脆弱性の検出結果

Rapid Vulnerability Detection、Security Health Analytics、Web Security Scanner の検出機能は、Security Command Center で利用可能な脆弱性の検出結果を生成します。VM Manager などの統合サービスでも、Security Command Center で有効にすると脆弱性の検出結果が生成されます。

検出結果を表示および編集できるかどうかは、割り当てられている Identity and Access Management(IAM)のロールと権限によって決まります。Security Command Center での IAM ロールの詳細については、アクセス制御をご覧ください。

検出機能とコンプライアンス

Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされる検出機能でコンプライアンスをモニタリングします。

サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。

CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。

Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。

セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。

コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。

Google Cloud でサポートされているセキュリティ標準

Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。

AWS でサポートされているセキュリティ標準

Security Command Center は、Amazon Web Services(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。

コンプライアンス レポートを表示およびエクスポートする手順については、Google Cloud コンソールでの Security Command Center の使用コンプライアンスのセクションをご覧ください。

修復後の検出結果の無効化

脆弱性または構成ミスの検出結果を修正した後、検出結果を検出した Security Command Center サービスは、次に検出サービスが検出結果をスキャンするときに、検出結果の状態を自動的に INACTIVE に設定します。Security Command Center で修正された検出結果を INACTIVE に設定するのに要する時間は、検出結果を検出するスキャンのスケジュールによって異なります。

検出結果に関連するリソースが削除されたことをスキャンで検出した場合も、Security Command Center サービスは脆弱性または構成ミスの検出結果の状態を INACTIVE に設定します。

スキャン間隔の詳細については、次のトピックをご覧ください。

Security Health Analytics の検出結果

Security Health Analytics の検出機能は、Cloud Asset Inventory(CAI)のリソースのサブセットをモニタリングし、リソースと Identity and Access Management(IAM)ポリシーの変更について通知を受信します。一部の検出機能では、このページの後の部分の表に示すように、Google Cloud APIs を直接呼び出してデータを取得します。

Security Health Analytics、スキャン スケジュール、組み込みとカスタムの両方のモジュール検出機能の Security Health Analytics サポートの詳細については、Security Health Analytics の概要をご覧ください。

次の表に、Security Health Analytics の検出機能、サポートするアセットとコンプライアンスの基準、スキャンに使用する設定、生成する検出結果のタイプを示します。Google Cloud コンソールの Security Command Center の [脆弱性] ページでは、さまざまな属性で検出結果をフィルタリングできます。

問題を修正し、リソースを保護する手順については、Security Health Analytics の検出結果の修正をご覧ください。

API キーの脆弱性の検出

API_KEY_SCANNER 検出機能は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。

表 1. API キーのスキャナ
検出機能 概要 アセットのスキャン設定
API key APIs unrestricted

API のカテゴリ名: API_KEY_APIS_UNRESTRICTED

検出結果の説明: 過度に広範囲にわたって使用されている API キーが存在します。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

プロジェクト内のすべての API キーの restrictions プロパティを取得し、いずれかのプロパティが cloudapis.googleapis.com に設定されているかどうかを確認します。

  • リアルタイム スキャン: なし
API key apps unrestricted

API のカテゴリ名: API_KEY_APPS_UNRESTRICTED

検出結果の説明: 無制限に使用できる API キー(信頼できないアプリによる使用が制限されていない API キー)が存在します。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

プロジェクト内のすべての API キーの restrictions プロパティを取得し、browserKeyRestrictionsserverKeyRestrictionsandroidKeyRestrictions、または iosKeyRestrictions が設定されているかどうかを確認します。

  • リアルタイム スキャン: なし
API key exists

API のカテゴリ名: API_KEY_EXISTS

検出結果の説明: プロジェクトで標準認証ではなく API キーが使用されています。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

プロジェクトが所有するすべての API キーを取得します。

  • リアルタイム スキャン: なし
API key not rotated

API のカテゴリ名: API_KEY_NOT_ROTATED

検出結果の説明: API キーが 90 日以上ローテーションされていません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

すべての API キーの createTime プロパティに含まれるタイムスタンプを取得し、90 日間経過しているかどうかを確認します。

  • リアルタイム スキャン: なし

Cloud Asset Inventory の脆弱性の検出結果

この検出タイプの脆弱性はすべて Cloud Asset Inventory の構成に関連し、CLOUD_ASSET_SCANNER タイプに属します。

表 2. Cloud Asset Inventory スキャナ
検出機能 概要 アセットのスキャン設定
Cloud Asset API disabled

API のカテゴリ名: CLOUD_ASSET_API_DISABLED

検出結果の説明: Cloud Asset Inventory による Google Cloud リソースと IAM ポリシーのキャプチャにより、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります。すべてのプロジェクトで Cloud Asset Inventory サービスを有効にすることをおすすめします。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
pubsub.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Cloud Asset Inventory サービスが有効になっているかどうかを確認します。

  • リアルタイム スキャン: あり

Compute イメージの脆弱性の検出

COMPUTE_IMAGE_SCANNER 検出機能は、Google Cloud イメージ構成に関連する脆弱性を特定します。

表 3. Compute イメージのスキャナ
検出機能 概要 アセットのスキャン設定
Public Compute image

API のカテゴリ名: PUBLIC_COMPUTE_IMAGE

検出結果の説明: Compute Engine イメージは一般公開されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Image

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル allUsers または allAuthenticatedUsers を確認します。

  • リアルタイム スキャン: あり

Compute インスタンスの脆弱性の検出

COMPUTE_INSTANCE_SCANNER 検出機能は、Compute Engine インスタンスの構成に関連する脆弱性を識別します。

COMPUTE_INSTANCE_SCANNER 検出機能は、GKE によって作成された Compute Engine インスタンスに関する検出結果を報告しません。このようなインスタンスの名前は「gke-」で始まり、ユーザーは編集できません。このインスタンスを保護するには、「コンテナの脆弱性の検出結果」をご覧ください。

表 4. Compute インスタンス スキャナ
検出機能 概要 アセットのスキャン設定
Confidential Computing disabled

API のカテゴリ名: CONFIDENTIAL_COMPUTING_DISABLED

検出結果の説明: Compute Engine インスタンスで Confidential Computing が無効になっています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

インスタンス メタデータの confidentialInstanceConfig プロパティで Key-Value ペア "enableConfidentialCompute":true を確認します。

  • スキャン対象外のアセット:
    • GKE インスタンス
    • サーバーレス VPC アクセス
    • Dataflow ジョブに関連するインスタンス
    • N2D タイプ以外の Compute Engine インスタンス
  • リアルタイム スキャン: あり
Compute project wide SSH keys allowed

API のカテゴリ名: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

検出結果の説明: プロジェクト全体を対象とする SSH 認証鍵が使用されており、プロジェクト内のすべてのインスタンスへのログインが許可されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

インスタンス メタデータの metadata.items[] オブジェクトで Key-Value ペア "key": "block-project-ssh-keys", "value": TRUE を確認します。

  • スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブ、Windows インスタンス
  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からメタデータを読み取る
  • リアルタイム スキャン: なし
Compute Secure Boot disabled

API のカテゴリ名: COMPUTE_SECURE_BOOT_DISABLED

検出結果の説明: この Shielded VM でセキュアブートが有効になっていません。セキュアブートの使用は、ルートキットやブートキットなどの高度な脅威から仮想マシン インスタンスを保護するうえで有効です。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Compute Engine インスタンスの shieldedInstanceConfig プロパティをチェックして、enableSecureBoottrue に設定されているかどうかを確認します。この検出機能は、アタッチされたディスクがセキュアブートと互換性があり、セキュアブートが有効になっていることを確認します。

  • スキャン対象外のアセット: GKE インスタンス、GPU アクセラレータを備え Container-Optimized OS を使用しない Compute Engine ディスク、サーバーレス VPC アクセス
  • リアルタイム スキャン: あり
Compute serial ports enabled

API のカテゴリ名: COMPUTE_SERIAL_PORTS_ENABLED

検出結果の説明: インスタンスでシリアルポートが有効になっているため、インスタンスのシリアル コンソールへの接続が許可されます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

インスタンス メタデータの metadata.items[] オブジェクトで Key-Value ペア "key": "serial-port-enable", "value": TRUE を確認します。

  • スキャン対象外のアセット: GKE インスタンス
  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からメタデータを読み取る
  • リアルタイム スキャン: あり
Default service account used

API のカテゴリ名: DEFAULT_SERVICE_ACCOUNT_USED

検出結果の説明: デフォルトのサービス アカウントを使用するようにインスタンスが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

インスタンス メタデータの serviceAccounts プロパティで、Google が作成したデフォルトのサービス アカウントを示す PROJECT_NUMBER-compute@developer.gserviceaccount.com という接頭辞付きのサービス アカウントのメールアドレスを確認します。

  • スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブ
  • リアルタイム スキャン: あり
Disk CMEK disabled

API のカテゴリ名: DISK_CMEK_DISABLED

検出結果の説明: この VM のディスクは顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Disk

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

ディスク メタデータ内の diskEncryptionKey オブジェクトの kmsKeyName フィールドで、CMEK のリソース名を確認します。

  • スキャンから除外されたアセット: Cloud Composer 環境、Dataflow ジョブ、GKE インスタンスに関連するディスク
  • リアルタイム スキャン: あり
Disk CSEK disabled

API のカテゴリ名: DISK_CSEK_DISABLED

検出結果の説明: この VM のディスクは顧客指定の暗号鍵(CSEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、特殊なケースの検出機能をご覧ください。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Disk

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

diskEncryptionKey オブジェクトの kmsKeyName フィールドで、CSEK のリソース名を確認します。

  • スキャン対象外のアセット:
    enforce_customer_supplied_disk_encryption_keys セキュリティ マークが true に設定されていない Compute Engine ディスク
  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からメタデータを読み取る
  • リアルタイム スキャン: あり
Full API access

API のカテゴリ名: FULL_API_ACCESS

検出結果の説明: すべての Google Cloud APIs に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するようにインスタンスが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

serviceAccounts プロパティの scopes フィールドを取得し、デフォルトのサービス アカウントが使用されているかどうかと、cloud-platform スコープが割り当てられているかどうかを確認します。

  • スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブ
  • リアルタイム スキャン: あり
HTTP load balancer

API のカテゴリ名: HTTP_LOAD_BALANCER

検出結果の説明: インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/TargetHttpProxy

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 2.3

targetHttpProxy リソースの selfLink プロパティが転送ルールの target 属性と一致しているかどうかと、転送ルールに External に設定された loadBalancingScheme フィールドが含まれているかどうかを確認します。

  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からターゲット HTTP プロキシの転送ルールを読み取り、外部ルールをチェックします。
  • リアルタイム スキャン: あり
IP forwarding enabled

API のカテゴリ名: IP_FORWARDING_ENABLED

検出結果の説明: インスタンスで IP 転送が有効になっています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

インスタンスの canIpForward プロパティが true に設定されているかどうかを確認します。

  • スキャン対象外のアセット: GKE インスタンス、サーバーレス VPC アクセス
  • リアルタイム スキャン: あり
OS login disabled

API のカテゴリ名: OS_LOGIN_DISABLED

検出結果の説明: このインスタンスで OS Login が無効になっています。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

プロジェクト メタデータの commonInstanceMetadata.items[] オブジェクトで Key-Value ペア "key": "enable-oslogin""value": TRUE を確認します。この検出機能は、Compute Engine プロジェクト内のすべてのインスタンスをチェックし、各インスタンスで OS Login が無効になっているかどうか確認します。

  • スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブに関連するインスタンス
  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からメタデータを読み取ります。この検出機能は、プロジェクト内の Compute Engine インスタンスも検査します。
  • リアルタイム スキャン: なし
Public IP address

API のカテゴリ名: PUBLIC_IP_ADDRESS

検出結果の説明: インスタンスにパブリック IP アドレスが割り振られています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

networkInterfaces プロパティに、パブリック IP アドレスを使用するように構成されていることを示す accessConfigs フィールドが存在するかどうかを確認します。

  • スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブに関連するインスタンス
  • リアルタイム スキャン: あり
Shielded VM disabled

API のカテゴリ名: SHIELDED_VM_DISABLED

検出結果の説明: このインスタンスで Shielded VM が無効になっています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Compute Engine インスタンスの shieldedInstanceConfig プロパティをチェックして、enableIntegrityMonitoring フィールドと enableVtpm フィールドが true に設定されているかどうかを確認します。このフィールドは、Shielded VM がオンになっているかどうかを示します。

  • スキャン対象外のアセット: GKE インスタンス、サーバーレス VPC アクセス
  • リアルタイム スキャン: あり
Weak SSL policy

API のカテゴリ名: WEAK_SSL_POLICY

検出結果の説明: インスタンスに脆弱な SSL ポリシーが設定されています。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

アセット メタデータ内の sslPolicy が空かどうか、Google Cloud のデフォルト ポリシーを使用しているかどうかを確認します。また、接続された sslPolicies リソースについて profileRestricted または Modern に設定されているかどうか、minTlsVersionTLS 1.2 に設定されているかどうか、 customFeatures が空かどうか、TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA の暗号を含んでいないかを確認します。

  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: 脆弱なポリシーを確認するため、ターゲット プロキシ ストレージの SSL ポリシーを読み取ります。
  • リアルタイム スキャン: あり。ただし、TargetSslProxy の TargetHttpsProxy が更新された場合のみ(SSL ポリシーが更新された場合を除く)

コンテナの脆弱性の検出

この検出タイプはすべて GKE コンテナ構成に関連し、CONTAINER_SCANNER 検出機能タイプに属します。

表 5. コンテナのスキャナ
検出機能 概要 アセットのスキャン設定
Alpha cluster enabled

API のカテゴリ名: ALPHA_CLUSTER_ENABLED

検出結果の説明: GKE クラスタでアルファ版のクラスタ機能が有効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.10.2

クラスタの enableKubernetesAlpha プロパティが true に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
Auto repair disabled

API のカテゴリ名: AUTO_REPAIR_DISABLED

検出結果の説明: ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

ノードプールの management プロパティで Key-Value ペア "key":"autoRepair""value":true を確認します。

  • リアルタイム スキャン: あり
Auto upgrade disabled

API のカテゴリ名: AUTO_UPGRADE_DISABLED

検出結果の説明: GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

ノードプールの management プロパティで Key-Value ペア "key":"autoUpgrade""value":true を確認します。

  • リアルタイム スキャン: あり
Binary authorization disabled

API のカテゴリ名: BINARY_AUTHORIZATION_DISABLED

検出結果の説明: Binary Authorization が GKE クラスタで無効になっているか、Binary Authorization ポリシーがすべてのイメージのデプロイを許可するように構成されています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

