスしてサポートを提供した時間が記録されます。アクセスの透明性を有効にして、Google Cloud の情報にアクセスしたユーザーと日時をログに記録します。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
組織でアクセスの透明性が有効になっているかどうかを確認します。
|
Admin service account
API のカテゴリ名: |
検出結果の説明: サービス アカウントに、管理者、オーナー、または編集者の権限が付与されています。これらのロールについては、ユーザーが作成するサービス アカウントに割り当てることを回避する必要があります。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、ユーザーが作成した任意のサービス アカウント(接頭辞 iam.gserviceaccount.com)が付いています)に
|
Essential Contacts Not Configured
API のカテゴリ名: |
検出結果の説明: 組織は、Google Cloud 組織内の攻撃、脆弱性、データ インシデントなどの重要なイベントに関する通知を Google Cloud から受け取る人物またはグループを指定していません。ビジネス組織内の 1 人以上の個人またはグループを重要な連絡先として指定することをおすすめします。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
以下のエッセンシャル コンタクトのカテゴリで連絡先が指定されていることを確認します。
|
KMS role separation
API のカテゴリ名: |
検出結果の説明: 職掌分散が適用されていません。暗号鍵の暗号化 / 復号、暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーを確認し、roles/cloudkms.cryptoKeyEncrypterDecrypter 、roles/cloudkms.cryptoKeyEncrypter 、roles/cloudkms.cryptoKeyDecrypter 、roles/cloudkms.signer 、roles/cloudkms.signerVerifier 、roles/cloudkms.publicKeyViewer のいずれかのロールが同時に割り当てられているプリンシパルを取得します。
|
Non org IAM member
API のカテゴリ名: |
検出結果の説明: 組織の認証情報を使用していないユーザーが存在します。CIS GCP Foundations 1.0 では、現在、この検出項目は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
IAM の許可ポリシー メタデータの
|
Open group IAM member
API のカテゴリ名: |
知見の説明: 承認なしで結合できる Google グループ アカウントは、IAM 許可ポリシーのプリンシパルとして使用されます。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
リソース メタデータの IAM ポリシーで、接頭辞 group が付いているメンバー(プリンシパル)を含むバインディングを確認します。グループがオープン グループの場合、Security Health Analytics はこの検出結果を生成します。
|
Over privileged service account user
API のカテゴリ名: |
検出結果の説明: ユーザーに、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを付与されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、プロジェクト レベルの roles/iam.serviceAccountUser または roles/iam.serviceAccountTokenCreator が割り当てられているプリンシパルを確認します。
|
Primitive roles used
API のカテゴリ名: |
検出結果の説明: ユーザーに次のいずれかの基本ロールが付与されています。
これらのロールには過剰な権限が付与されるため、使用を回避する必要があります。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、
|
Redis role used on org
API のカテゴリ名: |
検出結果の説明: Redis IAM ロールが、組織レベルまたはフォルダレベルで割り当てられます。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアム
サポートされているアセット
コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、組織またはフォルダレベルで
|
Service account role separation
API のカテゴリ名: |
検出結果の説明: ユーザーにサービス アカウント管理者とサービス アカウント ユーザーのロールが割り当てられています。これは「職掌分散」の原則に違反しています。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、roles/iam.serviceAccountUser と roles/iam.serviceAccountAdmin の両方が割り当てられているプリンシパルを確認します。
|
Service account key not rotated
API のカテゴリ名: |
検出結果の説明: サービス アカウント キーは 90 日以上ローテーションされていません。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
サービス アカウントのキーメタデータの
|
User managed service account key
API のカテゴリ名: |
検出結果の説明: ユーザーがサービス アカウント キーを管理しています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
サービス アカウント キー メタデータの
|
KMS の脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud KMS 構成に関連し、KMS_SCANNER
検出機能タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
KMS key not rotated
API のカテゴリ名: |
検出結果の説明: Cloud KMS 暗号鍵にローテーションが構成されていません。暗号鍵は 90 日以内にローテーションする必要があります。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータで
|
KMS project has owner
API のカテゴリ名: |
検出結果の説明: 暗号鍵が含まれるプロジェクトに対するオーナー権限がユーザーに付与されています。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクト メタデータの IAM 許可ポリシーで、
|
KMS public key
API のカテゴリ名: |
検出結果の説明: Cloud KMS 暗号鍵は一般公開されています。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
Too many KMS users
API のカテゴリ名: |
検出結果の説明: 暗号鍵のユーザーが 3 人を超えています。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
IAM 許可ポリシーでキーリング、プロジェクト、組織を確認し、Cloud KMS 鍵を使用してデータの暗号化、復号、または署名ができるロール(roles/owner 、roles/cloudkms.cryptoKeyEncrypterDecrypter 、roles/cloudkms.cryptoKeyEncrypter 、roles/cloudkms.cryptoKeyDecrypter 、roles/cloudkms.signer 、roles/cloudkms.signerVerifier )を持つプリンシパルを取得します。
|
ロギングの脆弱性の検出
この検出機能タイプの脆弱性はすべてロギング構成に関連し、LOGGING_SCANNER
検出機能タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Audit logging disabled
API のカテゴリ名: |
検出結果の説明: このリソースの監査ロギングが無効になっています。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、
|
Bucket logging disabled
API のカテゴリ名: |
検出結果の説明: ロギングが有効になっていないストレージ バケットがあります。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
バケットの
|
Locked retention policy not set
API のカテゴリ名: |
検出結果の説明: ロックされた保持ポリシーがログに設定されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
バケットの
|
Log not exported
API のカテゴリ名: |
検出結果の説明: 適切なログシンクが構成されていないリソースがあります。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット
コンプライアンス標準:
|
プロジェクトの
|
Object versioning disabled
API のカテゴリ名: |
検出結果の説明: シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
バケットの
|
モニタリングの脆弱性の検出
この検出項目タイプの脆弱性は、すべてモニタリング構成に関連し、MONITORING_SCANNER
タイプに属します。Monitoring の検出機能による検出結果のプロパティにはすべて、以下のコードが含まれます。
-
ログ指標の作成に使用する
RecommendedLogFilter
。 -
推奨されるログフィルタに記載されている条件に対応する
QualifiedLogMetricNames
。 -
プロジェクトで適格なログ指標のいずれかに対してアラート ポリシーが作成されていないかどうか、または既存のアラート ポリシーに推奨設定が存在しないかどうかを表す
AlertPolicyFailureReasons
。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Audit config not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* に設定されているかを確認します。resource.type が指定されている場合は値が global かどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
|
Bucket IAM not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
|
Custom role not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
|
Firewall not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、Virtual Private Cloud(VPC)ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
|
Network not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
|
Owner not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、プロジェクト所有権の割り当てまたは変更をモニタリングするように構成されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
|
Route not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
|
SQL instance not monitored
|
検出結果の説明: ログ指標とアラートが、Cloud SQL インスタンスの構成変更をモニタリングするように構成されていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
|
多要素認証の検出
MFA_SCANNER
検出機能は、ユーザーの多要素認証に関連する脆弱性を識別します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
MFA not enforced
API のカテゴリ名: |
2 段階認証プロセスを使用していないユーザーが存在します。 Google Workspace では、新規ユーザーのために 2 段階認証プロセスで登録する必要がある猶予期間を指定できます。 この検出機能は、登録猶予期間中にユーザーの検出結果を作成します。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
組織の ID 管理ポリシーと、Cloud Identity の管理対象アカウントのユーザー設定を評価します。
|
ネットワークの脆弱性の検出
この検出機能タイプの脆弱性はすべて組織のネットワーク構成に関連し、NETWORK_SCANNER
タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Default network
API のカテゴリ名: |
検出結果の説明: プロジェクトにデフォルト ネットワークが存在します。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ネットワーク メタデータの
|
DNS logging disabled
API のカテゴリ名: |
検出結果の説明: VPC ネットワーク上の DNS ロギングが有効になっていません。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Legacy network
API のカテゴリ名: |
検出結果の説明: プロジェクトにレガシー ネットワークが存在します。 Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ネットワーク メタデータで、
|
Load balancer logging disabled
API のカテゴリ名: |
検出結果についての説明: ロードバランサに対して Logging が無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ロードバランサのバックエンド サービスの
|
組織のポリシーの脆弱性の検出
この検出機能タイプの脆弱性はすべて組織のポリシーの制約の構成に関連し、ORG_POLICY
タイプに属します。
Pub/Sub の脆弱性の検出
この検出機能タイプの脆弱性はすべて Pub/Sub 構成に関連し、PUBSUB_SCANNER
タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Pubsub CMEK disabled
API のカテゴリ名: |
検出結果の説明: Pub/Sub トピックが顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
|
SQL の脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud SQL の構成に関連し、SQL_SCANNER
タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
AlloyDB auto backup disabled
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL クラスタで自動バックアップが有効になっていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
AlloyDB for PostgreSQL クラスタのメタデータ内の
|
AlloyDB backups disabled
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL クラスタで自動バックアップが有効になっていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
AlloyDB for PostgreSQL クラスタのメタデータ内の
|
AlloyDB CMEK disabled
API のカテゴリ名: |
検出結果の説明: AlloyDB クラスタは、顧客管理の暗号鍵(CMEK)で暗号化されていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタ メタデータの
|
AlloyDB log min error statement severity