以下を確認してください。

  • binaryAuthorization プロパティに次のいずれかの Key-Value ペアが含まれているかを確認します。
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • defaultAdmissionRule ポリシー プロパティに Key-Value ペア evaluationMode: ALWAYS_ALLOW が含まれていないかどうかを確認します。

  • リアルタイム スキャン: あり
Cluster logging disabled

API のカテゴリ名: CLUSTER_LOGGING_DISABLED

検出結果の説明: GKE クラスタに対して Logging が有効になっていません。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

クラスタの loggingService プロパティに、Cloud Logging がログの書き込みに使用する場所が含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Cluster monitoring disabled

API のカテゴリ名: CLUSTER_MONITORING_DISABLED

検出結果の説明: GKE クラスタで Monitoring が無効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

クラスタの monitoringService プロパティに、Cloud Monitoring が指標の書き込みに使用する場所が含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Cluster private Google access disabled

API のカテゴリ名: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

検出結果の説明: クラスタのホストは、Google API にアクセスする際にプライベート内部 IP アドレスのみを使用するように構成されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

サブネットワークの privateIpGoogleAccess プロパティが false に設定されているかどうかを確認します。

  • 追加入力: ストレージからサブネットワークを読み取り、サブネットワークのあるクラスタの検出結果のみを報告します。
  • リアルタイム スキャン: あり。ただし、クラスタが更新された場合のみ(サブネットワークの更新は対象外)
Cluster secrets encryption disabled

API のカテゴリ名: CLUSTER_SECRETS_ENCRYPTION_DISABLED

検出結果の説明: アプリケーション レイヤでのシークレットの暗号化が GKE クラスタで無効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.3.1

databaseEncryption オブジェクトの keyName プロパティで、Key-Value ペア "state": ENCRYPTED を確認します。

  • リアルタイム スキャン: あり
Cluster shielded nodes disabled

API のカテゴリ名: CLUSTER_SHIELDED_NODES_DISABLED

検出結果の説明: シールドされた GKE ノードがクラスタで有効になっていません。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.5.5

shieldedNodes プロパティで Key-Value ペア "enabled": true を確認します。

  • リアルタイム スキャン: あり
COS not used

API のカテゴリ名: COS_NOT_USED

検出結果の説明: Compute Engine VM は、Google Cloud で Docker コンテナを安全に実行するための Container-Optimized OS を使用していません。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

ノードプールの config プロパティで Key-Value ペア "imageType": "COS" を確認します。

  • リアルタイム スキャン: あり
Integrity monitoring disabled

API のカテゴリ名: INTEGRITY_MONITORING_DISABLED

検出結果の説明: GKE クラスタの整合性モニタリングが無効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.5.6

nodeConfig オブジェクトの shieldedInstanceConfig プロパティで、Key-Value ペア "enableIntegrityMonitoring": true を確認します。

  • リアルタイム スキャン: あり
Intranode visibility disabled

API のカテゴリ名: INTRANODE_VISIBILITY_DISABLED

検出結果の説明: GKE クラスタで、ノード内の可視化が無効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.6.1

networkConfig プロパティで Key-Value ペア "enableIntraNodeVisibility": true を確認します。

  • リアルタイム スキャン: あり
IP alias disabled

API のカテゴリ名: IP_ALIAS_DISABLED

検出結果の説明: GKE クラスタが、エイリアス IP 範囲を無効にして作成されています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

クラスタ内の ipAllocationPolicyuseIPAliases フィールドが false に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
Legacy authorization enabled

API のカテゴリ名: LEGACY_AUTHORIZATION_ENABLED

検出結果の説明: 以前の承認が GKE クラスタで有効になっています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

クラスタの legacyAbac プロパティで Key-Value ペア "enabled": true を確認します。

  • リアルタイム スキャン: あり
Legacy metadata enabled

API のカテゴリ名: LEGACY_METADATA_ENABLED

検出結果の説明: 従来のメタデータが GKE クラスタで有効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.4.1

ノードプールの config プロパティで Key-Value ペア "disable-legacy-endpoints": "false" を確認します。

  • リアルタイム スキャン: あり
Master authorized networks disabled

API のカテゴリ名: MASTER_AUTHORIZED_NETWORKS_DISABLED

検出結果の説明: コントロール プレーンの承認済みネットワークが GKE クラスタで有効になっていません。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

クラスタの masterAuthorizedNetworksConfig プロパティで Key-Value ペア "enabled": false を確認します。

  • リアルタイム スキャン: あり
Network policy disabled

API のカテゴリ名: NETWORK_POLICY_DISABLED

検出結果の説明: GKE クラスタでネットワーク ポリシーが無効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

addonsConfig プロパティの networkPolicy フィールドで Key-Value ペア "disabled": true を確認します。

  • リアルタイム スキャン: あり
Nodepool boot CMEK disabled

API のカテゴリ名: NODEPOOL_BOOT_CMEK_DISABLED

検出結果の説明: このノードプール内のブートディスクは、顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

CMEK のリソース名についてノードプールの bootDiskKmsKey プロパティを確認します。

  • リアルタイム スキャン: あり
Nodepool secure boot disabled

API のカテゴリ名: NODEPOOL_SECURE_BOOT_DISABLED

検出結果の説明: GKE クラスタでセキュアブートが無効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.5.7

nodeConfig オブジェクトの shieldedInstanceConfig プロパティで、Key-Value ペア "enableSecureBoot": true を確認します。

  • リアルタイム スキャン: あり
Over privileged account

API のカテゴリ名: OVER_PRIVILEGED_ACCOUNT

検出結果の説明: サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

ノードプールの config プロパティを評価し、サービス アカウントが指定されていないかどうか、またはデフォルトのサービス アカウントが使用されているかどうかを確認します。

  • リアルタイム スキャン: あり
Over privileged scopes

API のカテゴリ名: OVER_PRIVILEGED_SCOPES

検出結果の説明: ノードのサービス アカウントに、広範なアクセス スコープが設定されています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
ノードプールの config.oauthScopes プロパティに表示されているアクセス スコープが、制限付きのサービス アカウント アクセス スコープ https://www.googleapis.com/auth/devstorage.read_onlyhttps://www.googleapis.com/auth/logging.write、または https://www.googleapis.com/auth/monitoring であるかどうかを確認します。
  • リアルタイム スキャン: あり
Pod security policy disabled

API のカテゴリ名: POD_SECURITY_POLICY_DISABLED

検出結果の説明: GKE クラスタで PodSecurityPolicy が無効になっています。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

クラスタの podSecurityPolicyConfig プロパティで Key-Value ペア "enabled": false を確認します。

  • 追加の IAM 権限: roles/container.clusterViewer
  • 追加入力: Pod セキュリティ ポリシーはベータ版の機能であるため、GKE からクラスタ情報を読み取ります。Kubernetes は、バージョン 1.21 の PodSecurityPolicy のサポートを終了しました。PodSecurityPolicy は、バージョン 1.25 をもって提供を終了する予定です。代替手段については、PodSecurityPolicy のサポートの終了をご覧ください。
  • リアルタイム スキャン: なし
Private cluster disabled

API のカテゴリ名: PRIVATE_CLUSTER_DISABLED

検出結果の説明: GKE クラスタで無効になっている限定公開クラスタが存在します。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

privateClusterConfig プロパティの enablePrivateNodes フィールドが false に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
Release channel disabled

API のカテゴリ名: RELEASE_CHANNEL_DISABLED

検出結果の説明: GKE クラスタはリリース チャンネルに登録されていません。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.5.4

releaseChannel プロパティで Key-Value ペア "channel": UNSPECIFIED を確認します。

  • リアルタイム スキャン: あり
Web UI enabled

API のカテゴリ名: WEB_UI_ENABLED

検出結果の説明: GKE ウェブ UI(ダッシュボード)が有効になっています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

addonsConfig プロパティの kubernetesDashboard フィールドで Key-Value ペア "disabled": false を確認します。

  • リアルタイム スキャン: あり
Workload Identity disabled

API のカテゴリ名: WORKLOAD_IDENTITY_DISABLED

検出結果の説明: Workload Identity が GKE クラスタで無効になっています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.2.2

クラスタの workloadIdentityConfig プロパティが設定されているかどうかを確認します。また、ノードプールの workloadMetadataConfig プロパティが GKE_METADATA に設定されているかどうかも確認します。

  • 追加の IAM 権限: roles/container.clusterViewer
  • リアルタイム スキャン: あり

Dataproc の脆弱性の検出

この検出機能の脆弱性はすべて Dataproc に関連しており、DATAPROC_SCANNER 検出機能タイプに属します。

表 6. Dataproc スキャナ
検出機能 概要 アセットのスキャン設定
Dataproc CMEK disabled

API のカテゴリ名: DATAPROC_CMEK_DISABLED

検出結果の説明: Dataproc クラスタが暗号化構成 CMEK なしで作成されました。CMEK を使用すると、Cloud Key Management Service で作成、管理する鍵は、Google Cloud がデータの暗号化に使用する鍵をラップするため、データへのアクセスをより細かく制御できます。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
dataproc.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

encryptionConfiguration プロパティの kmsKeyName フィールドが空かどうかを確認します。

  • リアルタイム スキャン: あり
Dataproc image outdated

API のカテゴリ名: DATAPROC_IMAGE_OUTDATED

検出結果の説明: Dataproc クラスタは、Apache Log4j 2 ユーティリティのセキュリティ脆弱性(CVE-2021-44228 および CVE-2021-45046)の影響を受ける Dataproc イメージ バージョンで作成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
dataproc.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Clusterconfig プロパティの softwareConfig.imageVersion フィールドが 1.3.95 より前かどうかを確認します。また、1.4.77、1.5.53、2.0.27 より前のサブマイナー イメージ バージョンかどうかを確認します。

  • リアルタイム スキャン: あり

データセットの脆弱性の検出

この検出機能タイプの脆弱性はすべて BigQuery データセットの構成に関連し、DATASET_SCANNER 検出機能タイプに属します。

表 7. データセットのスキャナ
検出機能 概要 アセットのスキャン設定
BigQuery table CMEK disabled

API のカテゴリ名: BIGQUERY_TABLE_CMEK_DISABLED

検出結果の説明: BigQuery テーブルが、顧客管理の暗号鍵(CMEK)を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
bigquery.googleapis.com/Table

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

encryptionConfiguration プロパティの kmsKeyName フィールドが空かどうかを確認します。

  • リアルタイム スキャン: あり
Dataset CMEK disabled

API のカテゴリ名: DATASET_CMEK_DISABLED

検出結果の説明: BigQuery データセットが、デフォルトの CMEK を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
bigquery.googleapis.com/Dataset

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

defaultEncryptionConfiguration プロパティの kmsKeyName フィールドが空かどうかを確認します。

  • リアルタイム スキャン: なし
Public dataset

API のカテゴリ名: PUBLIC_DATASET

検出結果の説明: データセットが公開アクセスを許可するように構成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
bigquery.googleapis.com/Dataset

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル allUsers または allAuthenticatedUsers を確認します。

  • リアルタイム スキャン: あり

DNS の脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud DNS 構成に関連し、DNS_SCANNER 検出機能タイプに属します。

表 8. DNS のスキャナ
検出機能 概要 アセットのスキャン設定
DNSSEC disabled

API のカテゴリ名: DNSSEC_DISABLED

検出結果の説明: Cloud DNS ゾーンで DNSSEC が無効になっています。

料金ティア: プレミアム

サポートされているアセット
dns.googleapis.com/ManagedZone

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

dnssecConfig プロパティの state フィールドが off に設定されているかどうかを確認します。

  • スキャン対象外のアセット: 一般公開されていない Cloud DNS ゾーン
  • リアルタイム スキャン: あり
RSASHA1 for signing

API のカテゴリ名: RSASHA1_FOR_SIGNING

検出結果の説明: RSASHA1 が Cloud DNS ゾーンの鍵署名に使用されています。

料金ティア: プレミアム

サポートされているアセット
dns.googleapis.com/ManagedZone

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

dnssecConfig プロパティの defaultKeySpecs.algorithm オブジェクトが rsasha1 に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり

ファイアウォールの脆弱性の検出

この検出機能タイプの脆弱性はすべてファイアウォール構成に関連し、FIREWALL_SCANNER 検出機能タイプに属します。

表 9. ファイアウォールのスキャナ
検出機能 概要 アセットのスキャン設定
Egress deny rule not set

API のカテゴリ名: EGRESS_DENY_RULE_NOT_SET

検出結果の説明: ファイアウォールに下り(外向き)拒否ルールが設定されていません。不要なアウトバウンド トラフィックをブロックするには、下り(外向き)拒否ルールを設定する必要があります。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 7.2

ファイアウォールの destinationRanges プロパティが 0.0.0.0/0 に設定されているかどうかと、denied プロパティに Key-Value ペア "IPProtocol": "all" が含まれているかどうかを確認します。

  • 追加入力: ストレージからプロジェクトの下り(外向き)ファイアウォールを読み取ります。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ファイアウォール ルールの変更は対象外)。
Firewall rule logging disabled

API のカテゴリ名: FIREWALL_RULE_LOGGING_DISABLED

検出結果の説明: ファイアウォール ルールのロギングが無効になっています。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの logConfig プロパティが空か、Key-Value ペア "enable": false が含まれているかどうかを確認します。

Open Cassandra port

API のカテゴリ名: OPEN_CASSANDRA_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン Cassandra ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open ciscosecure websm port

API のカテゴリ名: OPEN_CISCOSECURE_WEBSM_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン CISCOSECURE_WEBSM ポートが構成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:9090 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open directory services port

API のカテゴリ名: OPEN_DIRECTORY_SERVICES_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DIRECTORY_SERVICES ポートが構成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:445UDP:445)を確認します。

  • リアルタイム スキャン: あり
Open DNS port

API のカテゴリ名: OPEN_DNS_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DNS ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:53UDP:53)を確認します。

  • リアルタイム スキャン: あり
Open elasticsearch port

API のカテゴリ名: OPEN_ELASTICSEARCH_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ELASTICSEARCH ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:9200, 9300 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open firewall

API のカテゴリ名: OPEN_FIREWALL

検出結果の説明: ファイアウォールが公開のアクセスを許可するように構成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 1.2.1

sourceRanges プロパティと allowed プロパティに、次のいずれかの構成が含まれていることを確認します。

  • sourceRanges プロパティには 0.0.0.0/0 が含まれ、allowed プロパティに protocol または protocol:port を含むルールの組み合わせが含まれます。ただし、次のものは除きます。
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • sourceRanges プロパティには、パブリック IP アドレスを含む IP 範囲の組み合わせが含まれます。allowed プロパティには、すべての tcp ポートまたはすべての udp ポートを許可するルールの組み合わせが含まれます。
Open FTP port

API のカテゴリ名: OPEN_FTP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン FTP ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:21 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open HTTP port

API のカテゴリ名: OPEN_HTTP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン HTTP ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:80 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open LDAP port

API のカテゴリ名: OPEN_LDAP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン LDAP ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:389, 636UDP:389)を確認します。

  • リアルタイム スキャン: あり
Open Memcached port

API のカテゴリ名: OPEN_MEMCACHED_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MEMCACHED ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:11211, 11214-11215UDP:11211, 11214-11215)を確認します。

  • リアルタイム スキャン: あり
Open MongoDB port

API のカテゴリ名: OPEN_MONGODB_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MONGODB ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:27017-27019 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open MySQL port

API のカテゴリ名: OPEN_MYSQL_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MYSQL ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:3306 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open NetBIOS port

API のカテゴリ名: OPEN_NETBIOS_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン NETBIOS ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:137-139UDP:137-139)を確認します。

  • リアルタイム スキャン: あり
Open OracleDB port

API のカテゴリ名: OPEN_ORACLEDB_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ORACLEDB ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:1521, 2483-2484UDP:2483-2484)を確認します。

  • リアルタイム スキャン: あり
Open pop3 port

API のカテゴリ名: OPEN_POP3_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン POP3 ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:110 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open PostgreSQL port

API のカテゴリ名: OPEN_POSTGRESQL_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン PostgreSQL ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:5432UDP:5432)を確認します。

  • リアルタイム スキャン: あり
Open RDP port

API のカテゴリ名: OPEN_RDP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン RDP ポートが構成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:3389UDP:3389)を確認します。

  • リアルタイム スキャン: あり
Open Redis port

API のカテゴリ名: OPEN_REDIS_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン REDIS ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティに、TCP:6379 のプロトコルとポートが含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Open SMTP port

API のカテゴリ名: OPEN_SMTP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SMTP ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティに、TCP:25 のプロトコルとポートが含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Open SSH port

API のカテゴリ名: OPEN_SSH_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SSH ポートが構成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

ファイアウォール メタデータの allowed プロパティに、プロトコルとポート(TCP:22SCTP:22)が含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Open Telnet port

API のカテゴリ名: OPEN_TELNET_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン TELNET ポートが構成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティに、TCP:23 のプロトコルとポートが含まれているかどうかを確認します。

  • リアルタイム スキャン: あり

IAM の脆弱性の検出

この検出機能タイプの脆弱性はすべて Identity and Access Management(IAM)の構成に関連し、IAM_SCANNER 検出機能タイプに属します。

表 10. IAM のスキャナ
検出機能 概要 アセットのスキャン設定
Access Transparency disabled

API のカテゴリ名: ACCESS_TRANSPARENCY_DISABLED

検出結果の説明: 組織で Google Cloud アクセスの透明性が無効になっています。アクセスの透明性では、Google Cloud の従業員が組織内のプロジェクトにアクセスしてサポートを提供した時間が記録されます。アクセスの透明性を有効にして、Google Cloud の従業員がお客様の情報にアクセスした日時と理由を記録します。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

組織でアクセスの透明性が有効になっているかどうかを確認します。

  • リアルタイム スキャン: なし
Admin service account

API のカテゴリ名: ADMIN_SERVICE_ACCOUNT

検出結果の説明: サービス アカウントに、管理者オーナー、または編集者の権限が付与されています。これらのロールは、ユーザーが作成するサービス アカウントに割り当てないでください。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

リソース メタデータの IAM 許可ポリシーで、ユーザーが作成した任意のサービス アカウント(接頭辞 iam.gserviceaccount.com が付いています)に roles/Ownerroles/Editor、または admin を含むロール ID が割り当てられているかどうか確認します。

  • スキャン対象外のアセット: Container Registry サービス アカウント(containerregistry.iam.gserviceaccount.com)と Security Command Center サービス アカウント(security-center-api.iam.gserviceaccount.com
  • リアルタイム スキャン: あり(フォルダの IAM 更新が完了している場合を除く)
Essential Contacts Not Configured

API のカテゴリ名: ESSENTIAL_CONTACTS_NOT_CONFIGURED

検出結果の説明: 組織で、Google Cloud 組織内の攻撃、脆弱性、データ インシデントなどの重要なイベントに関する通知を Google Cloud から受け取る個人またはグループが指定されていません。組織の 1 人以上の個人またはグループをエッセンシャル コンタクトとして指定することをおすすめします。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

以下のエッセンシャル コンタクトのカテゴリで連絡先が指定されていることを確認します。

  • 法務
  • セキュリティ
  • 停止
  • 技術

  • リアルタイム スキャン: なし
KMS role separation

API のカテゴリ名: KMS_ROLE_SEPARATION

検出結果の説明: 職掌分散が適用されていません。暗号鍵の暗号化 / 復号暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
リソース メタデータの IAM 許可ポリシーを確認し、roles/cloudkms.cryptoKeyEncrypterDecrypterroles/cloudkms.cryptoKeyEncrypterroles/cloudkms.cryptoKeyDecrypterroles/cloudkms.signerroles/cloudkms.signerVerifierroles/cloudkms.publicKeyViewer のいずれかのロールが同時に割り当てられているプリンシパルを取得します。
  • リアルタイム スキャン: あり
Non org IAM member

API のカテゴリ名: NON_ORG_IAM_MEMBER

検出結果の説明: 組織の認証情報を使用していないユーザーが存在します。現在 CIS GCP Foundations 1.0 では、この検出機能は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

IAM の許可ポリシー メタデータの user フィールド内の @gmail.com メールアドレスと、組織の承認済み ID のリストを比較します。

  • リアルタイム スキャン: あり
Open group IAM member

API のカテゴリ名: OPEN_GROUP_IAM_MEMBER

検出結果の説明: 承認なしで結合できる Google グループ アカウントは、IAM 許可ポリシーのプリンシパルとして使用されます。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

リソース メタデータの IAM ポリシーで、接頭辞 group が付いているメンバー(プリンシパル)を含むバインディングを確認します。グループがオープン グループの場合、Security Health Analytics はこの検出結果を生成します。
  • 追加の入力: Google グループのメタデータを読み取り、識別されたグループがオープン グループかどうか確認します。
  • リアルタイム スキャン: なし
Over privileged service account user

API のカテゴリ名: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

検出結果の説明: ユーザーに、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを付与されています。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
リソース メタデータの IAM 許可ポリシーで、プロジェクト レベルの roles/iam.serviceAccountUser または roles/iam.serviceAccountTokenCreator が割り当てられているプリンシパルを確認します。
  • スキャン対象外のアセット: Cloud Build サービス アカウント
  • リアルタイム スキャン: あり
Primitive roles used

API のカテゴリ名: PRIMITIVE_ROLES_USED

検出結果の説明: ユーザーに次のいずれかの基本ロールが付与されています。

  • オーナーroles/owner
  • 編集者roles/editor
  • 閲覧者roles/viewer

これらのロールには過剰な権限が付与されるため、使用を回避する必要があります。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

リソース メタデータの IAM 許可ポリシーで、roles/ownerroles/editor、または roles/viewer のロールが割り当てられているプリンシパルを確認します。

  • リアルタイム スキャン: あり
Redis role used on org

API のカテゴリ名: REDIS_ROLE_USED_ON_ORG

検出結果の説明: Redis IAM ロールが、組織レベルまたはフォルダレベルで割り当てられます。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

リソース メタデータの IAM 許可ポリシーで、組織またはフォルダレベルで roles/redis.adminroles/redis.editorroles/redis.viewer が割り当てられているプリンシパルを確認します。

  • リアルタイム スキャン: あり
Service account role separation

API のカテゴリ名: SERVICE_ACCOUNT_ROLE_SEPARATION

検出結果の説明: ユーザーにサービス アカウント管理者サービス アカウント ユーザーのロールが割り当てられています。これは「職掌分散」の原則に違反しています。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
リソース メタデータの IAM 許可ポリシーで、roles/iam.serviceAccountUserroles/iam.serviceAccountAdmin の両方が割り当てられているプリンシパルを確認します。
  • リアルタイム スキャン: あり
Service account key not rotated

API のカテゴリ名: SERVICE_ACCOUNT_KEY_NOT_ROTATED

検出結果の説明: サービス アカウント キーは 90 日以上ローテーションされていません。

料金ティア: プレミアム

サポートされているアセット
iam.googleapis.com/ServiceAccountKey

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

サービス アカウントのキーメタデータの validAfterTime プロパティで、取得された鍵作成タイムスタンプを評価します。

  • スキャン対象外のアセット: 期限切れのサービス アカウント キーとユーザーが管理しないキー
  • リアルタイム スキャン: あり
User managed service account key

API のカテゴリ名: USER_MANAGED_SERVICE_ACCOUNT_KEY

検出結果の説明: ユーザーがサービス アカウント キーを管理しています。

料金ティア: プレミアム

サポートされているアセット
iam.googleapis.com/ServiceAccountKey

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

サービス アカウント キー メタデータの keyType プロパティが User_Managed に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり

KMS の脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud KMS 構成に関連し、KMS_SCANNER 検出機能タイプに属します。

表 11. KMS のスキャナ
検出機能 概要 アセットのスキャン設定
KMS key not rotated

API のカテゴリ名: KMS_KEY_NOT_ROTATED

検出結果の説明: Cloud KMS 暗号鍵にローテーションが構成されていません。暗号鍵は 90 日以内にローテーションする必要があります。

料金ティア: プレミアム

サポートされているアセット
cloudkms.googleapis.com/CryptoKey

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

リソース メタデータで rotationPeriod プロパティまたは nextRotationTime プロパティが存在するかどうかを確認します。

  • スキャン対象外のアセット: 非対称鍵、メイン バージョンが無効化または破棄されたキー
  • リアルタイム スキャン: あり
KMS project has owner

API のカテゴリ名: KMS_PROJECT_HAS_OWNER

検出結果の説明: 暗号鍵が含まれるプロジェクトに対するオーナー権限がユーザーに付与されています。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

プロジェクト メタデータの IAM 許可ポリシーで、roles/Owner を割り当てられたプリンシパルを確認します。

  • 追加入力: ストレージからプロジェクトの暗号鍵を読み取り、暗号鍵を持つプロジェクトの検出結果のみを報告します。
  • リアルタイム スキャン: あり。ただし、IAM 許可ポリシーの変更のみが対象(KMS 鍵の変更は対象外)
KMS public key

API のカテゴリ名: KMS_PUBLIC_KEY

検出結果の説明: Cloud KMS 暗号鍵は一般公開されています。

料金ティア: プレミアム

サポートされているアセット
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル allUsers または allAuthenticatedUsers を確認します。

  • リアルタイム スキャン: あり
Too many KMS users

API のカテゴリ名: TOO_MANY_KMS_USERS

検出結果の説明: 暗号鍵のユーザーが 3 人を超えています。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudkms.googleapis.com/CryptoKey

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
IAM 許可ポリシーでキーリング、プロジェクト、組織を確認し、Cloud KMS 鍵を使用してデータの暗号化、復号、または署名ができるロール(roles/ownerroles/cloudkms.cryptoKeyEncrypterDecrypterroles/cloudkms.cryptoKeyEncrypterroles/cloudkms.cryptoKeyDecrypterroles/cloudkms.signerroles/cloudkms.signerVerifier)を持つプリンシパルを取得します。
  • 追加入力: ストレージから暗号鍵の暗号鍵バージョンを読み取り、アクティブなバージョンを持つ鍵についてのみ検出結果を報告します。検出機能によって、ストレージからキーリング、プロジェクト、組織の IAM 許可ポリシーも読み取られます。
  • リアルタイム スキャン: あり

ロギングの脆弱性の検出

この検出機能タイプの脆弱性はすべてロギング構成に関連し、LOGGING_SCANNER 検出機能タイプに属します。

表 12. ロギングのスキャナ
検出機能 概要 アセットのスキャン設定
Audit logging disabled

API のカテゴリ名: AUDIT_LOGGING_DISABLED

検出結果の説明: このリソースの監査ロギングが無効になっています。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

リソース メタデータの IAM 許可ポリシーで、auditLogConfigs オブジェクトが存在するかどうか確認します。

  • リアルタイム スキャン: あり
Bucket logging disabled

API のカテゴリ名: BUCKET_LOGGING_DISABLED

検出結果の説明: ロギングが有効になっていないストレージ バケットがあります。

料金ティア: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 5.3

バケットの logging プロパティの logBucket フィールドが空かどうかを確認します。

  • リアルタイム スキャン: あり
Locked retention policy not set

API のカテゴリ名: LOCKED_RETENTION_POLICY_NOT_SET

検出結果の説明: ロックされた保持ポリシーがログに設定されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

バケットの retentionPolicy プロパティの isLocked フィールドが true に設定されているかどうかを確認します。

  • 追加入力: バケットのログシンク(ログフィルタとログの宛先)を読み取り、ログバケットであるかどうかを確認します。
  • リアルタイム スキャン: あり
Log not exported

API のカテゴリ名: LOG_NOT_EXPORTED

検出結果の説明: 適切なログシンクが構成されていないリソースがあります。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

プロジェクトの logSink オブジェクトを取得し、includeChildren フィールドが true に設定されており、destination フィールドにログの書き込み先が含まれ、filter フィールドに値が設定されていることを確認します。

  • 追加入力: バケットのログシンク(ログフィルタとログの宛先)を読み取り、ログバケットであるかどうかを確認します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(フォルダまたは組織でログのエクスポートが設定されている場合を除く)
Object versioning disabled

API のカテゴリ名: OBJECT_VERSIONING_DISABLED

検出結果の説明: シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

バケットの versioning プロパティの enabled フィールドが true に設定されているかどうかを確認します。

  • スキャン対象外のアセット: 保持ポリシーがロックされている Cloud Storage バケット
  • 追加入力: バケットのログシンク(ログフィルタとログの宛先)を読み取り、ログバケットであるかどうかを確認します。
  • リアルタイム スキャン: あり。ただし、オブジェクト バージョニングが変更された場合(ログバケットが作成された場合を除く)

モニタリングの脆弱性の検出

この検出機能タイプの脆弱性はすべてモニタリング構成に関連し、MONITORING_SCANNER タイプに属します。すべてのモニタリング検出機能の検出結果プロパティには、以下のものが含まれます。