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ログ内のメッセージ タイプが網羅されるように、
|
AlloyDB log min messages
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ログ内のメッセージ タイプが網羅されるように、
|
AlloyDB log error verbosity
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ログ内のメッセージ タイプが網羅されるように、
|
AlloyDB public IP
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL データベース インスタンスにパブリック IP アドレスが割り振られています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
AlloyDB SSL not enforced
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていない。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
AlloyDB for PostgreSQL インスタンスの
|
Auto backup disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベースで自動バックアップが有効になっていません。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
Cloud SQL データの
|
Public SQL instance
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベース インスタンスは、すべての IP アドレスからの接続を受け入れます。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
Cloud SQL インスタンスの
|
SSL not enforced
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていません。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
Cloud SQL インスタンスの
|
SQL CMEK disabled
API のカテゴリ名: |
検出結果の説明: SQL データベース インスタンスが、顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
インスタンス メタデータの
|
SQL contained database authentication
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL cross DB ownership chaining
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL external scripts enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL local infile
API のカテゴリ名: |
検出結果の説明: Cloud SQL for MySQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log checkpoints disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log connections disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log disconnections disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log duration disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log error verbosity
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log lock waits disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log min duration statement enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log min error statement
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log min error statement severity
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log min messages
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ログ内のメッセージ タイプが網羅されるように、
|
SQL log executor stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log hostname enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log parser stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log planner stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log statement
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log statement stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log temp files
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL no root password
API のカテゴリ名: |
検出結果の説明: パブリック IP アドレスを持つ Cloud SQL データベースで、ルート アカウントのパスワードが構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ルート アカウントの
|
SQL public IP
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベースにパブリック IP アドレスが割り振られています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
Cloud SQL データベースの IP アドレスタイプがパブリックであることを示す
|
SQL remote access enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL skip show database disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for MySQL インスタンスの 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL trace flag 3625
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL user connections configured
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL user options configured
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL weak root password
API のカテゴリ名: |
検出結果の説明: パブリック IP アドレスを持つ Cloud SQL データベースで、ルート アカウントに脆弱なパスワードが構成されています。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
Cloud SQL データベースのルート アカウントのパスワードを共通のパスワード リストと比較します。
|
ストレージの脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud Storage バケットの構成に関連し、STORAGE_SCANNER
タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Bucket CMEK disabled
API のカテゴリ名: |
検出結果の説明: バケットは顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出器を有効または無効にするをご覧ください。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
バケットのメタデータに含まれる
|
Bucket policy only disabled
API のカテゴリ名: |
検出結果の説明: 均一なバケットレベルのアクセス(旧称「バケット ポリシーのみ」)は構成されていません。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
バケットの
|
Public bucket ACL
API のカテゴリ名: |
検出結果の説明: Cloud Storage バケットが一般公開されています。 料金階層: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
バケットの IAM 許可ポリシーで、
|
Public log bucket
API のカテゴリ名: |
検出結果の説明: ログシンクとして使用されるストレージ バケットが一般公開されています。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
バケットの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
サブネットワークの脆弱性の検出
この検出機能タイプの脆弱性はすべて、組織のサブネットワークの構成に関連し、SUBNETWORK_SCANNER
タイプに属します。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
Flow logs disabled
API のカテゴリ名: |
検出結果の説明: フローログが無効になっている VPC サブネットワークがあります。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
Compute Engine サブネットワークの
|
Flow logs settings not recommended
API のカテゴリ名: |
検出結果の説明: VPC サブネットワークで、VPC フローログがオフになっているか、CIS ベンチマーク 1.3 の推奨事項に従って構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
VPC サブネットワークの
|
Private Google access disabled
API のカテゴリ名: |
検出結果の説明: Google Public API にアクセスできないプライベート サブネットワークがあります。 料金階層: プレミアム
サポートされているアセット コンプライアンス標準:
|
Compute Engine サブネットワークの
|
AWS の検出結果
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
API のカテゴリ名: |
検出結果の説明: AWS CloudShell は、AWS サービスに対して CLI コマンドを実行するための便利な方法です。マネージド IAM ポリシー(「AWSCloudShellFullAccess」)は、CloudShell への完全アクセス権を提供し、ユーザーのローカル システムと CloudShell 環境の間でファイルのアップロードとダウンロードを可能にします。CloudShell 環境内ではユーザーに sudo 権限が付与され、インターネットにアクセスできます。そのため、たとえばファイル転送ソフトウェアをインストールして、CloudShell から外部インターネット サーバーにデータを移動できます。 料金ティア: Enterprise コンプライアンス標準:
|
AWSCloudShellFullAccess へのアクセスが制限されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: アクセスキーは、アクセスキー ID とシークレット アクセスキーで構成されます。これらは、AWS に対するプログラムによるリクエストに署名するために使用されます。AWS ユーザーは、AWS コマンドライン インターフェース(AWS CLI)、Tools for Windows PowerShell、AWS SDK から AWS へのプログラムでの呼び出し、または個々の AWS サービスの API を使用して直接 HTTP 呼び出しを実行するために、独自のアクセスキーが必要です。すべてのアクセスキーを定期的にローテーションすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
アクセスキーが 90 日以内のサイクルでローテーションされていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS でウェブサイトまたはアプリケーションへの HTTPS 接続を有効にするには、SSL / TLS サーバー証明書が必要です。ACM または IAM を使用して、サーバー証明書の格納とデプロイを行うことができます。 料金ティア: Enterprise コンプライアンス標準:
|
AWS IAM に保存されていた期限切れの SSL / TLS 証明書がすべて削除されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: これにより、ロードバランサに関連付けられた自動スケーリング グループが Elastic Load Balancing のヘルスチェックを使用しているかどうかを確認します。 これにより、ロードバランサによって提供される追加テストに基づいて、グループがインスタンスの健全性を判断できるようになります。Elastic Load Balancing ヘルスチェックを使用すると、EC2 自動スケーリング グループを使用するアプリケーションの可用性をサポートできます。 料金ティア: Enterprise コンプライアンス標準:
|
ロードバランサに関連付けられているすべての自動スケーリング グループがヘルスチェックを使用していることを確認してください
|
API のカテゴリ名: |
検出結果の説明: 指定したメンテナンスの時間枠内にマイナー エンジン アップグレードを自動的に受け取るために、RDS データベース インスタンスでマイナー バージョン アップグレード フラグが有効になっていることを確認します。これにより、RDS インスタンスは、データベース エンジンの新機能、バグ修正、セキュリティ パッチを取得できます。 料金ティア: Enterprise コンプライアンス標準:
|
RDS インスタンスで、マイナー バージョンの自動アップグレード機能が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS Config は、アカウント内でサポートされている AWS リソースの構成管理を行い、ログファイルを配信するウェブサービスです。記録される情報には、構成項目(AWS リソース)、構成項目(AWS リソース)間の関係、リソース間の構成変更が含まれます。AWS Config をすべてのリージョンで有効にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
すべてのリージョンで AWS Config が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: Security Hub は、AWS アカウント、サービス、サポートされているパートナー事業者のプロダクトからセキュリティ データを収集して、セキュリティの傾向を分析し、優先度が最も高いセキュリティ問題を特定するのに役立ちます。Security Hub を有効にすると、有効にした AWS サービス(Amazon GuardDuty、Amazon Inspector、Amazon Macie など)の検出結果の使用、集計、整理、優先付けが開始されます。AWS のパートナー セキュリティ プロダクトとのインテグレーションを有効にすることもできます。 料金ティア: Enterprise コンプライアンス標準:
|