  • ログ指標の作成に使用する RecommendedLogFilter
  • 推奨されるログフィルタに記述されている条件に対応する QualifiedLogMetricNames
  • プロジェクトで適格なログ指標のいずれかに対してアラート ポリシーが作成されていないかどうか、または既存のアラート ポリシーに推奨設定が存在しないかどうかを表す AlertPolicyFailureReasons
表 13. モニタリングのスキャナ
検出機能 概要 アセットのスキャン設定
Audit config not monitored

API のカテゴリ名: AUDIT_CONFIG_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* に設定されているかを確認します。resource.type が指定されている場合は値が global かどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ログ指標とアラートの変更は対象外)
Bucket IAM not monitored

API のカテゴリ名: BUCKET_IAM_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions" に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ログ指標とアラートの変更は対象外)
Custom role not monitored

API のカテゴリ名: CUSTOM_ROLE_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ログ指標とアラートの変更は対象外)
Firewall not monitored

API のカテゴリ名: FIREWALL_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、Virtual Private Cloud(VPC)ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ログ指標とアラートの変更は対象外)
Network not monitored

API のカテゴリ名: NETWORK_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ログ指標とアラートの変更は対象外)
Owner not monitored

API のカテゴリ名: OWNER_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、プロジェクト所有権の割り当てまたは変更をモニタリングするように構成されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
プロジェクトの LogsMetric リソースの filter プロパティが (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ログ指標とアラートの変更は対象外)
Route not monitored

API のカテゴリ名: ROUTE_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ログ指標とアラートの変更は対象外)
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、Cloud SQL インスタンスの構成変更をモニタリングするように構成されていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ログ指標とアラートの変更は対象外)

多要素認証の検出

MFA_SCANNER 検出機能は、ユーザーの多要素認証に関連する脆弱性を識別します。

表 14. 多要素認証スキャナ
検出機能 概要 アセットのスキャン設定
MFA not enforced

API のカテゴリ名: MFA_NOT_ENFORCED

2 段階認証プロセスを使用していないユーザーが存在します。

Google Workspace では、新規ユーザーのために 2 段階認証プロセスで登録する必要がある猶予期間を指定できます。この検出機能は、登録猶予期間中にユーザーの検出結果を作成します。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

組織の ID 管理ポリシーと、Cloud Identity の管理対象アカウントのユーザー設定を評価します。

  • スキャン対象外のアセット: ポリシーに対する例外が許可された組織部門
  • 追加入力: Google Workspace からデータを読み取ります。
  • リアルタイム スキャン: なし

ネットワークの脆弱性の検出

この検出機能タイプの脆弱性はすべて組織のネットワーク構成に関連し、NETWORK_SCANNER タイプに属します。

表 15. ネットワークのスキャナ
検出機能 概要 アセットのスキャン設定
Default network

API のカテゴリ名: DEFAULT_NETWORK

検出結果の説明: プロジェクトにデフォルト ネットワークが存在します。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Network

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

ネットワーク メタデータの name プロパティが default に設定されているかどうかを確認します。

  • スキャン対象外のアセット: Compute Engine API が無効になっており、Compute Engine リソースが使用不能な状態にあるプロジェクト
  • リアルタイム スキャン: あり
DNS logging disabled

API のカテゴリ名: DNS_LOGGING_DISABLED

検出結果の説明: VPC ネットワーク上の DNS ロギングが有効になっていません。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Network
dns.googleapis.com/Policy

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

networks[].networkUrl フィールドを使用して、VPC ネットワークに関連付けられているすべての policies をチェックし、enableLoggingtrue に設定されているポリシーを 1 つ以上探します。

  • スキャン対象外のアセット: Compute Engine API が無効になっており、Compute Engine リソースが使用不能な状態にあるプロジェクト
  • リアルタイム スキャン: あり
Legacy network

API のカテゴリ名: LEGACY_NETWORK

検出結果の説明: プロジェクトにレガシー ネットワークが存在します。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Network

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

ネットワーク メタデータで、IPv4Range プロパティの存在を確認します。

  • スキャン対象外のアセット: Compute Engine API が無効になっており、Compute Engine リソースが使用不能な状態にあるプロジェクト
  • リアルタイム スキャン: あり
Load balancer logging disabled

API のカテゴリ名: LOAD_BALANCER_LOGGING_DISABLED

検出結果の説明: ロードバランサに対して Logging が無効になっています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/BackendServices

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

ロードバランサのバックエンド サービスの enableLogging プロパティが true に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり

組織のポリシーの脆弱性の検出

この検出機能タイプの脆弱性はすべて組織のポリシーの制約の構成に関連し、ORG_POLICY タイプに属します。

表 16. 組織ポリシーのスキャナ
検出機能 概要 アセットのスキャン設定
Org policy Confidential VM policy

API のカテゴリ名: ORG_POLICY_CONFIDENTIAL_VM_POLICY

検出結果の説明: Compute Engine リソースが constraints/compute.restrictNonConfidentialComputing 組織ポリシーを遵守していません。この組織ポリシーの制約の詳細については、Confidential VMs での組織ポリシーの制約の適用をご覧ください。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Compute Engine インスタンスの enableConfidentialCompute プロパティが true に設定されているかどうかを確認します。

  • スキャン対象外のアセット: GKE インスタンス
  • 追加の IAM 権限: permissions/orgpolicy.policy.get
  • 追加入力: 組織ポリシー サービスから有効な組織ポリシーを読み取ります。
  • リアルタイム スキャン: なし
Org policy location restriction

API のカテゴリ名: ORG_POLICY_LOCATION_RESTRICTION

検出結果の説明: Compute Engine リソースが constraints/gcp.resourceLocations 制約を遵守していません。この組織ポリシーの制約の詳細については、組織ポリシーの制約の適用をご覧ください。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

料金ティア: プレミアム

サポートされているアセット
次の行の ORG_POLICY_LOCATION_RESTRICTION 用にサポートされているアセットをご覧ください。

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

サポートされているリソースのメタデータの listPolicy プロパティで、許可または拒否されているロケーションのリストを確認します。

  • 追加の IAM 権限: permissions/orgpolicy.policy.get
  • 追加入力: 組織ポリシー サービスから有効な組織ポリシーを読み取ります。
  • リアルタイム スキャン: なし

ORG_POLICY_LOCATION_RESTRICTION でサポートされているアセット

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/DataLabelingJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Cloud KMS アセットが削除できないためにアセットのデータが破棄された場合、対象のアセットはリージョン外に存在するとみなされません。

2 Cloud KMS インポート ジョブに制御対象のライフサイクルが設定され、早期に終了できないため、ジョブが期限切れになり、鍵のインポートに使用できなくなった場合、ImportJob はリージョン外に存在するとみなされません。

3 Dataflow ジョブのライフサイクルは管理できないため、ジョブが終了状態(停止、または破棄された状態)に達し、データの処理に使用できなくなった場合、リージョン外に存在するとみなされません。

Pub/Sub の脆弱性の検出

この検出機能タイプの脆弱性はすべて Pub/Sub 構成に関連し、PUBSUB_SCANNER タイプに属します。

表 17. Pub/Sub スキャナ
検出機能 概要 アセットのスキャン設定
Pubsub CMEK disabled

API のカテゴリ名: PUBSUB_CMEK_DISABLED

検出結果の説明: Pub/Sub トピックが顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
pubsub.googleapis.com/Topic

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

kmsKeyName フィールドで CMEK のリソース名を確認します。

  • リアルタイム スキャン: あり

SQL の脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud SQL の構成に関連し、SQL_SCANNER タイプに属します。

表 18. SQL のスキャナ
検出機能 概要 アセットのスキャン設定
AlloyDB auto backup disabled

API のカテゴリ名: ALLOYDB_AUTO_BACKUP_DISABLED

検出結果の説明: AlloyDB for PostgreSQL クラスタで自動バックアップが有効になっていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: CP-9
  • ISO-27001 v2013: A.12.3.1
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

AlloyDB for PostgreSQL クラスタのメタデータ内の automated_backup_policy.enabled プロパティが true に設定されているかどうかを確認します。

  • スキャンから除外されたアセット: AlloyDB for PostgreSQL セカンダリ クラスタ
  • リアルタイム スキャン: あり
AlloyDB log min error statement severity

API のカテゴリ名: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

検出結果の説明: AlloyDB for PostgreSQL インスタンスの log_min_error_statement データベース フラグが、error または別の推奨値に設定されていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Instances

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

ログ内のメッセージ タイプが網羅されるように、databaseFlags プロパティの log_min_error_statement フィールドが debug5debug4debug3debug2debug1infonoticewarning、またはデフォルト値 error のいずれかの値に設定されていない場合は、検出結果を生成してください。

  • リアルタイム スキャン: あり
AlloyDB log min messages

API のカテゴリ名: ALLOYDB_LOG_MIN_MESSAGES

検出結果の説明: AlloyDB for PostgreSQL インスタンスの log_min_messages データベース フラグが、warning または別の推奨値に設定されていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Instances

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

ログ内のメッセージ タイプが網羅されるように、databaseFlags プロパティの log_min_messages フィールドが debug5debug4debug3debug2debug1infonotice、またはデフォルト値 warning のいずれかの値に設定されていない場合は、検出結果を生成してください。

  • リアルタイム スキャン: あり
AlloyDB log error verbosity

API のカテゴリ名: ALLOYDB_LOG_ERROR_VERBOSITY

検出結果の説明: AlloyDB for PostgreSQL インスタンスの log_error_verbosity データベース フラグが、default または別の推奨値に設定されていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Instances

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

ログ内のメッセージ タイプが網羅されるように、databaseFlags プロパティの log_error_verbosity フィールドが verbose またはデフォルト値 default のいずれかに設定されていない場合は、検出結果を生成してください。

  • リアルタイム スキャン: あり
Auto backup disabled

API のカテゴリ名: AUTO_BACKUP_DISABLED

検出結果の説明: Cloud SQL データベースで自動バックアップが有効になっていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Cloud SQL データの backupConfiguration.enabled プロパティが true に設定されているかどうかを確認します。

  • スキャン対象外のアセット: Cloud SQL のレプリカ
  • 追加入力: Security Health Analytics アセット ストレージから祖先の IAM 許可ポリシーを読み取ります。
  • リアルタイム スキャン: あり
Public SQL instance

API のカテゴリ名: PUBLIC_SQL_INSTANCE

検出結果の説明: Cloud SQL データベース インスタンスは、すべての IP アドレスからの接続を受け入れます。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Cloud SQL インスタンスの authorizedNetworks プロパティが単一の IP アドレスまたは IP アドレス範囲に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SSL not enforced

API のカテゴリ名: SSL_NOT_ENFORCED

検出結果の説明: Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Cloud SQL インスタンスの sslMode プロパティが、承認済みの SSL モード(ENCRYPTED_ONLY または TRUSTED_CLIENT_CERTIFICATE_REQUIRED)に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL CMEK disabled

API のカテゴリ名: SQL_CMEK_DISABLED

検出結果の説明: SQL データベース インスタンスが、顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

インスタンス メタデータの diskEncryptionKey オブジェクトの kmsKeyName フィールドで、CMEK のリソース名を確認します。

  • リアルタイム スキャン: あり
SQL contained database authentication

API のカテゴリ名: SQL_CONTAINED_DATABASE_AUTHENTICATION

検出結果の説明: Cloud SQL for SQL Server インスタンスの contained database authentication データベース フラグが off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "contained database authentication""value": "on" を確認します。または、このプロパティがデフォルトで有効になっているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL cross DB ownership chaining

API のカテゴリ名: SQL_CROSS_DB_OWNERSHIP_CHAINING

検出結果の説明: Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "cross_db_ownership_chaining""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL external scripts enabled

API のカテゴリ名: SQL_EXTERNAL_SCRIPTS_ENABLED

検出結果の説明: Cloud SQL for SQL Server インスタンスの external scripts enabled データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "external scripts enabled""value": "off" を確認します。

  • リアルタイム スキャン: あり
SQL local infile

API のカテゴリ名: SQL_LOCAL_INFILE

検出結果の説明: Cloud SQL for MySQL インスタンスの local_infile データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "local_infile""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log checkpoints disabled

API のカテゴリ名: SQL_LOG_CHECKPOINTS_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_checkpoints データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_checkpoints""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log connections disabled

API のカテゴリ名: SQL_LOG_CONNECTIONS_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_connections データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_connections""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log disconnections disabled

API のカテゴリ名: SQL_LOG_DISCONNECTIONS_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_disconnections データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_disconnections""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log duration disabled

API のカテゴリ名: SQL_LOG_DURATION_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_duration データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.5

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_duration""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log error verbosity

API のカテゴリ名: SQL_LOG_ERROR_VERBOSITY

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_error_verbosity データベース フラグが default またはverbose に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

log_error_verbosity フィールドのインスタンス メタデータの databaseFlags プロパティが、default または verbose に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log lock waits disabled

API のカテゴリ名: SQL_LOG_LOCK_WAITS_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_lock_waits データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_lock_waits""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log min duration statement enabled

API のカテゴリ名: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_min_duration_statement データベース フラグが「-1」に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_min_duration_statement""value": "-1" を確認します。

  • リアルタイム スキャン: あり
SQL log min error statement

API のカテゴリ名: SQL_LOG_MIN_ERROR_STATEMENT

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグが適切に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.5

databaseFlags プロパティの log_min_error_statement フィールドが、debug5debug4debug3debug2debug1infonoticewarning、またはデフォルト値 error のいずれかに設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log min error statement severity

API のカテゴリ名: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグに適切な重大度レベルが設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

databaseFlags プロパティの log_min_error_statement フィールドが、errorlogfatalpanic のいずれかの値に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log min messages

API のカテゴリ名: SQL_LOG_MIN_MESSAGES

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_min_messages データベース フラグが、warning または別の推奨値に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

ログ内のメッセージ タイプが網羅されるように、databaseFlags プロパティの log_min_messages フィールドが debug5debug4debug3debug2debug1infonotice、またはデフォルト値 warning のいずれかの値に設定されていない場合は、検出結果を生成してください。

  • リアルタイム スキャン: あり
SQL log executor stats enabled

API のカテゴリ名: SQL_LOG_EXECUTOR_STATS_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_executor_stats データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.11

log_executor_stats フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log hostname enabled

API のカテゴリ名: SQL_LOG_HOSTNAME_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_hostname データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.8

log_hostname フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log parser stats enabled

API のカテゴリ名: SQL_LOG_PARSER_STATS_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_parser_stats データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.9

log_parser_stats フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log planner stats enabled

API のカテゴリ名: SQL_LOG_PLANNER_STATS_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_planner_stats データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.10

log_planner_stats フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log statement

API のカテゴリ名: SQL_LOG_STATEMENT

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_statement データベース フラグが ddl(すべてのデータ定義ステートメント)に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

log_statement フィールドのインスタンス メタデータの databaseFlags プロパティが、ddl に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log statement stats enabled

API のカテゴリ名: SQL_LOG_STATEMENT_STATS_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_statement_stats データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.12

log_statement_stats フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log temp files

API のカテゴリ名: SQL_LOG_TEMP_FILES

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_temp_files データベース フラグが「0」に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_temp_files""value": "0" を確認します。

  • リアルタイム スキャン: あり
SQL no root password

API のカテゴリ名: SQL_NO_ROOT_PASSWORD

検出結果の説明: パブリック IP アドレスを持つ Cloud SQL データベースで、root アカウントのパスワードが構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

ルート アカウントの rootPassword プロパティが空かどうかを確認します。

  • 追加の IAM 権限: roles/cloudsql.client
  • 追加入力: ライブ インスタンスにクエリを実行します。
  • リアルタイム スキャン: なし
SQL public IP

API のカテゴリ名: SQL_PUBLIC_IP

検出結果の説明: Cloud SQL データベースにパブリック IP アドレスが割り振られています。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Cloud SQL データベースの IP アドレスタイプがパブリックであることを示す Primary に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL remote access enabled

API のカテゴリ名: SQL_REMOTE_ACCESS_ENABLED

検出結果の説明: Cloud SQL for SQL Server インスタンスの remote access データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "remote access""value": "off" を確認します。

  • リアルタイム スキャン: あり
SQL skip show database disabled

API のカテゴリ名: SQL_SKIP_SHOW_DATABASE_DISABLED

検出結果の説明: Cloud SQL for MySQL インスタンスの skip_show_database データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "skip_show_database""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL trace flag 3625

API のカテゴリ名: SQL_TRACE_FLAG_3625

検出結果の説明: Cloud SQL for SQL Server インスタンスの 3625 (trace flag) データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "3625 (trace flag)""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL user connections configured

API のカテゴリ名: SQL_USER_CONNECTIONS_CONFIGURED

検出結果の説明: Cloud SQL for SQL Server インスタンスの user connections データベース フラグが構成されています。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "user connections""value": "0" を確認します。

  • リアルタイム スキャン: あり
SQL user options configured

API のカテゴリ名: SQL_USER_OPTIONS_CONFIGURED

検出結果の説明: Cloud SQL for SQL Server インスタンスの user options データベース フラグが構成されています。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "user options""value": ""(空)を確認します。

  • リアルタイム スキャン: あり
SQL weak root password

API のカテゴリ名: SQL_WEAK_ROOT_PASSWORD

検出結果の説明: パブリック IP アドレスを持つ Cloud SQL データベースで、root アカウントに脆弱なパスワードが構成されています。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Cloud SQL データベースのルート アカウントのパスワードを共通のパスワード リストと比較します。

  • 追加の IAM 権限: roles/cloudsql.client
  • 追加入力: ライブ インスタンスにクエリを実行します。
  • リアルタイム スキャン: なし

ストレージの脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud Storage バケットの構成に関連し、STORAGE_SCANNER タイプに属します。

表 19. ストレージのスキャナ
検出機能 概要 アセットのスキャン設定
Bucket CMEK disabled

API のカテゴリ名: BUCKET_CMEK_DISABLED

検出結果の説明: バケットは顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

バケットのメタデータに含まれる encryption フィールドで、CMEK のリソース名を確認します。

  • リアルタイム スキャン: あり
Bucket policy only disabled

API のカテゴリ名: BUCKET_POLICY_ONLY_DISABLED

検出結果の説明: 均一なバケットレベルのアクセス(旧称「バケット ポリシーのみ」)は構成されていません。

料金ティア: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

バケットの uniformBucketLevelAccess プロパティが "enabled":false に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
Public bucket ACL

API のカテゴリ名: PUBLIC_BUCKET_ACL

検出結果の説明: Cloud Storage バケットが一般公開されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

バケットの IAM 許可ポリシーで、allUsers または allAuthenticatedUsers の公開ロールを確認します。

  • リアルタイム スキャン: あり
Public log bucket

API のカテゴリ名: PUBLIC_LOG_BUCKET

検出結果の説明: ログシンクとして使用されるストレージ バケットが一般公開されています。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

バケットの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル allUsers または allAuthenticatedUsers を確認します。

  • 追加入力: バケットのログシンク(ログフィルタとログの宛先)を読み取り、ログバケットであるかどうかを確認します。
  • リアルタイム スキャン: あり。ただし、バケットの IAM ポリシーが変更された場合のみ(ログシンクが変更された場合を除く)

サブネットワークの脆弱性の検出

この検出機能タイプの脆弱性はすべて、組織のサブネットワークの構成に関連し、SUBNETWORK_SCANNER タイプに属します。

表 20. サブネットワークのスキャナ
検出機能 概要 アセットのスキャン設定
Flow logs disabled

API のカテゴリ名: FLOW_LOGS_DISABLED

検出結果の説明: フローログが無効になっている VPC サブネットワークがあります。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Subnetwork

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Compute Engine サブネットワークの enableFlowLogs プロパティが存在しないか、false に設定されているかを確認します。

  • スキャン対象外のアセット: サーバーレス VPC アクセス、ロードバランサのサブネットワーク
  • リアルタイム スキャン: あり

検出結果の説明: VPC サブネットワークで、VPC フローログがオフになっているか、CIS ベンチマーク 1.3 の推奨事項に従って構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Subnetwork

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

VPC サブネットワークの enableFlowLogs プロパティが存在しないか、false に設定されているかを確認します。VPC フローログが有効になっている場合、Aggregation Interval プロパティが 5 SEC に、Include metadatatrue に、Sample rate100% に設定されていることを確認します。

  • スキャン対象外のアセット: サーバーレス VPC アクセス、ロードバランサのサブネットワーク
  • リアルタイム スキャン: あり
Private Google access disabled

API のカテゴリ名: PRIVATE_GOOGLE_ACCESS_DISABLED

検出結果の説明: Google Public API にアクセスできないプライベート サブネットワークがあります。

料金ティア: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.8

Compute Engine サブネットワークの privateIpGoogleAccess プロパティが false に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり

AWS の検出結果

表 21. AWS の検出結果
検出項目 概要 アセットのスキャン設定
AWS Cloud Shell Full Access Restricted

API のカテゴリ名: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

検出結果の説明:

AWS CloudShell は、AWS サービスに対して CLI コマンドを実行するための便利な方法です。マネージド IAM ポリシー(「AWSCloudShellFullAccess」)は、CloudShell への完全アクセス権を提供し、ユーザーのローカル システムと CloudShell 環境の間でファイルのアップロードとダウンロードを可能にします。CloudShell 環境内ではユーザーに sudo 権限が付与され、インターネットにアクセスできます。そのため、たとえばファイル転送ソフトウェアをインストールして、CloudShell から外部インターネット サーバーにデータを移動できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 1.22

AWSCloudShellFullAccess へのアクセスが制限されていることを確認してください

  • リアルタイム スキャン: なし
Access Keys Rotated Every 90 Days or Less

API のカテゴリ名: ACCESS_KEYS_ROTATED_90_DAYS_LESS

検出結果の説明:

アクセスキーは、アクセスキー ID とシークレット アクセスキーで構成されます。これらは、AWS に対するプログラムによるリクエストに署名するために使用されます。AWS ユーザーは、AWS コマンドライン インターフェース(AWS CLI)、Tools for Windows PowerShell、AWS SDK から AWS へのプログラムでの呼び出し、または個々の AWS サービスの API を使用して直接 HTTP 呼び出しを実行するために、独自のアクセスキーが必要です。すべてのアクセスキーを定期的にローテーションすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

アクセスキーが 90 日以内のサイクルでローテーションされていることを確認してください

  • リアルタイム スキャン: なし
All Expired Ssl Tls Certificates Stored Aws Iam Removed

API のカテゴリ名: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

検出結果の説明:

AWS でウェブサイトまたはアプリケーションへの HTTPS 接続を有効にするには、SSL / TLS サーバー証明書が必要です。ACM または IAM を使用して、サーバー証明書の格納とデプロイを行うことができます。
ACM でサポートされていないリージョンで HTTPS 接続をサポートする必要がある場合にのみ、IAM を証明書マネージャーとして使用します。IAM は秘密鍵を安全に暗号化し、暗号化されたバージョンを IAM SSL 証明書ストレージに保存します。IAM ではすべてのリージョンでサーバー証明書をデプロイできますが、AWS で使用するには外部プロバイダから証明書を取得する必要があります。ACM 証明書は IAM にアップロードできません。また、IAM コンソールから証明書を管理することはできません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-11,CM-12,SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10,A.5.9,A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

AWS IAM に保存されていた期限切れの SSL / TLS 証明書がすべて削除されていることを確認してください

  • リアルタイム スキャン: なし
Autoscaling Group Elb Healthcheck Required

API のカテゴリ名: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

検出結果の説明:

これにより、ロードバランサに関連付けられた自動スケーリング グループが Elastic Load Balancing のヘルスチェックを使用しているかどうかを確認します。

これにより、ロードバランサによって提供される追加テストに基づいて、グループがインスタンスの健全性を判断できるようになります。Elastic Load Balancing ヘルスチェックを使用すると、EC2 自動スケーリング グループを使用するアプリケーションの可用性をサポートできます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2

ロードバランサに関連付けられたすべての自動スケーリング グループがヘルスチェックを使用していることを確認します。

  • リアルタイム スキャン: なし
Auto Minor Version Upgrade Feature Enabled Rds Instances

API のカテゴリ名: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

検出結果の説明:

指定したメンテナンスの時間枠内にマイナー エンジン アップグレードを自動的に受け取るために、RDS データベース インスタンスでマイナー バージョン アップグレード フラグが有効になっていることを確認します。これにより、RDS インスタンスは、データベース エンジンの新機能、バグ修正、セキュリティ パッチを取得できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: RA-5,RA-7,SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1,CC7.1.2,CC7.1.3,CC7.1.4,CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

RDS インスタンスで、マイナー バージョンの自動アップグレード機能が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Aws Config Enabled All Regions

API のカテゴリ名: AWS_CONFIG_ENABLED_ALL_REGIONS

検出結果の説明:

AWS Config は、アカウント内でサポートされている AWS リソースの構成管理を行い、ログファイルを配信するウェブサービスです。記録される情報には、構成項目(AWS リソース)、構成項目(AWS リソース)間の関係、リソース間の構成変更が含まれます。AWS Config をすべてのリージョンで有効にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: CM-8,PM-5
  • PCI-DSS v4.0: 11.2.1,11.2.2,12.5.1,9.5.1,9.5.1.1
  • ISO-27001 v2022: A.5.9,A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1,PR-DS-3
  • SOC2 v2017: CC3.2.6,CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

すべてのリージョンで AWS Config が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Aws Security Hub Enabled

API のカテゴリ名: AWS_SECURITY_HUB_ENABLED

検出結果の説明:

Security Hub は、AWS アカウント、サービス、サポートされているパートナー事業者のプロダクトからセキュリティ データを収集して、セキュリティの傾向を分析し、優先度が最も高いセキュリティ問題を特定するのに役立ちます。Security Hub を有効にすると、Amazon GuardDuty、Amazon Inspector、Amazon Macie などの有効にした AWS サービスからの検出結果の利用、集約、整理、優先順位付けが開始されます。AWS のパートナー セキュリティ プロダクトとのインテグレーションを有効にすることもできます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

AWS Security Hub が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Cloudtrail Logs Encrypted Rest Using Kms Cmks

API のカテゴリ名: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

検出結果の説明:

AWS CloudTrail は、アカウントの AWS API 呼び出しを記録し、IAM ポリシーに従ってユーザーとリソースがそのログを利用できるようにするウェブサービスです。AWS 鍵管理サービス(KMS)は、アカウント データの暗号化に使用する暗号鍵の作成と制御を支援するマネージド サービスで、ハードウェア セキュリティ モジュール(HSM)を使用して暗号鍵のセキュリティを保護します。CloudTrailログは、サーバー側での暗号化(SSE)と KMS のお客様が作成したマスターキー(CMK)を活用して、CloudTrail ログをさらに保護するように構成できます。SSE-KMS を使用するように CloudTrail を構成することをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5,SC-28,SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10,CC6.1.3
  • HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

CloudTrail ログが保存時に KMS CMK で暗号化されていることを確認してください

  • リアルタイム スキャン: なし
Cloudtrail Log File Validation Enabled

API のカテゴリ名: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

検出結果の説明:

CloudTrail ログファイルの検証では、CloudTrail が S3 に書き込む各ログのハッシュを含むデジタル署名されたダイジェスト ファイルが作成されます。これらのダイジェスト ファイルを使用して、CloudTrail がログを配信した後にログファイルが変更されたか、削除されたか、変更されていないかを判断できます。すべての CloudTrail でファイル検証を有効にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-6,AU-7,SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1,10.4.1.1,10.4.2,10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2,PR-PT-1,RS-AN-1
  • SOC2 v2017: CC4.1.1,CC4.1.2,CC4.1.3,CC4.1.4,CC4.1.5,CC4.1.6,CC4.1.7,CC4.1.8,CC7.3.1,CC7.3.2,CC7.3.3,CC7.3.4,CC7.3.5
  • HIPAA: 164.308(a)(1)(ii),164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

CloudTrail ログファイルの検証が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Cloudtrail Trails Integrated Cloudwatch Logs

API のカテゴリ名: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

検出結果の説明:

AWS CloudTrail は、特定の AWS アカウントで行われた AWS API 呼び出しを記録するウェブサービスです。記録される情報には、API 呼び出し元の ID、API 呼び出しの時刻、API 呼び出し元のソース IP アドレス、リクエスト パラメータ、AWS サービスから返されるレスポンス要素が含まれます。CloudTrail はログファイルの保存と配信に Amazon S3 を使用しているため、ログファイルは永続的に保存されます。長期分析のために指定した S3 バケット内の CloudTrail ログをキャプチャするだけでなく、CloudWatch Logs にログを送信するように CloudTrail を構成することでリアルタイム分析を実行できます。アカウント内のすべてのリージョンで有効になっている証跡の場合、CloudTrail はすべてのリージョンのログファイルを CloudWatch Logs ロググループに送信します。CloudTrail ログを CloudWatch Logs に送信することをおすすめします。