AWS Security Hub が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS CloudTrail は、アカウントの AWS API 呼び出しを記録し、IAM ポリシーに従ってユーザーとリソースがこれらのログを利用できるようにするウェブサービスです。AWS 鍵管理サービス(KMS)は、アカウント データの暗号化に使用する暗号鍵の作成と制御を支援するマネージド サービスで、ハードウェア セキュリティ モジュール(HSM)を使用して暗号鍵のセキュリティを保護します。CloudTrailログは、サーバー側での暗号化(SSE)と KMS のお客様が作成したマスターキー(CMK)を活用して、CloudTrail ログをさらに保護するように構成できます。SSE-KMS を使用するように CloudTrail を構成することをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
CloudTrail ログが保存時に KMS CMK で暗号化されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: CloudTrail ログファイルの検証では、CloudTrail が S3 に書き込む各ログのハッシュを含むデジタル署名されたダイジェスト ファイルが作成されます。これらのダイジェスト ファイルを使用すると、CloudTrail がログを配信した後にログファイルが変更されたか、削除されたか、変更されていないかを判断できます。すべての CloudTrail でファイル検証を有効にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
CloudTrail ログファイルの検証が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS CloudTrail は、特定の AWS アカウントで行われた AWS API 呼び出しを記録するウェブサービスです。記録される情報には、API 呼び出し元の ID、API 呼び出しの時刻、API 呼び出し元のソース IP アドレス、リクエスト パラメータ、AWS サービスから返されるレスポンス要素が含まれます。CloudTrail は、ログファイルの保存と配信に Amazon S3 を使用するため、ログファイルは永続的に保存されます。長期分析のために指定した S3 バケット内の CloudTrail ログをキャプチャするだけでなく、CloudWatch Logs にログを送信するように CloudTrail を構成することでリアルタイム分析を実行できます。アカウント内のすべてのリージョンで有効になっている証跡の場合、CloudTrail はすべてのリージョンのログファイルを CloudWatch Logs ロググループに送信します。CloudTrail ログを CloudWatch Logs に送信することをおすすめします。 注: この推奨事項の目的は、AWS アカウントのアクティビティキャプチャされ、監視され、適切に警告されるようにすることです。CloudWatch Logs は、AWS サービスを使用してこれを行うネイティブな方法ですが、代替ソリューションの使用が排除されるわけではありません。 料金ティア: Enterprise コンプライアンス標準:
|
CloudTrail トレイルが CloudWatch Logs に統合されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: これにより、Amazon Cloudwatch で、アラームが「OK」、「ALARM」、「INSUFFICIENT_DATA」の状態の間で遷移したときのアクションが定義されているかどうかがチェックされます。 Amazon CloudWatch のアラームで ALARM 状態に対するアクションを構成することは、モニタリング対象指標のしきい値に達したときに即時に応答するために非常に重要です。 アラームには少なくとも 1 つのアクションがあります。 料金ティア: Enterprise コンプライアンス標準:
|
CloudWatch アラームで、少なくとも 1 つのアラーム アクション、1 つの INSUFFICIENT_DATA アクション、1 つの OK アクションのいずれかが有効になっているかどうかを確認してください。
|
API のカテゴリ名: |
検出結果の説明: このチェックにより、CloudWatch ログが KMS で構成されていることを確認できます。 ロググループのデータは、CloudWatch Logging で常に暗号化されます。デフォルトでは、CloudWatch Logs は保存ログデータにサーバーサイド暗号化を使用します。この暗号化には、代わりに AWS 鍵管理サービスを使用できます。暗号化が必要な場合は、AWS KMS 鍵を使用して暗号化が行われます。AWS KMS を使用した暗号化は、ロググループの作成時または作成後に KMS 鍵をロググループに関連付けることで、ロググループ レベルで有効になります。 料金ティア: Enterprise コンプライアンス標準:
|
Amazon CloudWatch Logs のすべてのロググループが KMS を使用して暗号化されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: このコントロールは、CloudWatch Logs にログを送信するように CloudTrail の証跡が構成されているかどうかを確認します。証跡の CloudWatchLogsLogGroupArn プロパティが空の場合、コントロールは失敗します。 CloudTrail は、特定のアカウントで行われた AWS API 呼び出しを記録します。記録される情報には次のようなものがあります。
CloudTrail は、ログファイルの保存と配信に Amazon S3 を使用します。長期的な分析のために、指定した S3 バケット内の CloudTrail ログをキャプチャできます。リアルタイム分析を実行するには、CloudWatch Logs にログを送信するように CloudTrail を構成します。 アカウント内のすべてのリージョンで有効になっている証跡の場合、CloudTrail はすべてのリージョンから CloudWatch Logs ロググループにログファイルを送信します。 Security Hub では、CloudTrail ログを CloudWatch Logs に送信することをおすすめします。この推奨事項は、アカウント アクティビティを確実にキャプチャ、モニタリングし、適切に警告することを目的としています。CloudWatch Logs を使用して、AWS サービスでこれを設定できます。この推奨事項は、別のソリューションの使用を排除するものではありません。 CloudTrail のログを CloudWatch Logs に送信すると、ユーザー、API、リソース、IP アドレスに基づいたリアルタイムと過去のアクティビティ ロギングが容易になります。この方法を使用すると、異常なアカウント アクティビティや機密性の高いアカウント アクティビティに対するアラームと通知を設定できます。 料金ティア: Enterprise コンプライアンス標準:
|
すべての CloudTrail トレイルが AWS CloudWatch にログを送信するように構成されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: これにより、プロジェクトに環境変数 認証情報 料金ティア: Enterprise コンプライアンス標準:
|
環境変数 AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY を含むすべてのプロジェクトが平文でないことを確認してください
|
API のカテゴリ名: |
検出結果の説明: これにより、AWS CodeBuild プロジェクトの Bitbucket ソース リポジトリ URL に個人用アクセス トークンが含まれているか、ユーザー名とパスワードが含まれているかをチェックします。Bitbucket ソース リポジトリの URL に個人用アクセス トークンまたはユーザー名とパスワードが含まれている場合、コントロールは失敗します。 ログイン認証情報を、クリアテキストで保存または送信することや、ソース リポジトリの URL に表示することはしないでください。個人用アクセス トークンまたはログイン認証情報の代わりに、CodeBuild でソース プロバイダにアクセスし、ソース リポジトリの URL を変更して Bitbucket リポジトリのロケーションへのパスのみを含める必要があります。個人用のアクセス トークンやログイン認証情報を使用すると、意図しないデータ漏洩や不正アクセスが発生する可能性があります。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
github または bitbucket をソースとして使用するすべてのプロジェクトが OAuth を使用していることを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS IAM ユーザーは、パスワードやアクセスキーなど、さまざまな種類の認証情報を使用して AWS リソースにアクセスできます。45 日以上未使用の認証情報はすべて無効にするか削除することをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
45 日以上使用されていない認証情報が無効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: VPC にはデフォルトのセキュリティ グループがあり、初期設定では、すべてのインバウンド トラフィックが拒否され、すべてのアウトバウンド トラフィックが許可され、セキュリティ グループに割り当てられたインスタンス間のすべてのトラフィックが許可されます。インスタンスを起動するときにセキュリティ グループを指定しない場合、インスタンスは自動的にこのデフォルト セキュリティ グループに割り当てられます。セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。デフォルト セキュリティ グループですべてのトラフィックを制限することをおすすめします。 すべてのリージョンのデフォルトの VPC では、準拠するようにデフォルトのセキュリティ グループを更新する必要があります。新しく作成された VPC には、この推奨事項に準拠する修復が必要なデフォルトのセキュリティ グループが自動的に含まれます。 注: この推奨事項を実装する際には、VPC フローロギングによって現在のセキュリティ グループで発生したすべてのパケットの受け入れと拒否をログに記録できるため、システムが正常に動作するために必要な最小権限のポートアクセスを決定するうえで、VPC フローロギングが役立ちます。これにより、環境内のシステムで必要とされる最小限のポートの検出、すなわち最小権限エンジニアリングへの主要な障壁が劇的に軽減します。このベンチマークの VPC フローロギングの推奨事項が永続的なセキュリティ対策として導入されていない場合でも、最小限の権限のセキュリティ グループの検出とエンジニアリングの実行中に使用する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
それぞれの VPC のデフォルト セキュリティ グループがすべてのトラフィックを制限することを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS DMS レプリケーション インスタンスがパブリックかどうかを確認します。これを行うには、 プライベート レプリケーション インスタンスにはプライベート IP アドレスがあり、レプリケーション ネットワークの外部からアクセスすることはできません。ソース データベースとターゲット データベースが同じネットワークにある場合、レプリケーション インスタンスにはプライベート IP アドレスが必要です。また、ネットワークは、VPN、AWS Direct Connect、または VPC ピアリングを使用してレプリケーション インスタンスの VPC に接続する必要があります。パブリック レプリケーション インスタンスとプライベート レプリケーション インスタンスの詳細については、AWS Database Migration Service ユーザーガイドのパブリック レプリケーション インスタンスとプライベート レプリケーション インスタンスをご覧ください。 また、AWS DMS インスタンス構成へのアクセスが、承認されたユーザーのみに制限されていることも確認する必要があります。これを行うには、AWS DMS の設定とリソースを変更するユーザーの IAM 権限を制限します。 料金ティア: Enterprise コンプライアンス標準:
|
AWS Database Migration Service レプリケーション インスタンスがパブリックかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS コンソールでは、新しい IAM ユーザーの作成時に、デフォルトでチェックボックスがオンになっていません。IAM ユーザー認証情報を作成するときに、必要なアクセス権の種類を決定する必要があります。 プログラムからのアクセス: IAM ユーザーは、API 呼び出し、AWS CLI の使用、または Windows PowerShell のツールの使用が必要になる場合があります。その場合は、そのユーザーのアクセスキー(アクセスキー ID とシークレット アクセスキー)を作成します。 AWS 管理コンソールへのアクセス: ユーザーが AWS 管理コンソールにアクセスする必要がある場合、ユーザーのパスワードを作成します。 料金ティア: Enterprise コンプライアンス標準:
|
コンソール パスワードを持つすべての IAM ユーザーには、初期ユーザー設定時にアクセスキーを設定しないでください
|
API のカテゴリ名: |
検出結果の説明: これにより、Amazon DynamoDB テーブルが、必要に応じて読み取りおよび書き込み容量をスケーリングできるかどうかを確認します。このコントロールは、テーブルがオンデマンド容量モードまたは自動スケーリングが構成されたプロビジョニング モードのいずれかを使用している場合にパスします。需要に応じて容量をスケーリングすると、スロットリング例外を回避でき、アプリケーションの可用性を維持できます。 オンデマンド容量モードの DynamoDB テーブルは、DynamoDB スループットのデフォルトのテーブル割り当てによってのみ制限されます。これらの割り当てを増やすには、AWS サポートからサポート チケットを提出します。 自動スケーリングが有効なプロビジョニング モードの DynamoDB テーブルは、トラフィック パターンに応じてプロビジョニングされたスループット容量を動的に調整します。DynamoDB リクエスト スロットリングについて詳しくは、Amazon DynamoDB デベロッパー ガイドの「リクエスト スロットリングとバースト容量」をご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
DynamoDB テーブルは需要に合わせて容量を自動的にスケーリングする必要があります
|
API のカテゴリ名: |
検出結果の説明: このコントロールは、DynamoDB テーブルがバックアップ プランの対象かどうかを評価します。DynamoDB テーブルがバックアップ プランの対象とならない場合、コントロールは失敗します。このコントロールは、アクティブ状態の DynamoDB テーブルのみを評価します。 バックアップを使用すると、セキュリティ インシデントからより速やかに復旧できます。また、システムのレジリエンスも強化されます。バックアップ プランに DynamoDB テーブルを含めると、意図しない損失や削除からデータを保護できます。 料金ティア: Enterprise コンプライアンス標準:
|
DynamoDB テーブルはバックアップ プランの対象にする必要があります
|
API のカテゴリ名: |
検出結果の説明: ポイントインタイム リカバリ(PITR)は、DynamoDB テーブルをバックアップするためのメカニズムの 1 つです。 ポイントインタイムのバックアップは 35 日間保持されます。長期保存が必要な場合は、AWS ドキュメントの AWS Backup を使用して Amazon DynamoDB のスケジュールされたバックアップを設定するをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての AWS DynamoDB テーブルでポイントインタイム リカバリ(PITR)が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: すべての DynamoDB テーブルが、顧客管理の KMS 鍵(デフォルト以外)で暗号化されているかどうかを確認します。 料金ティア: Enterprise コンプライアンス標準:
|
すべての DynamoDB テーブルが AWS Key Management Service(KMS)で暗号化されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: EBS 用に最適化できる EC2 インスタンスで EBS の最適化が有効になっているかどうかを確認します 料金ティア: Enterprise コンプライアンス標準:
|
EBS 最適化をサポートするすべてのインスタンスで EBS 最適化が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon Elastic Block Store スナップショットが公開されていないかどうかを確認します。Amazon EBS スナップショットが誰でも復元可能である場合、コントロールは失敗します。 EBS スナップショットは、特定の時点で EBS ボリューム上のデータを Amazon S3 へバックアップするのに使用されます。スナップショットを使用して、EBS ボリュームの以前の状態を復元できます。スナップショットを一般公開することが許容されることはほとんどありません。通常、スナップショットを一般公開する決定は誤りか、その影響を十分に理解することなく行われたものです。このチェックにより、そのような共有がすべて完全に計画され、意図されたものであることを確認できます。 料金ティア: Enterprise コンプライアンス標準:
|
Amazon EBS スナップショットは公的に復元可能であってはなりません
|
API のカテゴリ名: |
検出結果の説明: Elastic Compute Cloud(EC2)は、Elastic Block Store(EBS)サービスを使用する場合の保存時の暗号化をサポートしています。デフォルトでは無効になっていますが、EBS ボリューム作成時の強制暗号化がサポートされています。 料金ティア: Enterprise コンプライアンス標準:
|
すべてのリージョンで EBS ボリュームの暗号化が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon VPC は、EC2 Classic よりも多くのセキュリティ機能を提供します。すべてのノードを Amazon VPC に所属させることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
すべてのインスタンスが VPC に属していることを確認してください
|
API のカテゴリ名: |
検出結果の説明: パブリック IP アドレスを持つ EC2 インスタンスは、侵害されるリスクが高くなります。EC2 インスタンスは、パブリック IP アドレスで構成しないようにすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
インスタンスにパブリック IP がないことを確認してください
|
API のカテゴリ名: |
検出結果の説明: State Manager の関連付けは、マネージド インスタンスに割り当てられる構成です。この構成では、インスタンスで維持する状態を定義します。関連付けでは、たとえば、インスタンスにウイルス対策ソフトウェアをインストールして実行する必要があることや、特定のポートを閉じる必要があることを指定できます。AWS Systems Managerと関連付けられている EC2 インスタンスは Systems Manager の管理下にあるため、パッチの適用、構成ミスの修正、セキュリティ イベントへの対応が容易になります。 料金ティア: Enterprise コンプライアンス標準:
|
AWS システム マネージャーの関連付けのコンプライアンス ステータスを確認します
|
API のカテゴリ名: |
検出結果の説明: このコントロールは、インスタンスで関連付けが実行された後、AWS Systems Manager の関連付けのコンプライアンス ステータスが COMPLIANT または NON_COMPLIANT かどうかを確認します。関連付けのコンプライアンス ステータスが NON_COMPLIANT の場合、コントロールは失敗します。 State Manager の関連付けは、マネージド インスタンスに割り当てられる構成です。この構成では、インスタンスで維持する状態を定義します。関連付けでは、たとえば、インスタンスにウイルス対策ソフトウェアをインストールして実行する必要があることや、特定のポートを閉じる必要があることを指定できます。 1 つ以上の State Manager の関連付けを作成すると、コンプライアンス ステータス情報を直ちに入手できます。コンプライアンス ステータスは、コンソールで、または AWS CLI コマンドや対応する Systems Manager API アクションに応答して確認できます。関連付けについては、[設定のコンプライアンス] にコンプライアンス ステータス(準拠または非準拠)が表示されます。また、関連付けに割り当てられた重大度レベル(重大、中など)も表示されます。 State Manager の関連付けのコンプライアンスの詳細については、AWS Systems Manager ユーザーガイドの State Manager の関連付けのコンプライアンスについてをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
AWS Systems Manager のパッチ コンプライアンスのステータスを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS EC2 インスタンスでメタデータ サービスを有効にする場合、ユーザーはインスタンス メタデータ サービス バージョン 1(IMDSv1、リクエスト / レスポンス メソッド)またはインスタンス メタデータ サービス バージョン 2(IMDSv2、セッション指向メソッド)のいずれかを使用できます。 料金ティア: Enterprise コンプライアンス標準:
|
EC2 メタデータ サービスが IMDSv2 のみを許可するようにしてください
|
API のカテゴリ名: |
検出結果の説明: AWS の毎月の請求費用を削減するために、AWS アカウントでアタッチされていない(未使用の)Elastic Block Store(EBS)ボリュームを特定して削除します。未使用の EBS ボリュームを削除することで、機密データやセンシティブ データがプレミスから漏洩するリスクも軽減されます。さらに、このコントロールでは、EC2 インスタンスが終了時にボリュームを削除するように構成されたかどうかも確認します。 デフォルトでは、EC2 インスタンスは、インスタンスに関連付けられているすべての EBS ボリュームのデータと、インスタンスのルート EBS ボリュームを削除するように構成されています。ただし、起動時または実行中にインスタンスにアタッチされたルート以外の EBS ボリュームは、デフォルトで終了後に保持されます。 料金ティア: Enterprise コンプライアンス標準:
|
EBS ボリュームが EC2 インスタンスにアタッチされており、インスタンスの終了時に削除されるように構成されているかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon EFS では、ファイル システムの暗号化形式として、転送中のデータの暗号化と保存データの暗号化の 2 つをサポートしています。これにより、アカウントで有効なすべてのリージョンで、すべての EFS ファイル システムに保存データの暗号化が構成されていることを確認します。 料金ティア: Enterprise コンプライアンス標準:
|
KMS を使用してファイルデータを暗号化するように EFS が構成されているかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon のベスト プラクティスでは、Elastic File System(EFS)のバックアップを構成することを推奨しています。これにより、AWS アカウントの有効なすべてのリージョンで、有効なバックアップについてすべての EFS を確認します。 料金ティア: Enterprise コンプライアンス標準:
|
EFS ファイル システムが AWS バックアップ プランに含まれているかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: 従来型ロードバランサが AWS Certificate Manager(ACM)によって提供される HTTPS/SSL 証明書を使用するかどうかを確認します。HTTPS/SSL リスナーで構成された従来型ロードバランサが ACM から提供された証明書を使用しない場合、コントロールは失敗します。 証明書を作成するには、ACM または SSL プロトコルと TLS プロトコルをサポートするツール(OpenSSL など)を使用します。Security Hub では、ACM を使用してロードバランサの証明書を作成またはインポートすることをおすすめします。 ACM は従来型ロードバランサと統合されているため、ロードバランサに証明書をデプロイできます。また、これらの証明書を自動更新する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
すべての従来型ロードバランサで AWS Certificate Manager が提供する SSL 証明書を使用していることを確認してください
|
API のカテゴリ名: |
検出結果の説明: アプリケーション ロードバランサで削除からの保護が有効になっているかどうかを確認します。削除保護が構成されていない場合、コントロールは失敗します。 削除保護を有効にして、アプリケーション ロードバランサを削除から保護します。 料金ティア: Enterprise コンプライアンス標準:
|
アプリケーション ロードバランサの削除保護を有効にする必要があります
|
API のカテゴリ名: |
検出結果の説明: これにより、アプリケーション ロードバランサと従来型ロードバランサでロギングが有効になっているかどうかを確認します。access_logs.s3.enabled が false の場合、このコントロールは失敗します。 Elastic Load Balancing には、ロードバランサに送信されたリクエストの詳細情報をキャプチャするアクセスログが用意されています。各ログには、リクエストの受信時間、クライアントの IP アドレス、レイテンシ、リクエストパス、サーバー レスポンスなどの情報が含まれます。これらのアクセスログを使用して、トラフィック パターンを分析し、問題のトラブルシューティングを行うことができます。 詳細については、従来型ロードバランサのユーザーガイドの 従来型ロードバランサのログにアクセスするをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
従来型ロードバランサとアプリケーション ロードバランサのロギングが有効になっているかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: このチェックにより、すべての従来のロードバランサが安全な通信を使用するように構成されていることを確認します。 リスナーは接続リクエストを確認するプロセスです。フロントエンド(クライアントからロードバランサ)接続用のプロトコルとポート、バックエンド(ロードバランサからインスタンス)接続用のプロトコルとポートで構成されます。Elastic Load Balancing でサポートされているポート、プロトコル、リスナー構成については、従来型ロードバランサのリスナーをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての従来型ロードバランサが SSL リスナーまたは HTTPS リスナーを使用して構成されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: アタッチされた状態の EBS ボリュームが暗号化されているかどうかを確認します。このチェックに合格するには、EBS ボリュームが使用されていて暗号化されている必要があります。EBS ボリュームがアタッチされていない場合、このチェックの対象ではありません。 EBS ボリューム内の機密データをさらに保護するには、EBS の保存時暗号化を有効にする必要があります。Amazon EBS の暗号化により、独自の鍵管理インフラストラクチャを構築、維持、保護しなくても、EBS リソース用の簡単な暗号化ソリューションが提供されます。暗号化されたボリュームとスナップショットを作成するときに、KMS 鍵が使用されます。 Amazon EBS の暗号化の詳細については、Linux インスタンス用の Amazon EC2 ユーザーガイドの Amazon EBS 暗号化をご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
アタッチされた Amazon EBS ボリュームは保存時に暗号化される必要があります
|
API のカテゴリ名: |
検出結果の説明: Amazon RDS 暗号化 DB インスタンスは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon RDS DB インスタンスをホストするサーバーでデータを暗号化します。データを暗号化した後、Amazon RDS は、パフォーマンスへの影響を最小限に抑えながら、データのアクセス認証と復号を透過的に処理します。 料金ティア: Enterprise コンプライアンス標準:
|
RDS インスタンスに対して保存データの暗号化が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: EFS データは、AWS KMS(鍵管理サービス)を使用して保存時に暗号化する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
EFS ファイル システムで暗号化が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS では、AWS アカウントのカスタム パスワード ポリシーで、IAM ユーザーのパスワードに複雑な要件と必須のローテーション期間を指定できます。カスタム パスワード ポリシーを設定しない場合、IAM ユーザーのパスワードはデフォルトの AWS パスワード ポリシーを満たす必要があります。AWS のセキュリティに関するベスト プラクティスでは、次のパスワードの複雑さの要件が推奨されています。
このコントロールにより、指定されたすべてのパスワード ポリシー要件が確認されます。 料金ティア: Enterprise コンプライアンス標準:
|
IAM ユーザーのアカウント パスワード ポリシーで指定の要件が満たされているかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: IAM パスワード ポリシーを使用すると、同じユーザーが特定のパスワードを再利用しないようにできます。パスワード ポリシーで、パスワードの再利用を防止することをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
IAM パスワード ポリシーでパスワードの再利用が禁止されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: パスワード ポリシーの一部は、パスワードの複雑さに関する要件を適用するために使用されます。IAM パスワード ポリシーを使用すると、パスワードが特定の長さ以上であることを確認できます。パスワード ポリシーでは、最小のパスワードの長さを 14 文字にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
IAM パスワード ポリシーで 14 文字以上の長さが必須になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: IAM ポリシーは、ユーザー、グループ、ロールに権限を付与する手段です。一般的なセキュリティに関するアドバイスとして「最小権限」を付与する(つまり、タスクの実行に必要な権限のみを付与する)ことが推奨されます。ユーザーが行う必要がある操作を決定し、完全な管理者権限を許可するのではなく、ユーザーがそのタスクのみを実行できるようにするポリシーを作成します。 料金ティア: Enterprise コンプライアンス標準:
|
完全な管理者権限(*:*)を許可する IAM ポリシーがアタッチされていないことを確認してください
|
API のカテゴリ名: |
検出結果の説明: IAM ユーザーに、IAM ポリシーによってサービス、関数、データへのアクセス権が付与されます。ユーザーのポリシーを定義するには、次の 4 つの方法があります。1)ユーザー ポリシーを直接編集する。別名インライン ポリシー、またはユーザー、ポリシー。2)ポリシーをユーザーに直接アタッチする。3)ポリシーがアタッチされている IAM グループにユーザーを追加する。4)インライン ポリシーを持つ IAM グループにユーザーを追加する。 3 つ目の実装のみをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
IAM ユーザーがグループを介してのみ権限を取得していることを確認してください
|
API のカテゴリ名: |
検出結果の説明: IAM のセキュリティのベスト プラクティスに準拠するには、IAM ユーザーは常に IAM グループに属している必要があります。 グループにユーザーを追加することで、ユーザータイプ間でポリシーを共有できます。 料金ティア: Enterprise コンプライアンス標準:
|
IAM ユーザーが少なくとも 1 つの IAM グループのメンバーであるかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: 多要素認証(MFA)は、ユーザー名とパスワードの上に保護レイヤを追加できるベスト プラクティスです。MFA では、ユーザーが AWS 管理コンソールにログインする際に、登録済みの仮想デバイスまたは実機で提供される、時間的制約のある認証コードの入力を求められます。 料金ティア: Enterprise コンプライアンス標準:
|
AWS IAM ユーザーが多要素認証(MFA)を有効にしていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: これにより、過去 90 日間に使用されていない IAM パスワードまたはアクティブなアクセスキーを確認します。 ベストプラクティスでは、90 日以上使用されていないすべての認証情報を削除、無効化、またはローテーションすることをおすすめします。これにより、不正使用されたアカウントや放棄されたアカウントに関連付けられた認証情報が使用される機会が減少します。 料金ティア: Enterprise コンプライアンス標準:
|
すべての AWS IAM ユーザーが、maxCredentialUsageAge 日間使用されていないパスワードまたはアクティブなアクセスキーを持っていることを確認してください(デフォルトは 90 日)
|
API のカテゴリ名: |
検出結果の説明: このコントロールでは、KMS 鍵が削除されるようにスケジュールされているかどうかを確認します。KMS 鍵の削除がスケジュールされている場合、コントロールは失敗します。 削除した KMS キーを復元することはできません。KMS 鍵で暗号化されたデータも、KMS 鍵が削除されると完全に回復不能となります。削除がスケジュールされている KMS 鍵で意味のあるデータが暗号化されている場合は、暗号消去を意図的に実行していない限り、データを復号するか、新しい KMS 鍵でデータを再暗号化することを検討してください。 KMS 鍵の削除がスケジュールされているときには、必須の待機期間が適用され、誤って削除されるようにスケジュールされていた場合に削除を元に戻すことができます。デフォルトの待機期間は 30 日間ですが、KMS 鍵の削除がスケジュールされている場合は 7 日間に短縮できます。待機期間中は、スケジュール設定された削除をキャンセルでき、KMS 鍵は削除されません。 KMS 鍵の削除の詳細については、AWS Key Management Service デベロッパー ガイドの KMS 鍵の削除をご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての CMK で削除がスケジュールされていないことを確認してください
|
API のカテゴリ名: |
検出結果の説明: Lambda 関数に関数レベルの同時実行制限が構成されているかどうかを確認します。Lambda 関数が関数レベルの同時実行制限で構成されていない場合、ルールは NON_COMPLIANT になります。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
Lambda 関数に関数レベルの同時実行制限が構成されているかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: Lambda 関数にデッドレター キューで構成されているかどうかを確認します。Lambda 関数がデッドレター キューで構成されていない場合、ルールは NON_COMPLIANT です。 料金ティア: Enterprise コンプライアンス標準:
|
Lambda 関数にデッドレター キューが構成されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS のベスト プラクティスでは、Lambda 関数を公開しないことをおすすめします。このポリシーは、アカウント内のすべての有効なリージョンでデプロイされたすべての Lambda 関数を確認し、公開アクセスを許可するように構成されている場合は失敗します。 料金ティア: Enterprise コンプライアンス標準:
|
Lambda 関数にアタッチされたポリシーが公開アクセスを禁止しているかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: Lambda 関数が VPC 内にあるかどうかを確認します。Lambda@Edge リソースで失敗した検出結果が表示されることがあります。 VPC サブネット ルーティング構成の評価は、公開ネットワーク到達性を判断しません。 料金ティア: Enterprise コンプライアンス標準:
|
Lambda 関数が VPC 内に存在することを確認してください
|
API のカテゴリ名: |
検出結果の説明: プライベートで機密性の高い S3 バケットで MFA 削除を有効にすると、ユーザーは 2 つの形式の認証が必要になります。 料金ティア: Enterprise コンプライアンス標準:
|
S3 バケットで MFA の削除が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: 「root」ユーザー アカウントは、AWS アカウント内で最も権限のあるユーザーです。多要素認証(MFA)によって、ユーザー名とパスワードに加えてさらに保護が強化されます。MFA を有効にすると、ユーザーが AWS ウェブサイトにログインするときに、ユーザー名とパスワードおよび AWS MFA デバイスの認証コードの入力を求められます。 注:「root」アカウントに仮想 MFA を使用する場合は、個人用デバイスではなく、個人用のデバイスとは別に充電され、保護されるように管理された専用のモバイル デバイス(タブレットまたはスマートフォン)を使用することをおすすめします。(「非個人用の仮想 MFA」)これにより、デバイスの紛失、デバイスの下取り、またはデバイスを所有している個人が会社を退職した場合に MFA にアクセスできなくなるリスクを軽減できます。 料金ティア: Enterprise コンプライアンス標準:
|
「root」ユーザー アカウントで MFA が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: 多要素認証(MFA)では、従来の認証情報に加えて、認証保証が追加されます。MFA を有効にすると、ユーザーが AWS コンソールにログインするときに、ユーザー名とパスワード、および物理または仮想の MFA トークンの認証コードの入力を求められます。コンソール パスワードを持つすべてのアカウントで MFA を有効にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
コンソール パスワードを持つすべての IAM ユーザーに対して、多要素認証(MFA)が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: ネットワーク アクセス制御リスト(NACL)関数は、AWS リソースへの上り(内向き)と下り(外向き)のネットワーク トラフィックのステートレス フィルタリングを提供します。TDP(6)、UDP(17)、または ALL(-1)プロトコルのいずれかを使用して、リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 料金ティア: Enterprise コンプライアンス標準:
|
0.0.0.0/0 からリモート サーバー管理ポートへの上り(内向き)を許可するネットワーク ACL がないことを確認してください
|
API のカテゴリ名: |
検出結果の説明: 「root」ユーザー アカウントは、AWS アカウント内で最も権限のあるユーザーです。AWS アクセスキーを使用すると、特定の AWS アカウントにプログラムでアクセスできます。「root」ユーザー アカウントに関連付けられているすべてのアクセスキーを削除することをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
「root」ユーザー アカウントのアクセスキーが存在しないことを確認してください
|
API のカテゴリ名: |
検出結果の説明: セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。TDP(6)、UDP(17)、または ALL(-1)プロトコルのいずれかを使用して、リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 料金ティア: Enterprise コンプライアンス標準:
|
0.0.0.0/0 からリモート サーバー管理ポートへの上り(内向き)を許可するセキュリティ グループがないことを確認してください
|
API のカテゴリ名: |
検出結果の説明: セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 料金ティア: Enterprise コンプライアンス標準:
|
::/0 からリモート サーバー管理ポートへの上り(内向き)を許可するセキュリティ グループがないことを確認してください
|
API のカテゴリ名: |
検出結果の説明: アクセスキーは、IAM ユーザーまたは AWS アカウントの「root」ユーザーの長期的な認証情報です。アクセスキーを使用して、AWS CLI または AWS API へのプログラムによるリクエストに署名できます(直接または AWS SDK を使用)。 料金ティア: Enterprise コンプライアンス標準:
|
単一の IAM ユーザーが利用できるアクティブなアクセスキーが 1 つだけであることを確認してください
|
API のカテゴリ名: |
検出結果の説明: セキュリティ リスクを最小限に抑えるために、AWS アカウントでプロビジョニングされている RDS データベース インスタンスで不正アクセスが制限されていることを確認します。一般公開されている RDS データベース インスタンスへのアクセスを制限するには、データベースの Publicly Accessible フラグを無効にして、インスタンスに関連付けられた VPC セキュリティ グループを更新する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
RDS インスタンスに公開アクセスが付与されていないことを確認してください
|
API のカテゴリ名: |
検出結果の説明: 拡張モニタリングは、インスタンスにインストールされているエージェントを介して、RDS インスタンスが実行されているオペレーティング システムに関するリアルタイム指標を提供します。 詳細については、拡張モニタリングを使用した OS 指標のモニタリングをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての RDS DB インスタンスに対して拡張モニタリングが有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: インスタンスの削除保護を有効にすると、データベースの偶発的な削除や権限のないエンティティによる削除に対して保護レイヤを追加できます。 削除からの保護が有効になっている場合は、RDS DB インスタンスを削除できません。削除リクエストが成功するには、削除保護を無効にする必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
すべての RDS インスタンスで削除保護が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: このチェックにより、Amazon RDS DB インスタンスがバックアップ プランの対象かどうかを評価します。RDS DB インスタンスがバックアップ プランでカバーされていない場合、このコントロールは失敗します。 AWS Backup は、AWS サービス間でデータのバックアップを一元化して自動化するフルマネージド バックアップ サービスです。AWS Backup では、バックアップ プランと呼ばれるバックアップ ポリシーを作成できます。これらのプランを使用して、データのバックアップ頻度やバックアップの保持期間など、バックアップ要件を定義できます。バックアップ プランに RDS DB インスタンスを含めると、意図しない損失や削除からデータを保護できます。 料金ティア: Enterprise コンプライアンス標準:
|
RDS DB インスタンスをバックアップ プランの対象にする必要があります
|
API のカテゴリ名: |
検出結果の説明: これにより、次の Amazon RDS のログが有効で、CloudWatch に送信されるかどうかを確認します。 RDS データベースで関連するログが有効になっている必要があります。データベース ロギングでは、RDS に対して行われたリクエストの詳細レコードが提供されます。データベース ログは、セキュリティとアクセスの監査、可用性の問題の診断に役立ちます。 料金ティア: Enterprise コンプライアンス標準:
|
エクスポートされたログがすべての RDS DB インスタンスに対して有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: RDS DB インスタンスは、複数のアベイラビリティ ゾーン(AZ)用に構成する必要があります。これにより、保存されたデータの可用性が確保されます。マルチ AZ デプロイでは、アベイラビリティ ゾーンの可用性で問題が発生した場合や、RDS の定期メンテナンス中に自動フェイルオーバーが可能になります。 料金ティア: Enterprise コンプライアンス標準:
|
すべての RDS DB インスタンスに対して高可用性が有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: これにより、Redshift クラスタの重要な要素(保存データの暗号化、ロギング、ノードタイプ)を確認。 これらの構成項目は、安全で監視可能な Redshift クラスタのメンテナンスにおいて重要です。 料金ティア: Enterprise コンプライアンス標準:
|
すべての Redshift クラスタに保存データの暗号化、ロギング、ノードタイプがあることを確認してください
|
API のカテゴリ名: |
検出結果の説明: メジャー バージョンの自動アップグレードはメンテナンスの時間枠に従って行われます 料金ティア: Enterprise コンプライアンス標準:
|
すべての Redshift クラスタで allowVersionUpgrade が有効になっており、preferredMaintenanceWindow と automaticSnapshotRetentionPeriod が設定されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon Redshift クラスタ構成の PubliclyAccessible 属性は、クラスタが一般公開されているかどうかを示します。クラスタが PubliclyAccessible を true に設定して構成されている場合、これは一般公開された解決可能な DNS 名を持つインターネット接続インスタンスであり、パブリック IP アドレスに解決されます。 クラスタが一般公開されていない場合、それはプライベート IP アドレスに解決される DNS 名を持つ内部インスタンスです。クラスタを一般公開する場合を除き、クラスタでは PubliclyAccessible を true に設定しないでください。 料金ティア: Enterprise コンプライアンス標準:
|
Redshift クラスタが公開されていてアクセス可能かどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: これにより、セキュリティ グループへの無制限の受信トラフィックが、リスクが最も高い、指定されたポートにアクセスできるかどうかを確認します。セキュリティ グループ内のいずれかのルールでこれらのポートの「0.0.0.0/0」または「::/0」からの上り(内向き)トラフィックが許可される場合、このコントロールは失敗します。 無制限のアクセス(0.0.0.0/0)は、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティを発生させる機会を増やします。 セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。どのセキュリティ グループでも、次のポートへの無制限の上り(内向き)アクセスを許可しないでください。
料金ティア: Enterprise コンプライアンス標準:
|
セキュリティ グループでは、リスクの高いポートへの無制限のアクセスを許可しないでください
|
API のカテゴリ名: |
検出結果の説明: セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。 CIS は、セキュリティ グループでポート 22 への無制限の上り(内向き)アクセスを許可しないことを推奨しています。SSH などのリモート コンソール サービスへの無制限の接続を削除することで、サーバーの露出リスクが軽減されます。 料金ティア: Enterprise コンプライアンス標準:
|
セキュリティ グループでは、0.0.0.0/0 からポート 22 への上り(内向き)を許可しないでください
|
API のカテゴリ名: |
検出結果の説明: 鍵ごとに鍵の自動ローテーションが有効になっているかどうか、顧客作成の AWS KMS 鍵の鍵 ID と一致するかどうかを確認します。リソースの AWS Config レコーダーのロールに kms:DescribeKey 権限がない場合、ルールは NON_COMPLIANT です。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
顧客作成の CMK のローテーションが有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS 鍵管理サービス(KMS)では、顧客作成の顧客マスター鍵(CMK)の鍵 ID に関連付けられた KMS に保存されている鍵のマテリアルを、顧客がローテーションできます。これは、暗号化や復号などの暗号オペレーションの実行に使用されるバックアップ鍵です。現在、鍵の自動ローテーションでは以前のバッキング鍵がすべて保持されるため、暗号化されたデータの復号は透過的に行うことができます。対称鍵の CMK 鍵のローテーションを有効にすることをおすすめします。非対称 CMK では鍵のローテーションを有効にできません。 料金ティア: Enterprise コンプライアンス標準:
|
顧客作成の対称 CMK のローテーションが有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: VPC ピアリングのルートテーブルが、最小権限のプリンシパルで構成されているかどうかを確認します。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
VPC ピアリングのルーティング テーブルが「最小限のアクセス権」であることを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon S3 パブリック アクセス ブロックには、Amazon S3 リソースへの公開アクセスを管理するためのアクセス ポイント、バケット、アカウントの設定が用意されています。デフォルトでは、新しいバケット、アクセス ポイント、オブジェクトは公開アクセスを許可しません。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
必要な S3 公開アクセス ブロック設定がアカウント レベルで構成されているかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon S3 には、Amazon S3 リソースへの公開アクセスを管理するための 料金ティア: Enterprise コンプライアンス標準:
|
S3 バケットが
|
API のカテゴリ名: |
検出結果の説明: S3 バケット アクセス ロギングは、S3 バケットに対して行われた各リクエストのアクセス レコードを含むログを生成します。アクセス ログ レコードには、リクエストのタイプ、リクエストで指定されたリソース、リクエストが処理された日時などのリクエストの詳細が含まれます。CloudTrail S3 バケットでバケット アクセス ロギングを有効にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
CloudTrail S3 バケットで S3 バケット アクセス ロギングが有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS S3 サーバー アクセス ロギング機能は、ストレージ バケットへのアクセス リクエストを記録します。これは、セキュリティ監査に役立ちます。デフォルトでは、S3 バケットではサーバー アクセス ロギングは有効になっていません。 料金ティア: Enterprise コンプライアンス標準:
|
すべての S3 バケットでロギングが有効になっているか確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon S3 バケットレベルでは、バケット ポリシーを使用して権限を構成し、HTTPS 経由でのみオブジェクトにアクセスできるようにできます。 料金ティア: Enterprise コンプライアンス標準:
|
S3 バケット ポリシーが HTTP リクエストを拒否するように設定されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: このコントロールでは、Amazon S3 バケットでクロスリージョン レプリケーションが有効になっているかどうかを確認します。バケットでクロスリージョン レプリケーションが有効になっていない場合、または同一リージョン レプリケーションが有効になっている場合でも、コントロールは失敗します。 レプリケーションは、同じまたは異なる AWS リージョン内のバケット間でのオブジェクトの自動非同期コピーです。レプリケーションにより、新しく作成されたオブジェクトとオブジェクトの更新が、ソースバケットから転送先バケットにコピーされます。AWS のベスト プラクティスでは、同じ AWS アカウントが所有するソースバケットと転送先バケットのレプリケーションが推奨されています。可用性だけでなく、他のシステム強化設定も検討する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
S3 バケットでクロスリージョン レプリケーションが有効になっているか確認してください
|
API のカテゴリ名: |
検出結果の説明: これにより、S3 バケットで Amazon S3 のデフォルトの暗号化が有効になっていること、またはサーバーサイドの暗号化なしで put-object リクエストが S3 バケット ポリシーで明示的に拒否されているかどうかを確認します。 料金ティア: Enterprise コンプライアンス標準:
|
すべての S3 バケットで保存データの暗号化が使用されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon S3 を使用すると、1 つのオブジェクトの複数のバリアントを同じバケット内に維持できるため、意図しないユーザー操作やアプリケーションの障害から容易に復旧できます。 料金ティア: Enterprise コンプライアンス標準:
|
すべての S3 バケットでバージョニングが有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon S3 バケットが AWS 鍵管理サービス(AWS KMS)で暗号化されているかどうかを確認する 料金ティア: Enterprise コンプライアンス標準:
|
すべてのバケットが KMS を使用して暗号化されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: Amazon SageMaker ノートブック インスタンスに AWS 鍵管理サービス(AWS KMS)鍵が構成されているかどうかを確認します。SageMaker ノートブック インスタンスに「KmsKeyId」が指定されていない場合、ルールは NON_COMPLIANT です。 料金ティア: Enterprise コンプライアンス標準:
|
すべての SageMaker ノートブック インスタンスが KMS を使用するように構成されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: SageMaker ノートブック インスタンスでインターネットからの直接アクセスが無効になっているかどうかを確認します。これを行うには、ノートブック インスタンスの DirectInternetAccess フィールドが無効になっているかどうかを確認します。 VPC を使用せずに SageMaker インスタンスを構成すると、デフォルトでインスタンスで直接インターネット アクセスが有効になります。VPC を使用してインスタンスを構成し、デフォルト設定を [無効 - VPC 経由でインターネットにアクセス] に変更します。 ノートブックからモデルをトレーニングまたはホストするには、インターネット アクセスが必要です。インターネット アクセスを有効にするには、VPC に NAT ゲートウェイがあり、セキュリティ グループでアウトバウンド接続が許可されていることを確認します。ノートブック インスタンスを VPC のリソースに接続する方法の詳細については、Amazon SageMaker デベロッパー ガイドの「VPC 内のリソースにノートブック インスタンスを接続する」をご覧ください。 また、SageMaker 構成へのアクセスは、承認されたユーザーのみに制限する必要もあります。SageMaker の設定とリソースを変更するユーザーの IAM 権限を制限します。 料金ティア: Enterprise コンプライアンス標準:
|
すべての Amazon SageMaker ノートブック インスタンスでインターネットからの直接アクセスが無効になっているかどうかを確認してください
|
API のカテゴリ名: |
検出結果の説明: AWS Secrets Manager に保存されているシークレットが自動ローテーションで構成されているかどうかを確認します。シークレットが自動ローテーションで構成されていない場合、コントロールは失敗します。 Secret Manager は、組織のセキュリティ対策の強化に役立ちます。Secret には、データベース認証情報、パスワード、サードパーティの API キーが含まれます。Secret Manager を使用すると、シークレットの一元的な保存、シークレットの自動暗号化、シークレットへのアクセスの制御、シークレットの安全かつ自動的なローテーションを行えます。 Secret Manager はシークレットをローテーションできます。ローテーションを使用すると、長期シークレットを短期シークレットに置き換えることができます。シークレットをローテーションすると、権限のないユーザーが不正使用のシークレットを使用できる期間が制限されます。そのため、シークレットのローテーションを頻繁に行う必要があります。ローテーションの詳細については、AWS Secret Manager ユーザーガイドの AWS Secret Manager シークレットのローテーションをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての AWS Secrets Manager シークレットでローテーションが有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: SNS トピックが AWS KMS を使用して保存時に暗号化されているかどうかを確認します。SNS トピックがサーバーサイドの暗号化(SSE)に KMS 鍵を使用していない場合、コントロールは失敗します。 保存中のデータの暗号化により、ディスクに保存されているデータが AWS で認証されていないユーザーにアクセスされるリスクを軽減できます。また、権限のないユーザーのデータへのアクセスを制限するアクセス制御セットも追加します。たとえば、データを読み取るには、データを復号するための API 権限が必要です。セキュリティ強化のために、SNS トピックを保存時に暗号化する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
すべての SNS トピックが KMS で暗号化されていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: このコントロールでは、VPC のデフォルトのセキュリティ グループが受信トラフィックと送信トラフィックのどちらを許可しているかを確認します。セキュリティ グループが受信トラフィックまたはアウトバウンド トラフィックを許可している場合、このコントロールは失敗します。 デフォルトのセキュリティ グループのルールでは、同じセキュリティ グループに割り当てられているネットワーク インターフェース(および関連するインスタンス)からのすべてのアウトバウンド トラフィックとインバウンド トラフィックが許可されます。デフォルトのセキュリティ グループは使用しないことをおすすめします。デフォルトのセキュリティ グループは削除できないため、デフォルトのセキュリティ グループのルール設定を変更して、インバウンド トラフィックとアウトバウンド トラフィックを制限する必要があります。これにより、EC2 インスタンスなどのリソースに対してデフォルトのセキュリティ グループが誤って構成されている場合に、意図しないトラフィックが発生するのを防ぎます。 料金ティア: Enterprise コンプライアンス標準:
|
それぞれの VPC のデフォルト セキュリティ グループがすべてのトラフィックを制限することを確認してください
|
API のカテゴリ名: |
検出結果の説明: VPC フローログは、VPC 内のネットワーク インターフェースを経由する IP トラフィックに関する情報を取得できる機能です。フローログを作成したら、Amazon CloudWatch Logs でそのデータを表示および取得できます。VPC のパケットの「拒否」に対して、VPC フローログを有効にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
すべての VPC で VPC フローロギングが有効になっていることを確認してください
|
API のカテゴリ名: |
検出結果の説明: このコントロールは、Amazon EC2 セキュリティ グループが未承認のポートからの無制限の受信トラフィックを許可するかどうかを確認します。コントロールのステータスは次のように決まります。 AuthorizationTcpPorts にデフォルト値を使用する場合、セキュリティ グループがポート 80 と 443 以外のポートからの無制限の受信トラフィックを許可すると、コントロールが失敗します。 authorizedTcpPorts または authorizedUdpPorts にカスタム値を指定した場合、セキュリティ グループがリストされていないポートからの無制限の受信トラフィックを許可すると、コントロールが失敗します。 パラメータが使用されていない場合、無制限の受信トラフィックのルールがあるセキュリティ グループに対するコントロールが失敗します。 セキュリティ グループは、AWS に上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。セキュリティ グループのルールは、最小権限アクセスのプリンシパルに従う必要があります。無制限のアクセス(/0 接尾辞を持つ IP アドレス)は、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティを発生させる可能性が高くなります。ポートが特に許可されていない限り、そのポートは無制限のアクセスを拒否する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
任意の VPC の 0.0.0.0/0 を持つセキュリティ グループが、特定のインバウンド TCP/UDP トラフィックのみを許可していることを確認してください
|
API のカテゴリ名: |
検出結果の説明: VPN トンネルは、AWS サイト間 VPN 接続内で顧客ネットワークと AWS との間でデータをやり取りできる暗号化されたリンクです。各 VPN 接続には 2 つの VPN トンネルがあり、高可用性を確保するためにそれらを同時に使用できます。AWS VPC とリモート ネットワーク間の安全で高可用性のある接続を確認するには、VPN 接続用に両方の VPN トンネルが稼働していることを確認することが重要です。 このコントロールにより、AWS サイト間 VPN によって提供される両方の VPN トンネルが UP ステータスであることを確認します。1 つまたは両方のトンネルが DOWN ステータスの場合、コントロールは失敗します。 料金ティア: Enterprise コンプライアンス標準:
|
AWS サイト間で提供される両方の AWS VPN トンネルが UP ステータスになっていることを確認してください
|
Web Security Scanner の検出結果
Web Security Scanner のカスタム スキャンとマネージド スキャンでは、次の検出結果の種類が識別されます。 Standard ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。
カテゴリ | 検出の説明 | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
---|---|---|---|
API のカテゴリ名: |
Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。 料金ティア: プレミアムまたはスタンダード |
A5 | A01 |
API のカテゴリ名: |
SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。 料金ティア: プレミアムまたはスタンダード |
A5 | A01 |
API のカテゴリ名: |
ウェブ アプリケーションに入力したパスワードは、安全なパスワード ストレージではなく、通常のブラウザ キャッシュに保存できます。 料金ティア: Premium |
A3 | A04 |
API のカテゴリ名: |
パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。 料金ティア: プレミアムまたはスタンダード |
A3 | A02 |
API のカテゴリ名: |
クロスサイト HTTP または HTTPS エンドポイントは、 料金ティア: Premium |
A5 | A01 |
API のカテゴリ名: |
クロスサイト HTTP または HTTPS エンドポイントは、 料金ティア: Premium |
A5 | A01 |
API のカテゴリ名: |
レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この検出結果を解決するには、 料金ティア: プレミアムまたはスタンダード |
A6 | A05 |
API のカテゴリ名: |
セキュリティ ヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 料金ティア: プレミアムまたはスタンダード |
A6 | A05 |
API のカテゴリ名: |
セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。 この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 料金ティア: プレミアムまたはスタンダード |
A6 | A05 |
API のカテゴリ名: |
セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 料金ティア: プレミアムまたはスタンダード |