注: この推奨事項の目的は、AWS アカウントのアクティビティキャプチャされ、監視され、適切に警告されるようにすることです。CloudWatch Logs は、AWS サービスを使用してこれを行うネイティブな方法ですが、代替ソリューションの使用が排除されるわけではありません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-12,AU-3,AU-7
  • PCI-DSS v4.0: 10.2.1,10.2.1.2,10.2.1.5,9.4.5
  • ISO-27001 v2022: A.5.28,A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3,DE-CM-1
  • SOC2 v2017: CC5.2.3,CC7.2.1,CC7.2.2,CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5,8.9

CloudTrail トレイルが CloudWatch ログに統合されていることを確認してください

  • リアルタイム スキャン: なし
Cloudwatch Alarm Action Check

API のカテゴリ名: CLOUDWATCH_ALARM_ACTION_CHECK

検出結果の説明:

これにより、Amazon Cloudwatch で、アラームが「OK」、「ALARM」、「INSUFFICIENT_DATA」の状態の間で遷移したときのアクションが定義されているかどうかがチェックされます。

Amazon CloudWatch のアラームで ALARM 状態に対するアクションを構成することは、モニタリング対象指標のしきい値に達したときに即時に応答するために非常に重要です。
これにより、問題を迅速に解決し、ダウンタイムを低減できます。また、自動修正やシステムの健全性の維持、システム停止の防止を実現できます。

アラームには少なくとも 1 つのアクションがあります。
アラームが他の状態から「INSUFFICIENT_DATA」状態に移行するとき、アラームには少なくとも 1 つのアクションがあります。
(省略可)アラームが他の状態から「OK」状態に移行すると、アラームには少なくとも 1 つのアクションがあります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-20

CloudWatch アラームで、少なくとも 1 つのアラーム アクション、1 つの INSUFFICIENT_DATA アクション、1 つの OK アクションのいずれかが有効になっているかどうかを確認してください。

  • リアルタイム スキャン: なし
Cloudwatch Log Group Encrypted

API のカテゴリ名: CLOUDWATCH_LOG_GROUP_ENCRYPTED

検出結果の説明:

このチェックにより、CloudWatch ログが KMS で構成されていることを確認できます。

ロググループ データは、CloudWatch Logs で常に暗号化されます。デフォルトでは、CloudWatch Logs は保存ログデータにサーバーサイド暗号化を使用します。この暗号化には、代わりに AWS 鍵管理サービスを使用できます。その場合、暗号化は AWS KMS 鍵を使用して行われます。AWS KMS を使用した暗号化は、ロググループの作成時または作成後に KMS 鍵をロググループに関連付けることで、ロググループ レベルで有効になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 3.4

Amazon CloudWatch Logs のすべてのロググループが KMS を使用して暗号化されていることを確認します。

  • リアルタイム スキャン: なし
CloudTrail CloudWatch Logs Enabled

API のカテゴリ名: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

検出結果の説明:

このコントロールは、CloudWatch Logs にログを送信するように CloudTrail の証跡が構成されているかどうかを確認します。証跡の CloudWatchLogsLogGroupArn プロパティが空の場合、コントロールは失敗します。

CloudTrail は、特定のアカウント内で行われた AWS API 呼び出しを記録します。記録される情報には次のようなものがあります。

  • API 呼び出し元の ID
  • API 呼び出しの時刻
  • API 呼び出し元の送信元 IP アドレス
  • リクエストのパラメータ
  • AWS サービスによって返されるレスポンス要素

CloudTrail は、ログファイルの保存と配信に Amazon S3 を使用します。長期的な分析のために、指定した S3 バケット内の CloudTrail ログをキャプチャできます。リアルタイム分析を実行するには、CloudWatch Logs にログを送信するように CloudTrail を構成します。

アカウント内のすべてのリージョンで有効になっている証跡の場合、CloudTrail はすべてのリージョンから CloudWatch Logs ロググループにログファイルを送信します。

Security Hub では、CloudTrail ログを CloudWatch Logs に送信することをおすすめします。この推奨事項は、アカウント アクティビティを確実にキャプチャ、モニタリングし、適切に警告することを目的としています。CloudWatch Logs を使用して、AWS サービスでこれを設定できます。この推奨事項によって、別のソリューションの使用が妨げられるわけではありません。

CloudTrail のログを CloudWatch Logs に送信すると、ユーザー、API、リソース、IP アドレスに基づいたリアルタイムと過去のアクティビティ ロギングが容易になります。この方法を使用すると、異常なアカウント アクティビティや機密性の高いアカウント アクティビティに対するアラームと通知を設定できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

すべての CloudTrail トレイルが AWS CloudWatch にログを送信するように設定されていることを確認してください

  • リアルタイム スキャン: なし
No AWS Credentials in CodeBuild Project Environment Variables

API のカテゴリ名: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

検出結果の説明:

これにより、プロジェクトに環境変数 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY が含まれているかどうかをチェックします。

認証情報 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY は、意図しないデータ漏洩や不正アクセスにつながる可能性があるため、クリアテキストで保存しないでください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5,SA-3

環境変数 AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY を含むすべてのプロジェクトが平文でないことを確認してください

  • リアルタイム スキャン: なし
Codebuild Project Source Repo Url Check

API のカテゴリ名: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

検出結果の説明:

これにより、AWS CodeBuild プロジェクトの Bitbucket ソース リポジトリ URL に個人用アクセス トークンが含まれているか、ユーザー名とパスワードが含まれているかをチェックします。Bitbucket ソース リポジトリの URL に個人用アクセス トークンまたはユーザー名とパスワードが含まれている場合、コントロールは失敗します。

ログイン認証情報を、クリアテキストで保存または送信することや、ソース リポジトリの URL に表示することはしないでください。個人用アクセス トークンまたはログイン認証情報の代わりに、CodeBuild でソース プロバイダにアクセスし、ソース リポジトリの URL を変更して Bitbucket リポジトリのロケーションへのパスのみを含める必要があります。個人用のアクセス トークンやログイン認証情報を使用すると、意図しないデータ漏洩や不正アクセスが発生する可能性があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

github または bitbucket をソースとして使用するすべてのプロジェクトが OAuth を使用していることを確認してください

  • リアルタイム スキャン: なし
Credentials Unused 45 Days Greater Disabled

API のカテゴリ名: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

検出結果の説明:

AWS IAM ユーザーは、パスワードやアクセスキーなど、さまざまな種類の認証情報を使用して AWS リソースにアクセスできます。45 日以上未使用の認証情報はすべて無効にするか削除することをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

45 日以上使用されていない認証情報が無効になっていることを確認してください

  • リアルタイム スキャン: なし
Default Security Group Vpc Restricts All Traffic

API のカテゴリ名: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

検出結果の説明:

VPC にはデフォルトのセキュリティ グループがあり、初期設定では、すべてのインバウンド トラフィックが拒否され、すべてのアウトバウンド トラフィックが許可され、セキュリティ グループに割り当てられたインスタンス間のすべてのトラフィックが許可されます。インスタンスを起動するときにセキュリティ グループを指定しない場合、インスタンスは自動的にこのデフォルト セキュリティ グループに割り当てられます。セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。デフォルトのセキュリティ グループですべてのトラフィックを制限することをおすすめします。

すべてのリージョンのデフォルトの VPC では、準拠するようにデフォルトのセキュリティ グループを更新する必要があります。新しく作成された VPC には、この推奨事項に準拠する修復が必要なデフォルトのセキュリティ グループが自動的に含まれます。

注: この推奨事項を実装する際には、VPC フローロギングによって現在のセキュリティ グループで発生したすべてのパケットの受け入れと拒否をログに記録できるため、システムが正常に動作するために必要な最小権限のポートアクセスを決定するうえで、VPC フローロギングが役立ちます。これにより、環境内のシステムで必要とされる最小限のポートの検出、すなわち最小権限エンジニアリングへの主要な障壁が劇的に軽減します。このベンチマークの VPC フローロギングの推奨事項が永続的なセキュリティ対策として導入されていない場合でも、最小限の権限のセキュリティ グループの検出とエンジニアリングの実行中に使用する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7
  • HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

それぞれの VPC のデフォルト セキュリティ グループがすべてのトラフィックを制限することを確認してください

  • リアルタイム スキャン: なし
Dms Replication Not Public

API のカテゴリ名: DMS_REPLICATION_NOT_PUBLIC

検出結果の説明:

AWS DMS レプリケーション インスタンスがパブリックかどうかを確認します。これを行うには、PubliclyAccessible フィールドの値を調べます。

プライベート レプリケーション インスタンスには、レプリケーション ネットワークの外部からはアクセスできないプライベート IP アドレスがあります。ソース データベースとターゲット データベースが同じネットワーク内にある場合、レプリケーション インスタンスにプライベート IP アドレスが必要です。また、ネットワークは、VPN、AWS Direct Connect、VPC ピアリングを使用してレプリケーション インスタンスの VPC に接続されている必要があります。パブリック レプリケーション インスタンスとプライベート レプリケーション インスタンスの詳細については、AWS Database Migration Service ユーザーガイドのパブリック レプリケーション インスタンスとプライベート レプリケーション インスタンスをご覧ください。

また、AWS DMS インスタンス構成へのアクセスが、承認されたユーザーのみに制限されていることも確認する必要があります。これを行うには、AWS DMS の設定とリソースを変更するユーザーの IAM 権限を制限します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

AWS Database Migration Service レプリケーション インスタンスがパブリックかどうかを確認してください

  • リアルタイム スキャン: なし
Do Setup Access Keys During Initial User Setup All Iam Users Console

API のカテゴリ名: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

検出結果の説明:

AWS コンソールでは、新しい IAM ユーザーの作成時に、デフォルトでチェックボックスがオンになっていません。IAM ユーザー認証情報を作成する際は、必要なアクセスの種類を決定する必要があります。

プログラムからのアクセス: IAM ユーザーは、API 呼び出し、AWS CLI の使用、または Windows PowerShell のツールの使用が必要になる場合があります。その場合は、そのユーザーのアクセスキー(アクセスキー ID とシークレット アクセスキー)を作成します。

AWS 管理コンソールへのアクセス: ユーザーが AWS 管理コンソールにアクセスする必要がある場合、ユーザーのパスワードを作成します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7
  • HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3,5.4

コンソール パスワードを持つすべての IAM ユーザーには、初期ユーザー設定時にアクセスキーを設定しないでください

  • リアルタイム スキャン: なし
Dynamodb Autoscaling Enabled

API のカテゴリ名: DYNAMODB_AUTOSCALING_ENABLED

検出結果の説明:

これにより、Amazon DynamoDB テーブルが、必要に応じて読み取りおよび書き込み容量をスケーリングできるかどうかを確認します。このコントロールは、テーブルがオンデマンド容量モードまたは自動スケーリングが構成されたプロビジョニング モードのいずれかを使用している場合にパスします。需要に応じて容量をスケーリングすると、スロットリング例外を回避でき、アプリケーションの可用性を維持できます。

オンデマンド容量モードの DynamoDB テーブルは、DynamoDB スループットのデフォルトのテーブル割り当てによってのみ制限されます。これらの割り当てを増やすには、AWS サポートからサポート チケットを提出します。

自動スケーリングを使用するプロビジョニング モードの DynamoDB テーブルは、トラフィック パターンに応じてプロビジョニングされたスループット容量を動的に調整します。DynamoDB リクエスト スロットリングについて詳しくは、Amazon DynamoDB デベロッパー ガイドの「リクエスト スロットリングとバースト容量」をご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

DynamoDB テーブルは需要に合わせて容量を自動的にスケーリングする必要があります

  • リアルタイム スキャン: なし
Dynamodb In Backup Plan

API のカテゴリ名: DYNAMODB_IN_BACKUP_PLAN

検出結果の説明:

このコントロールは、DynamoDB テーブルがバックアップ プランの対象となるかどうかを評価します。DynamoDB テーブルがバックアップ プランの対象とならない場合、コントロールは失敗します。このコントロールは、アクティブ状態の DynamoDB テーブルのみを評価します。

バックアップを使用すると、セキュリティ インシデントからより速やかに復旧できます。また、システムのレジリエンスも強化されます。バックアップ プランに DynamoDB テーブルを含めると、意図しない損失や削除からデータを保護できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

DynamoDB テーブルはバックアップ プランの対象にする必要があります

  • リアルタイム スキャン: なし
Dynamodb Pitr Enabled

API のカテゴリ名: DYNAMODB_PITR_ENABLED

検出結果の説明:

ポイントインタイム リカバリ(PITR)は、DynamoDB テーブルをバックアップするために使用できるメカニズムの 1 つです。

ポイントインタイムのバックアップは 35 日間保持されます。長期保存が必要な場合は、AWS ドキュメントの AWS Backup を使用して Amazon DynamoDB のスケジュールされたバックアップを設定するをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

すべての AWS DynamoDB テーブルでポイントインタイム リカバリ(PITR)が有効になっていることを確認します。

  • リアルタイム スキャン: なし
Dynamodb Table Encrypted Kms

API のカテゴリ名: DYNAMODB_TABLE_ENCRYPTED_KMS

検出結果の説明:

すべての DynamoDB テーブルが、顧客管理の KMS 鍵(デフォルト以外)で暗号化されているかどうかを確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)

すべての DynamoDB テーブルが AWS Key Management Service(KMS)で暗号化されていることを確認してください

  • リアルタイム スキャン: なし
Ebs Optimized Instance

API のカテゴリ名: EBS_OPTIMIZED_INSTANCE

検出結果の説明:

EBS 用に最適化できる EC2 インスタンスで EBS の最適化が有効になっているかどうかを確認します

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-5(2)

EBS 最適化をサポートするすべてのインスタンスで EBS 最適化が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Ebs Snapshot Public Restorable Check

API のカテゴリ名: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

検出結果の説明:

Amazon Elastic Block Store のスナップショットが公開されていないかどうかを確認します。Amazon EBS スナップショットが誰でも復元可能である場合、コントロールは失敗します。

EBS スナップショットは、特定の時点で EBS ボリューム上のデータを Amazon S3 へバックアップするのに使用されます。スナップショットを使用して、EBS ボリュームの以前の状態を復元できます。スナップショットを一般公開することが許容されることはほとんどありません。通常、スナップショットを一般公開する決定は誤りか、その影響を十分に理解することなく行われたものです。このチェックにより、そのような共有がすべて完全に計画され、意図されたものであることを確認できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Amazon EBS スナップショットは公的に復元可能であってはなりません

  • リアルタイム スキャン: なし
Ebs Volume Encryption Enabled All Regions

API のカテゴリ名: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

検出結果の説明:

Elastic Compute Cloud(EC2)は、Elastic Block Store(EBS)サービス使用時の保存データの暗号化をサポートしています。デフォルトでは無効になっていますが、EBS ボリューム作成時の強制暗号化がサポートされています。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5,SC-28,SI-7(6)
  • PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10,CC6.1.3
  • HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

すべてのリージョンで EBS ボリュームの暗号化が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Ec2 Instances In Vpc

API のカテゴリ名: EC2_INSTANCES_IN_VPC

検出結果の説明:

Amazon VPC は、EC2 Classic よりも多くのセキュリティ機能を提供します。すべてのノードを Amazon VPC に所属させることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7

すべてのインスタンスが VPC に属していることを確認してください

  • リアルタイム スキャン: なし
Ec2 Instance No Public Ip

API のカテゴリ名: EC2_INSTANCE_NO_PUBLIC_IP

検出結果の説明:

パブリック IP アドレスを持つ EC2 インスタンスは、侵害されるリスクが高くなります。EC2 インスタンスは、パブリック IP アドレスで構成しないようにすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

インスタンスにパブリック IP がないことを確認してください

  • リアルタイム スキャン: なし
Ec2 Managedinstance Association Compliance Status Check

API のカテゴリ名: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

検出結果の説明:

State Manager の関連付けは、マネージド インスタンスに割り当てられる構成です。この構成では、インスタンスで維持する状態を定義します。関連付けでは、たとえば、インスタンスにウイルス対策ソフトウェアをインストールして実行する必要があることや、特定のポートを閉じる必要があることを指定できます。AWS Systems Managerと関連付けられている EC2 インスタンスは Systems Manager の管理下にあるため、パッチの適用、構成ミスの修正、セキュリティ イベントへの対応が容易になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 6.2

AWS システム マネージャーの関連付けのコンプライアンス ステータスを確認します

  • リアルタイム スキャン: なし
Ec2 Managedinstance Patch Compliance Status Check

API のカテゴリ名: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

検出結果の説明:

このコントロールは、インスタンスで関連付けが実行された後、AWS Systems Manager の関連付けのコンプライアンス ステータスが COMPLIANT または NON_COMPLIANT かどうかを確認します。関連付けのコンプライアンス ステータスが NON_COMPLIANT の場合、コントロールは失敗します。

State Manager の関連付けは、マネージド インスタンスに割り当てられる構成です。この構成では、インスタンスで維持する状態を定義します。関連付けでは、たとえば、インスタンスにウイルス対策ソフトウェアをインストールして実行する必要があることや、特定のポートを閉じる必要があることを指定できます。

1 つ以上の State Manager の関連付けを作成すると、コンプライアンス ステータス情報を直ちに入手できます。コンプライアンス ステータスは、コンソールで、または AWS CLI コマンドや対応する Systems Manager API アクションに応答して確認できます。関連付けについては、[設定のコンプライアンス] にコンプライアンス ステータス(準拠または非準拠)が表示されます。また、関連付けに割り当てられた重大度レベル(重大、中など)も表示されます。

State Manager の関連付けのコンプライアンスの詳細については、AWS Systems Manager ユーザーガイドの State Manager の関連付けのコンプライアンスについてをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

AWS Systems Manager のパッチ コンプライアンスのステータスを確認してください

  • リアルタイム スキャン: なし
Ec2 Metadata Service Allows Imdsv2

API のカテゴリ名: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

検出結果の説明:

AWS EC2 インスタンスでメタデータ サービスを有効にする場合、ユーザーはインスタンス メタデータ サービス バージョン 1(IMDSv1、リクエスト / レスポンス メソッド)またはインスタンス メタデータ サービス バージョン 2(IMDSv2、セッション指向メソッド)のいずれかを使用できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

EC2 メタデータ サービスが IMDSv2 のみを許可するようにしてください

  • リアルタイム スキャン: なし
Ec2 Volume Inuse Check

API のカテゴリ名: EC2_VOLUME_INUSE_CHECK

検出結果の説明:

AWS の毎月の請求費用を削減するために、AWS アカウントでアタッチされていない(未使用の)Elastic Block Store(EBS)ボリュームを特定して削除します。未使用の EBS ボリュームを削除することで、機密データやセンシティブ データがプレミスから漏洩するリスクも軽減されます。さらに、このコントロールでは、EC2 インスタンスが終了時にボリュームを削除するように構成されたかどうかも確認します。

デフォルトでは、EC2 インスタンスは、インスタンスに関連付けられている EBS ボリューム内のデータと、インスタンスのルート EBS ボリュームを削除するように構成されています。ただし、起動時または実行中にインスタンスにアタッチされたルート以外の EBS ボリュームは、デフォルトで終了後に保持されます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: CM-2

EBS ボリュームが EC2 インスタンスにアタッチされており、インスタンスの終了時に削除されるように構成されているかどうかを確認してください

  • リアルタイム スキャン: なし
Efs Encrypted Check

API のカテゴリ名: EFS_ENCRYPTED_CHECK

検出結果の説明:

Amazon EFS では、ファイル システムの暗号化形式として、転送中のデータの暗号化と保存データの暗号化の 2 つをサポートしています。これにより、アカウントで有効なすべてのリージョンで、すべての EFS ファイル システムに保存データの暗号化が構成されていることを確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

KMS を使用してファイルデータを暗号化するように EFS が構成されているかどうかを確認してください

  • リアルタイム スキャン: なし
Efs In Backup Plan

API のカテゴリ名: EFS_IN_BACKUP_PLAN

検出結果の説明:

Amazon のベスト プラクティスでは、Elastic File Systems(EFS)のバックアップを構成することをおすすめします。これにより、AWS アカウントの有効なすべてのリージョンで、有効なバックアップについてすべての EFS を確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

EFS ファイル システムが AWS バックアップ プランに含まれているかどうかを確認してください

  • リアルタイム スキャン: なし
Elb Acm Certificate Required

API のカテゴリ名: ELB_ACM_CERTIFICATE_REQUIRED

検出結果の説明:

従来型ロードバランサが AWS Certificate Manager(ACM)によって提供される HTTPS/SSL 証明書を使用するかどうかを確認します。HTTPS/SSL リスナーで構成された従来型ロードバランサが ACM から提供された証明書を使用しない場合、コントロールは失敗します。

証明書を作成するには、ACM、または SSL プロトコルと TLS プロトコルをサポートするツール(OpenSSL など)を使用できます。Security Hub では、ACM を使用してロードバランサの証明書を作成またはインポートすることをおすすめします。

ACM は従来型ロードバランサと統合されているため、ロードバランサに証明書をデプロイできます。また、これらの証明書を自動更新する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-17,AC-4,IA-5,SC-12,SC-13,SC-23,SC-7,SC-8,SI-7,SI-7(6)

すべての従来型ロードバランサで AWS Certificate Manager が提供する SSL 証明書を使用していることを確認してください

  • リアルタイム スキャン: なし
Elb Deletion Protection Enabled

API のカテゴリ名: ELB_DELETION_PROTECTION_ENABLED

検出結果の説明:

アプリケーション ロードバランサで削除からの保護が有効になっているかどうかを確認します。削除保護が構成されていない場合、コントロールは失敗します。

削除保護を有効にして、アプリケーション ロードバランサを削除から保護します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-5(2)

アプリケーション ロードバランサの削除保護を有効にする必要があります

  • リアルタイム スキャン: なし
Elb Logging Enabled

API のカテゴリ名: ELB_LOGGING_ENABLED

検出結果の説明:

これにより、アプリケーション ロードバランサと従来型ロードバランサでロギングが有効になっているかどうかを確認します。access_logs.s3.enabled が false の場合、コントロールは失敗します。

Elastic Load Balancing は、ロードバランサに送信されたリクエストに関する詳細情報をキャプチャするアクセスログを提供します。各ログには、リクエストを受信した時刻、クライアントの IP アドレス、レイテンシ、リクエストパス、サーバー レスポンスなどの情報が含まれています。これらのアクセスログを使用して、トラフィック パターンを分析し、問題のトラブルシューティングを行うことができます。

詳細については、従来型ロードバランサのユーザーガイドの 従来型ロードバランサのログにアクセスするをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

従来型ロードバランサとアプリケーション ロードバランサのロギングが有効になっているかどうかを確認してください

  • リアルタイム スキャン: なし
Elb Tls Https Listeners Only

API のカテゴリ名: ELB_TLS_HTTPS_LISTENERS_ONLY

検出結果の説明:

このチェックにより、すべての従来のロードバランサが安全な通信を使用するように構成されていることを確認します。

リスナーは接続リクエストを確認するプロセスです。フロントエンド(クライアントからロードバランサ)接続用のプロトコルとポート、バックエンド(ロードバランサからインスタンス)接続用のプロトコルとポートで構成されます。Elastic Load Balancing でサポートされているポート、プロトコル、リスナー構成については、従来型ロードバランサのリスナーをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)

すべての従来型ロードバランサが SSL リスナーまたは HTTPS リスナーを使用して構成されていることを確認してください

  • リアルタイム スキャン: なし
Encrypted Volumes

API のカテゴリ名: ENCRYPTED_VOLUMES

検出結果の説明:

アタッチされた状態の EBS ボリュームが暗号化されているかどうかを確認します。このチェックに合格するには、EBS ボリュームが使用中であり、暗号化されている必要があります。EBS ボリュームがアタッチされていない場合、このチェックの対象ではありません。

EBS ボリューム内の機密データのセキュリティを強化するには、EBS の保存データの暗号化を有効にする必要があります。Amazon EBS の暗号化により、独自の鍵管理インフラストラクチャを構築、維持、保護しなくても、EBS リソース用の簡単な暗号化ソリューションが提供されます。暗号化されたボリュームとスナップショットを作成するときに、KMS 鍵が使用されます。

Amazon EBS の暗号化の詳細については、Linux インスタンス用の Amazon EC2 ユーザーガイドの Amazon EBS 暗号化をご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

アタッチされた Amazon EBS ボリュームは保存時に暗号化される必要があります

  • リアルタイム スキャン: なし
Encryption At Rest Enabled Rds Instances

API のカテゴリ名: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

検出結果の説明:

Amazon RDS 暗号化 DB インスタンスは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon RDS DB インスタンスをホストするサーバー上のデータを暗号化します。データを暗号化した後、Amazon RDS は、パフォーマンスへの影響を最小限に抑えながら、データのアクセス認証と復号を透過的に処理します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5,SC-28,SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10,CC6.1.3
  • HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

RDS インスタンスに対して保存データの暗号化が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Encryption Enabled Efs File Systems

API のカテゴリ名: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

検出結果の説明:

EFS データは、AWS KMS(鍵管理サービス)を使用して保存時に暗号化する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5,SC-28
  • PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10,CC6.1.3
  • HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

EFS ファイル システムで暗号化が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Iam Password Policy

API のカテゴリ名: IAM_PASSWORD_POLICY

検出結果の説明:

AWS では、AWS アカウントのカスタム パスワード ポリシーで、IAM ユーザーのパスワードに複雑な要件と必須のローテーション期間を指定できます。カスタム パスワード ポリシーを設定しない場合、IAM ユーザー パスワードはデフォルトの AWS パスワード ポリシーを満たしている必要があります。AWS のセキュリティに関するベスト プラクティスでは、次のパスワードの複雑さの要件が推奨されています。

  • パスワードに大文字を 1 つ以上含めることを必須とします。
  • パスワードに小文字を 1 つ以上含めることを必須とします。
  • パスワードに記号を 1 つ以上含めることを必須とします。
  • パスワードに 1 つ以上の数字を含めることを必須とします。
  • パスワードは 14 文字以上にすることを必須とします。
  • 再利用を許可する前に 24 個以上のパスワードを必須とします。
  • パスワードの有効期限は 90 日以上を必須とします

このコントロールにより、指定されたすべてのパスワード ポリシー要件が確認されます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

IAM ユーザーのアカウント パスワード ポリシーで指定の要件が満たされているかどうかを確認してください

  • リアルタイム スキャン: なし
Iam Password Policy Prevents Password Reuse

API のカテゴリ名: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

検出結果の説明:

IAM パスワード ポリシーを使用すると、同じユーザーが特定のパスワードを再利用しないようにできます。パスワード ポリシーで、パスワードの再利用を防止することをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2,8.3.5,8.3.6,8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3,CC6.1.8,CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

IAM パスワード ポリシーでパスワードの再利用が禁止されていることを確認してください

  • リアルタイム スキャン: なし
Iam Password Policy Requires Minimum Length 14 Greater

API のカテゴリ名: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

検出結果の説明:

パスワード ポリシーの一部は、パスワードの複雑さに関する要件を適用するために使用されます。IAM パスワード ポリシーを使用して、パスワードが所定の長さ以上になるようにできます。パスワード ポリシーでは、最小のパスワードの長さを 14 文字にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5,5.2

IAM パスワード ポリシーで 14 文字以上の長さが必須になっていることを確認してください

  • リアルタイム スキャン: なし
Iam Policies Allow Full Administrative Privileges Attached

API のカテゴリ名: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

検出結果の説明:

IAM ポリシーは、権限をユーザー、グループ、ロールに付与する方法です。一般的なセキュリティに関するアドバイスとして「最小権限」を付与する(つまり、タスクの実行に必要な権限のみを付与する)ことが推奨されます。ユーザーが行う必要がある操作を決定し、完全な管理者権限を許可するのではなく、ユーザーがそのタスクのみを実行できるようにするポリシーを作成します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7
  • HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

完全な管理者権限(*:*)を許可する IAM ポリシーがアタッチされていないことを確認してください

  • リアルタイム スキャン: なし
Iam Users Receive Permissions Groups

API のカテゴリ名: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

検出結果の説明:

IAM ユーザーに、IAM ポリシーによってサービス、関数、データへのアクセス権が付与されます。ユーザーのポリシーを定義するには、次の 4 つの方法があります。1)ユーザー ポリシーを直接編集する。別名インライン ポリシー、またはユーザー、ポリシー。2)ポリシーをユーザーに直接アタッチする。3)ポリシーがアタッチされている IAM グループにユーザーを追加する。4)インライン ポリシーを持つ IAM グループにユーザーを追加する。

3 つ目の実装のみをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-2,AC-5,AC-6,AU-9
  • PCI-DSS v4.0: 10.3.1,7.1.1,7.2.1,7.2.2,7.2.4,7.2.6,7.3.1,7.3.2
  • ISO-27001 v2022: A.5.15,A.5.3,A.8.2,A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3,CC6.3.1,CC6.3.2,CC6.3.3
  • HIPAA: 164.308(a)(3)(ii),164.308(a)(4)(i),164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