A6 | A05 |
API のカテゴリ名: |
HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。 料金ティア: プレミアムまたはスタンダード |
A6 | A05 |
API のカテゴリ名: |
既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。 料金ティア: プレミアムまたはスタンダード |
A9 | A06 |
API のカテゴリ名: |
サーバー側のリクエスト フォージェリ(SSRF)の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブ アプリケーションがリクエストできるドメインと IP アドレスを制限します。 料金ティア: プレミアムまたはスタンダード |
該当なし | A10 |
API のカテゴリ名: |
クロスドメイン リクエストを行う場合は、ウェブ アプリケーションの 料金ティア: Premium |
A2 | A07 |
API のカテゴリ名: |
潜在的な SQL インジェクション脆弱性が検出された。この問題を解決するには、パラメータ化されたクエリを使用して、ユーザー入力が SQL クエリの構造に影響を与えないようにします。 料金ティア: Premium |
A1 | A03 |
API のカテゴリ名: |
脆弱なバージョンの Apache Struts の使用が検出されました。この問題を解決するには、Apache Struts を最新バージョンにアップグレードしてください。 料金ティア: Premium |
A8 | A08 |
API のカテゴリ名: |
このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 料金ティア: プレミアムまたはスタンダード |
A7 | A03 |
API のカテゴリ名: |
ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。 料金ティア: プレミアムまたはスタンダード |
A7 | A03 |
API のカテゴリ名: |
このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 料金ティア: プレミアムまたはスタンダード |
A7 | A03 |
API のカテゴリ名: |
XML 外部エンティティ(XXE)の脆弱性が検出された。この脆弱性により、ウェブ アプリケーションによりホスト上のファイルが漏洩する可能性があります。この問題を解決するには、外部エンティティを許可しないように XML パーサーを構成します。 料金ティア: Premium |
A4 | A05 |
API のカテゴリ名: |
このアプリケーションはプロトタイプ汚染に対して脆弱性があります。この脆弱性は、 料金ティア: プレミアムまたはスタンダード |
A1 | A03 |
IAM Recommender の検出結果
次の表に、IAM Recommender によって生成される Security Command Center の検出結果を示します。
各 IAM Recommender の検出結果には、Google Cloud 環境のプリンシパルの過剰な権限を含むロールを削除または置換するための具体的な推奨事項が含まれています。
IAM Recommender によって生成された検出結果は、影響を受けるプロジェクト、フォルダ、または組織の IAM ページの Google Cloud コンソールに表示される推奨事項に対応しています。
IAM Recommender と Security Command Center の統合の詳細については、セキュリティ ソースをご覧ください。
検出項目 | 概要 |
---|---|
API のカテゴリ名: |
検出結果の説明: IAM Recommender が、ユーザー アカウントに過剰な権限を付与する 1 つ以上の IAM ロールを持つサービス アカウントを検出しました。 料金ティア: Premium サポートされているアセット:
この問題を修正する :IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。
問題が解決すると、IAM Recommender は、10 日以内に検出結果のステータスを |
API のカテゴリ名: |
検出結果の説明: IAM Recommender は、サービス エージェントに付与された元のデフォルトの IAM ロールが IAM 基本ロール(オーナー、編集者、閲覧者)のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。 料金ティア: Premium サポートされているアセット:
この問題を修正する :IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。
問題が解決すると、IAM Recommender は 10 日以内に検出結果のステータスを |
API のカテゴリ名: |
検出結果の説明: IAM Recommender は、サービス エージェントに IAM 基本ロール(オーナー、編集者、閲覧者)のいずれかが付与されていることを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。 料金ティア: Premium サポートされているアセット:
この問題を修正する :IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。
問題が解決すると、IAM Recommender は 10 日以内に検出結果のステータスを |
API のカテゴリ名: |
検出結果の説明: IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザー アカウントを検出しました。 料金ティア: Premium サポートされているアセット:
この問題を修正する :IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。
問題が解決すると、IAM Recommender は、10 日以内に検出結果のステータスを |
CIEM の検出結果
次の表に、Cloud Infrastructure Entitlement Management(CIEM)によって生成される AWS の Security Command Center の ID とアクセスの検出結果を示します。
CIEM の検出結果には、AWS 環境の想定された ID、ユーザー、グループに関連付けられている、権限が非常に高い AWS IAM ポリシーを削除または置き換えるための具体的な推奨事項が含まれています。
CIEM の詳細については、Cloud Infrastructure Entitlement Management の概要をご覧ください。
検出項目 | 概要 |
---|---|
API のカテゴリ名: |
検出結果の説明: AWS 環境で、最小権限の原則に違反しセキュリティ リスクを高める、非常に許可が緩いポリシーが 1 つ以上含まれている、想定された IAM ロールが検出されました。 料金ティア: Enterprise この問題を修正する :検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。
具体的な修正手順については、検出結果の詳細を参照してください。 |
API のカテゴリ名: |
検出結果の説明: AWS 環境で、最小権限の原則に違反しセキュリティ リスクを高める、非常に許可が緩いポリシーが 1 つ以上含まれている IAM グループが検出されました。 料金ティア: Enterprise この問題を修正する :検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。
具体的な修正手順については、検出結果の詳細を参照してください。 |
API のカテゴリ名: |
検出結果の説明: AWS 環境で、最小権限の原則に違反しセキュリティ リスクを高める、非常に許可が緩いポリシーが 1 つ以上含まれている IAM ユーザーが検出されました。 料金ティア: Enterprise この問題を修正する :検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。
具体的な修正手順については、検出結果の詳細を参照してください。 |
API のカテゴリ名: |
検出結果の説明: AWS 環境で、1 つ以上の権限を持つ、無効な IAM ユーザーが検出されました。これは最小権限の原則に違反し、セキュリティ リスクを高めます。 料金ティア: Enterprise この問題を修正する :検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。
具体的な修正手順については、検出結果の詳細を参照してください。 |
API のカテゴリ名: |
検出結果の説明: AWS 環境で、1 つ以上の権限を持つ、無効な IAM グループが検出されました。これは最小権限の原則に違反し、セキュリティ リスクを高めます。 料金ティア: Enterprise この問題を修正する :検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。
具体的な修正手順については、検出結果の詳細を参照してください。 |
API のカテゴリ名: |
検出結果の説明: AWS 環境で、無効で 1 つ以上の権限を持つ想定 IAM ロールが検出されました。これは最小権限の原則に違反し、セキュリティ リスクを高めます。 料金ティア: Enterprise この問題を修正する :検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。
具体的な修正手順については、検出結果の詳細を参照してください。 |
API のカテゴリ名: |
検出結果の説明: AWS 環境で、最小権限の原則に違反しセキュリティ リスクを高める、AWS IAM ロールに適用されている過度に緩い信頼ポリシーが検出されました。 料金ティア: Enterprise この問題を修正する :AWS マネジメント コンソールを使用して、AWS IAM ロールに適用されている信頼ポリシーの権限を編集し、最小権限の原則に従います。 具体的な修正手順については、検出結果の詳細を参照してください。 |
API のカテゴリ名: |
検出結果の説明: AWS 環境で、権限借用によって横方向に移動できる ID が 1 つ以上検出されました。 料金ティア: Enterprise この問題を修正する :AWS 管理コンソールを使用して、横方向の移動を許可する ID に適用されているポリシーを削除します。 具体的な修正手順については、検出結果の詳細を参照してください。 |
セキュリティ対策サービスの検出結果
次の表に、セキュリティ対策サービスによって生成される Security Command Center の検出結果を示します。
各セキュリティ対策サービスの検出結果では、定義したセキュリティ対策からのブレのインスタンスを識別します。
結果 | 概要 |
---|---|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics 検出機能への変更を検出しました。 料金ティア: Premium
この問題を修正する :この検出結果では、変更を受け入れるか、対策の検出機能の設定と環境が一致するように変更を元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics 検出機能を更新するか、対策と対策のデプロイを更新するかです。 変更を元に戻すには、Google Cloud コンソールで Security Health Analytics の検出機能を更新します。 手順については、検出機能を有効または無効にするをご覧ください。 変更を受け入れるには、次の手順を行います。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics カスタム モジュールへの変更を検出しました。 料金ティア: Premium この問題を修正する :この検出結果により、対策と環境のカスタム モジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタム モジュールを更新するか、対策と対策のデプロイを更新するかです。 変更を元に戻すには、Google Cloud コンソールで Security Health Analytics のカスタム モジュールを更新します。手順については、カスタム モジュールを更新するをご覧ください。 変更を受け入れるには、次の手順を行います。
|
API のカテゴリ名: |
検出結果についての説明: セキュリティ対策サービスが、Security Health Analytics のカスタム モジュールが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 料金ティア: Premium この問題を修正する :この検出結果により、対策と環境のカスタム モジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタム モジュールを更新するか、対策と対策のデプロイを更新するかです。 変更を元に戻すには、Google Cloud コンソールで Security Health Analytics のカスタム モジュールを更新します。手順については、カスタム モジュールを更新するをご覧ください。 変更を受け入れるには、次の手順を行います。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のポリシーの変更を検出しました。 料金ティア: Premium この問題を修正する :この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。 変更を元に戻すには、Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。 変更を受け入れるには、次の手順を行います。
|
API のカテゴリ名: |
検出結果についての説明: セキュリティ対策サービスが、組織のポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 料金ティア: Premium この問題を修正する :この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。 変更を元に戻すには、Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。 変更を受け入れるには、次の手順を行います。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のカスタム ポリシーの変更を検出しました。 料金ティア: Premium この問題を修正する :この検出結果により、対策と環境の組織のカスタム ポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタム ポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。 変更を元に戻すには、Google Cloud コンソールで組織のカスタム ポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。 変更を受け入れるには、次の手順を行います。
|
API のカテゴリ名: |
検出結果についての説明: セキュリティ対策サービスが、組織のカスタム ポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 料金ティア: Premium この問題を修正する :この検出結果により、対策と環境の組織のカスタム ポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタム ポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。 変更を元に戻すには、Google Cloud コンソールで組織のカスタム ポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。 変更を受け入れるには、次の手順を行います。
|
次の表に、定義されたセキュリティ対策に違反しているリソースのインスタンスを特定するセキュリティ対策の検出結果を示します。
結果 | 概要 |
---|---|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスは、サブネットワークで外部 IPv6 アドレスが有効になっていることを検出しました。 料金ティア: Premium この問題を修正する :この検出結果を解決するには、違反しているリソースを削除するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを削除する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスは、サブネットワークで内部 IPv6 アドレスが有効になっていることを検出しました。 料金ティア: Premium この問題を修正する :この検出結果を解決するには、違反しているリソースを削除するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを削除する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、VM インスタンスで OS Login が無効になっていることを検出しました。 料金ティア: Premium この問題を修正する :この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを更新する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、承認済みネットワークが SQL インスタンスに追加されたことを検出しました。 料金ティア: Premium この問題を修正する :この検出結果では、違反を修正するか、対策を更新する必要があります。この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを更新する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスは、Cloud Run 関数インスタンスで VPC コネクタが有効になっていないことを検出しました。 料金ティア: Premium この問題を修正する :この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを更新する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、VM インスタンスへのシリアルポート アクセスが有効になっていることを検出しました。 料金ティア: Premium この問題を修正する :この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを更新する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、デフォルト ネットワークが作成されたことを検出しました。 料金ティア: Premium この問題を修正する :この検出結果を解決するには、違反しているリソースを削除するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを削除する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、Cloud Run サービスが指定された上り(内向き)設定に準拠していないことを検出しました。 料金ティア: Premium この問題を修正する :この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを更新する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、バケットレベルのアクセスが均一ではなくきめ細かいことを検出しました。 料金ティア: Premium この問題を修正する :この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを更新する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、Cloud Run サービスが指定された下り(外向き)設定に準拠していないことを検出しました。 料金ティア: Premium この問題を修正する :この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。 リソースを更新する手順は次のとおりです。
リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。
|
VM Manager
VM Manager は、Compute Engine 上で Windows と Linux を実行している大規模な仮想マシン(VM)フリートでオペレーティング システムの管理を行うためのツールです。
組織レベルで Security Command Center Premium を使用して VM Manager を有効にすると、VM Manager は脆弱性レポート(現在はプレビュー版)の検出結果を Security Command Center に送信します。このレポートは、VM にインストールされたオペレーティング システムの Common Vulnerability and Exposures(CVE)などの脆弱性を特定します。
Security Command Center Premium でプロジェクト レベルの有効化を行って VM Manager を使用するには、親組織で Security Command Center Standard を有効にします。
Security Command Center Standard では、脆弱性レポートを使用できません。
検出結果を使用することで、VM Manager のパッチ コンプライアンス機能(プレビュー段階)を使用するプロセスが簡略化されます。この機能を使用すると、すべてのプロジェクトで組織レベルでパッチ管理を行うことができます。
VM Manager から受信する脆弱性の検出結果の重大度は、常に CRITICAL
または HIGH
です。
VM Manager の検出結果
このタイプの脆弱性はすべて、サポートされている Compute Engine VM にインストールされたオペレーティング システム パッケージに関連しています。
検出項目 | 概要 | アセットのスキャン設定 |
---|---|---|
API のカテゴリ名: |
検出結果の説明: VM Manager が、Compute Engine VM にインストールされているオペレーティング システム(OS)パッケージに脆弱性を検出しました。 料金ティア: Premium サポートされているアセット |
VM Manager の脆弱性レポートでは、Compute Engine VM のインストール済みオペレーティング システム パッケージの脆弱性(Common Vulnerabilities and Exposures(CVE))など)が詳細に説明されています。 サポートされているオペレーティング システムの完全なリストについては、オペレーティング システムの詳細をご覧ください。 脆弱性が検出されると、Security Command Center に検出結果がすぐに表示されます。 VM Manager の脆弱性レポートは次のように生成されます。
|
コンソールで検出結果を確認する
Google Cloud コンソール
- Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
- Google Cloud プロジェクトまたは組織を選択します。
- [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[VM Manager] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
- 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
- [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
- 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。
Security Operations コンソール
-
Security Operations コンソールで、[検出結果] ページに移動します。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN
は、お客様固有の ID に置き換えます。 - [集計] セクションで、[ソース表示名] サブセクションをクリックして展開します。
- [VM Manager] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
- 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
- [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
- 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。
VM Manager の検出結果の修正
OS_VULNERABILITY
の検出結果は、VM Manager が Compute Engine VM にインストールされているオペレーティング システム パッケージで脆弱性を検出したことを示します。
この検出結果を修正するには、次の手順に沿って操作します。
externalUri
フィールドの値をコピーします。この値は、脆弱性のあるオペレーティング システムがインストールされている Compute Engine VM インスタンスの [OS 情報] ページの URI です。[基本情報] セクションに表示されている OS に、適切なパッチをすべて適用します。パッチをデプロイする手順については、パッチジョブを作成するをご覧ください。
サポートされているアセットとスキャンの設定についての説明をご覧ください。
この検出結果のタイプでVM Manager の検出結果をミュートする
セキュリティ要件に関連していない VM Manager の検出結果の一部またはすべてを Security Command Center で非表示にできます。
VM Manager の検出結果を非表示にするには、ミュートルールを作成し、非表示にする VM Manager の検出結果に固有のクエリ属性を追加します。
Google Cloud コンソールを使用して VM Manager のミュートルールを作成する手順は次のとおりです。
Google Cloud コンソールで、Security Command Center の [検出] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[ミュート オプション] をクリックし、[ミュートルールを作成] を選択します。
ミュートルール ID を入力します。この値は必須です。
検出結果をミュートする理由を [ミュートルールの説明] に入力します。この値は省略可能ですが、指定することをおすすめします。
[親リソース] の値を確認して、ミュート ルールのスコープを確認します。
[検出クエリ] フィールドで [フィルタを追加] をクリックして、クエリ ステートメントを作成します。また、クエリ ステートメントを手動で入力することもできます。
[フィルタを選択] ダイアログで、[検出結果] > [ソースの表示名] > [VM Manager] を選択します。
[適用] をクリックします。
非表示にする属性がすべてミュートクエリに含まれるまで、この操作を繰り返します。
たとえば、VM Manager の脆弱性検出で特定の CVE ID を非表示にするには、[脆弱性] > [CVE ID] を選択してから、非表示にする CVE ID を選択します。
検出結果のクエリは次のようになります。
[一致する検出をプレビュー] をクリックします。
クエリに一致する検索結果がテーブルに表示されます。
[保存] をクリックします。
Sensitive Data Protection
このセクションでは、機密データの保護が生成する脆弱性の検出結果、サポートするコンプライアンス標準、検出結果の修正方法について説明します。
機密データの保護は、観察の検出結果を Security Command Center にも送信します。観察の検出結果と機密データの保護の詳細については、機密データの保護をご覧ください。
検出結果の表示方法については、Google Cloud コンソールで Sensitive Data Protection の検出結果を確認するをご覧ください。
Sensitive Data Protection の検出サービスを使用すると、保護されていない機密性の高いデータを保存しているかどうかを判断できます。
カテゴリ | 概要 |
---|---|
API のカテゴリ名:
|
検出結果の説明: 指定したリソースに、インターネット上の誰でもアクセスできる高機密データが含まれています。 サポートされているアセット:
修復: Google Cloud データの場合は、データアセットの IAM ポリシーから Amazon S3 データの場合は、 公開アクセスのブロック設定を構成するか、オブジェクトの ACL を更新して一般公開の読み取りアクセスを拒否します。 コンプライアンス標準: マッピングなし |
API のカテゴリ名:
|
検出結果の説明: 環境変数に、パスワード、認証トークン、Google Cloud 認証情報などの シークレットがあります。 この検出機能を有効にするには、Sensitive Data Protection ドキュメントの環境変数のシークレットを Security Command Center に報告するをご覧ください。 サポートされているアセット: 修復: Cloud Run 関数の環境変数の場合は、環境変数からシークレットを削除し、代わりに Secret Manager に保存します。 Cloud Run サービス リビジョンの環境変数の場合は、すべてのトラフィックをリビジョンから移動してから、リビジョンを削除します。 コンプライアンス標準:
|
API のカテゴリ名:
|
検出結果の説明: 指定されたリソースに、パスワード、認証トークン、クラウド認証情報などのシークレットがあります。 サポートされているアセット:
修復:
コンプライアンス標準: マッピングなし |
Policy Controller
Policy Controller により、フリート メンバーシップとして登録された Kubernetes クラスタに対するプログラム可能なポリシーの応用と適用が可能になります。これらのポリシーはガードレールとして機能し、クラスタとフリートのベスト プラクティス、セキュリティ、コンプライアンス管理に役立ちます。
このページには、すべての Policy Controller の検出結果がすべて一覧表示されるわけではありませんが、Policy Controller が Security Command Center に書き込む Misconfiguration
クラスの検出結果に関する情報は、各 Policy Controller バンドルに記載されているクラスタ違反と同じです。個々の Policy Controller の検出結果タイプに関するドキュメントは、次の Policy Controller バンドルにあります。
CIS Kubernetes Benchmark v1.5.1。強固なセキュリティ体制をサポートするように Kubernetes を構成するための一連の推奨事項。このバンドルに関する情報は、
cis-k8s-v1.5.1
の GitHub リポジトリで確認することもできます。PCI-DSS v3.2.1。Payment Card Industry データ セキュリティ基準(PCI-DSS)v3.2.1 の一部に対してクラスタ リソースのコンプライアンスを評価するバンドルです。このバンドルに関する情報は、
pci-dss-v3
の GitHub リポジトリで確認することもできます。
この機能は、Stackdriver API の VPC Service Controls サービス境界と互換性がありません。
Policy Controller の検出結果の検出と修正
Policy Controller のカテゴリは、Policy Controller のバンドルのドキュメントに記載されている制約名に対応しています。たとえば、require-namespace-network-policies
の検出結果は、Namespace が、クラスタ内のすべての Namespace が NetworkPolicy
を持つというポリシーに違反していることを示します。
検出結果を修正するには、次の操作を行います。
Google Cloud コンソール
- Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
- Google Cloud プロジェクトまたは組織を選択します。
- [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Policy Controller On-Cluster] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
- 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
- [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
- 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。
Security Operations コンソール
-
Security Operations コンソールで、[検出結果] ページに移動します。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN
は、お客様固有の ID に置き換えます。 - [集計] セクションで、[ソース表示名] サブセクションをクリックして展開します。
- [Policy Controller On-Cluster] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
- 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
- [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
- 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。
次のステップ
Security Health Analytics の使用方法を学習する。
Web Security Scanner の使用方法を学習する。
Security Health Analytics の検出結果の修正と Web Security Scanner の検出結果の修正の提案を確認する。