IAM ユーザーがグループを介してのみ権限を取得していることを確認してください

  • リアルタイム スキャン: なし
Iam User Group Membership Check

API のカテゴリ名: IAM_USER_GROUP_MEMBERSHIP_CHECK

検出結果の説明:

IAM のセキュリティのベスト プラクティスに準拠するには、IAM ユーザーは常に IAM グループに属している必要があります。

グループにユーザーを追加することで、ユーザータイプ間でポリシーを共有できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-6

IAM ユーザーが少なくとも 1 つの IAM グループのメンバーであるかどうかを確認してください

  • リアルタイム スキャン: なし
Iam User Mfa Enabled

API のカテゴリ名: IAM_USER_MFA_ENABLED

検出結果の説明:

多要素認証(MFA)は、ユーザー名とパスワードの上に保護レイヤを追加できるベスト プラクティスです。MFA では、ユーザーが AWS 管理コンソールにログインする際に、登録済みの仮想デバイスまたは実機で提供される、時間的制約のある認証コードの入力を求められます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 8.3.2

AWS IAM ユーザーが多要素認証(MFA)を有効にしていることを確認してください

  • リアルタイム スキャン: なし
Iam User Unused Credentials Check

API のカテゴリ名: IAM_USER_UNUSED_CREDENTIALS_CHECK

検出結果の説明:

これにより、過去 90 日間に使用されていない IAM パスワードまたはアクティブなアクセスキーを確認します。

ベストプラクティスでは、90 日以上使用されていないすべての認証情報を削除、無効化、またはローテーションすることをおすすめします。これにより、不正使用されたアカウントや放棄されたアカウントに関連付けられた認証情報が使用される機会が減少します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

すべての AWS IAM ユーザーが、maxCredentialUsageAge 日間使用されていないパスワードまたはアクティブなアクセスキーを持っていることを確認してください(デフォルトは 90 日)

  • リアルタイム スキャン: なし
Kms Cmk Not Scheduled For Deletion

API のカテゴリ名: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

検出結果の説明:

このコントロールでは、KMS 鍵が削除されるようにスケジュールされているかどうかを確認します。KMS 鍵の削除がスケジュールされている場合、このコントロールは失敗します。

一度削除した KMS 鍵は復元できません。KMS 鍵で暗号化されたデータも、KMS 鍵が削除されると完全に回復不能となります。削除がスケジュールされている KMS 鍵で意味のあるデータが暗号化されている場合は、暗号消去を意図的に実行していない限り、データを復号するか、新しい KMS 鍵でデータを再暗号化することを検討してください。

KMS 鍵の削除がスケジュールされているときには、必須の待機期間が適用され、誤って削除されるようにスケジュールされていた場合に削除を元に戻すことができます。デフォルトの待機期間は 30 日間ですが、KMS 鍵の削除がスケジュールされている場合は、7 日間まで短縮できます。待機期間中は、スケジュール設定された削除をキャンセルでき、KMS 鍵は削除されません。

KMS 鍵の削除の詳細については、AWS Key Management Service デベロッパー ガイドの KMS 鍵の削除をご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-12

すべての CMK で削除がスケジュールされていないことを確認してください

  • リアルタイム スキャン: なし
Lambda Concurrency Check

API のカテゴリ名: LAMBDA_CONCURRENCY_CHECK

検出結果の説明:

Lambda 関数が、関数レベルの同時実行制限で構成されているかどうかを確認します。Lambda 関数が関数レベルの同時実行制限で構成されていない場合、ルールは NON_COMPLIANT になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Lambda 関数に関数レベルの同時実行制限が構成されているかどうかを確認してください

  • リアルタイム スキャン: なし
Lambda Dlq Check

API のカテゴリ名: LAMBDA_DLQ_CHECK

検出結果の説明:

Lambda 関数にデッドレター キューで構成されているかどうかを確認します。Lambda 関数がデッドレター キューで構成されていない場合、ルールは NON_COMPLIANT です。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2

Lambda 関数にデッドレター キューが構成されていることを確認してください

  • リアルタイム スキャン: なし
Lambda Function Public Access Prohibited

API のカテゴリ名: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

検出結果の説明:

AWS のベスト プラクティスでは、Lambda 関数を公開しないことをおすすめします。このポリシーは、アカウント内のすべての有効なリージョンでデプロイされたすべての Lambda 関数を確認し、公開アクセスを許可するように構成されている場合は失敗します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Lambda 関数にアタッチされたポリシーが公開アクセスを禁止しているかどうかを確認してください

  • リアルタイム スキャン: なし
Lambda Inside Vpc

API のカテゴリ名: LAMBDA_INSIDE_VPC

検出結果の説明:

Lambda 関数が VPC 内にあるかどうかを確認します。Lambda@Edge リソースで失敗した検出結果が表示されることがあります。

VPC サブネット ルーティング構成の評価は、公開ネットワーク到達性を判断しません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Lambda 関数が VPC 内に存在することを確認してください

  • リアルタイム スキャン: なし
Mfa Delete Enabled S3 Buckets

API のカテゴリ名: MFA_DELETE_ENABLED_S3_BUCKETS

検出結果の説明:

プライベートで機密性の高い S3 バケットで MFA 削除を有効にすると、ユーザーは 2 つの形式の認証が必要になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7
  • HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3,6.5

S3 バケットで MFA の削除が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Mfa Enabled Root User Account

API のカテゴリ名: MFA_ENABLED_ROOT_USER_ACCOUNT

検出結果の説明:

「root」ユーザー アカウントは、AWS アカウント内で最も権限のあるユーザーです。多要素認証(MFA)によって、ユーザー名とパスワードに加えてさらに保護が強化されます。MFA を有効にすると、ユーザーが AWS ウェブサイトにログインするときに、ユーザー名とパスワードおよび AWS MFA デバイスの認証コードの入力を求められます。

注:「root」アカウントに仮想 MFA を使用する場合は、個人用デバイスではなく、個人用のデバイスとは別に充電され、保護されるように管理された専用のモバイル デバイス(タブレットまたはスマートフォン)を使用することをおすすめします。(「非個人用の仮想 MFA」)これにより、デバイスの紛失、デバイスの下取り、またはデバイスを所有している個人が会社を退職した場合に MFA にアクセスできなくなるリスクを軽減できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-2,IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7,8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3,CC6.1.4,CC6.1.6,CC6.1.7,CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

root ユーザー アカウントで MFA が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Multi Factor Authentication Mfa Enabled All Iam Users Console

API のカテゴリ名: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

検出結果の説明:

多要素認証(MFA)では、従来の認証情報に加えて、認証保証が追加されます。MFA を有効にすると、ユーザーが AWS コンソールにログインするときに、ユーザー名とパスワード、および物理または仮想の MFA トークンの認証コードの入力を求められます。コンソール パスワードを持つすべてのアカウントで MFA を有効にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-2,IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7,8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3,CC6.1.4,CC6.1.6,CC6.1.7,CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

コンソール パスワードを持つすべての IAM ユーザーに対して、多要素認証(MFA)が有効になっていることを確認してください

  • リアルタイム スキャン: なし
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

API のカテゴリ名: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

検出結果の説明:

ネットワーク アクセス制御リスト(NACL)関数は、AWS リソースへの上り(内向き)と下り(外向き)のネットワーク トラフィックのステートレス フィルタリングを提供します。TDP(6)、UDP(17)、または ALL(-1)プロトコルのいずれかを使用して、リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 22 への SSH、3389 への RDP など)を NACL で許可しないことをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 5.1

0.0.0.0/0 からリモート サーバー管理ポートへの上り(内向き)を許可するネットワーク ACL がないことを確認してください

  • リアルタイム スキャン: なし
No Root User Account Access Key Exists

API のカテゴリ名: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

検出結果の説明:

「root」ユーザー アカウントは、AWS アカウント内で最も権限のあるユーザーです。AWS アクセスキーを使用すると、特定の AWS アカウントにプログラムからアクセスできます。「root」ユーザー アカウントに関連付けられているすべてのアクセスキーを削除することをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7
  • HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3,5.4

root ユーザー アカウントのアクセスキーが存在しないことを確認してください

  • リアルタイム スキャン: なし
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

API のカテゴリ名: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

検出結果の説明:

セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。TDP(6)、UDP(17)、または ALL(-1)プロトコルのいずれかを使用して、リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 22 への SSH、3389 への RDP など)を セキュリティ グループで許可しないことをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 5.2

0.0.0.0/0 からリモート サーバー管理ポートへの上り(内向き)を許可するセキュリティ グループがないことを確認してください

  • リアルタイム スキャン: なし
No Security Groups Allow Ingress 0 Remote Server Administration

API のカテゴリ名: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

検出結果の説明:

セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 22 への SSH、ポート 3389 への RDP など)をセキュリティ グループで許可しないことをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 5.3

::/0 からリモート サーバー管理ポートへの上り(内向き)を許可するセキュリティ グループがないことを確認してください

  • リアルタイム スキャン: なし
One Active Access Key Available Any Single Iam User

API のカテゴリ名: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

検出結果の説明:

アクセスキーは、IAM ユーザーまたは AWS アカウントの「root」ユーザーの長期的な認証情報です。アクセスキーを使用して、AWS CLI または AWS API へのプログラムによるリクエストに署名できます(直接または AWS SDK を使用)。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

単一の IAM ユーザーが利用できるアクティブなアクセスキーが 1 つだけであることを確認してください

  • リアルタイム スキャン: なし
Public Access Given Rds Instance

API のカテゴリ名: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

検出結果の説明:

セキュリティ リスクを最小限に抑えるために、AWS アカウントでプロビジョニングされている RDS データベース インスタンスで不正アクセスが制限されていることを確認します。一般公開されている RDS データベース インスタンスへのアクセスを制限するには、データベースの Publicly Accessible フラグを無効にして、インスタンスに関連付けられた VPC セキュリティ グループを更新する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3,AC-5,AC-6,MP-2,SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10,A.5.15,A.8.3,A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3,CC6.1.3,CC6.1.7
  • HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii),164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

RDS インスタンスにパブリック アクセスが付与されていないことを確認してください

  • リアルタイム スキャン: なし
Rds Enhanced Monitoring Enabled

API のカテゴリ名: RDS_ENHANCED_MONITORING_ENABLED

検出結果の説明:

拡張モニタリングは、インスタンスにインストールされているエージェントを介して、RDS インスタンスが実行されているオペレーティング システムに関するリアルタイム指標を提供します。

詳細については、拡張モニタリングを使用した OS 指標のモニタリングをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2

すべての RDS DB インスタンスに対して拡張モニタリングが有効になっていることを確認してください

  • リアルタイム スキャン: なし
Rds Instance Deletion Protection Enabled

API のカテゴリ名: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

検出結果の説明:

インスタンスの削除保護を有効にすると、データベースの偶発的な削除や権限のないエンティティによる削除に対して保護レイヤを追加できます。

削除からの保護が有効になっている場合は、RDS DB インスタンスを削除できません。削除リクエストが成功するには、削除保護を無効にする必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

すべての RDS インスタンスで削除保護が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Rds In Backup Plan

API のカテゴリ名: RDS_IN_BACKUP_PLAN

検出結果の説明:

このチェックにより、Amazon RDS DB インスタンスがバックアップ プランの対象かどうかを評価します。RDS DB インスタンスがバックアップ プランでカバーされていない場合、このコントロールは失敗します。

AWS Backup は、AWS サービス間でデータのバックアップを一元化して自動化するフルマネージド バックアップ サービスです。AWS Backup では、バックアップ プランと呼ばれるバックアップ ポリシーを作成できます。これらのプランを使用して、データをバックアップする頻度やバックアップを保持する期間などのバックアップ要件を定義できます。バックアップ プランに RDS DB インスタンスを含めると、意図しない損失や削除からデータを保護できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

RDS DB インスタンスをバックアップ プランの対象にする必要があります

  • リアルタイム スキャン: なし
Rds Logging Enabled

API のカテゴリ名: RDS_LOGGING_ENABLED

検出結果の説明:

これにより、次の Amazon RDS のログが有効で、CloudWatch に送信されるかどうかを確認します。

RDS データベースで関連するログが有効になっている必要があります。データベース ロギングでは、RDS に対して行われたリクエストの詳細レコードが提供されます。データベース ログは、セキュリティとアクセスの監査、可用性の問題の診断に役立ちます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(8)

エクスポートされたログがすべての RDS DB インスタンスに対して有効になっていることを確認してください

  • リアルタイム スキャン: なし
Rds Multi Az Support

API のカテゴリ名: RDS_MULTI_AZ_SUPPORT

検出結果の説明:

RDS DB インスタンスは、複数のアベイラビリティ ゾーン(AZ)用に構成する必要があります。これにより、保存されたデータの可用性が確保されます。マルチ AZ デプロイでは、アベイラビリティ ゾーンの可用性で問題が発生した場合や、RDS の定期メンテナンス中に自動フェイルオーバーが可能になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

すべての RDS DB インスタンスに対して高可用性が有効になっていることを確認してください

  • リアルタイム スキャン: なし
Redshift Cluster Configuration Check

API のカテゴリ名: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

検出結果の説明:

これにより、Redshift クラスタの重要な要素(保存データの暗号化、ロギング、ノードタイプ)を確認。

これらの構成項目は、安全で監視可能な Redshift クラスタのメンテナンスにおいて重要です。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

すべての Redshift クラスタに保存データの暗号化、ロギング、ノードタイプがあることを確認してください。

  • リアルタイム スキャン: なし
Redshift Cluster Maintenancesettings Check

API のカテゴリ名: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

検出結果の説明:

メジャー バージョンの自動アップグレードはメンテナンスの時間枠に従って行われます

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2

すべての Redshift クラスタで allowVersionUpgrade が有効になっており、preferredMaintenanceWindow と automaticSnapshotRetentionPeriod が設定されていることを確認してください

  • リアルタイム スキャン: なし
Redshift Cluster Public Access Check

API のカテゴリ名: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

検出結果の説明:

Amazon Redshift クラスタ構成の PubliclyAccessible 属性は、クラスタが一般公開されているかどうかを示します。クラスタが PubliclyAccessible を true に設定して構成されている場合、これは一般公開された解決可能な DNS 名を持つインターネット接続インスタンスであり、パブリック IP アドレスに解決されます。

クラスタが一般公開されていない場合、プライベート IP アドレスに解決される DNS 名を持つ内部インスタンスです。クラスタを一般公開する場合を除き、クラスタでは PubliclyAccessible を true に設定しないでください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Redshift クラスタが公開されていてアクセス可能かどうかを確認してください

  • リアルタイム スキャン: なし
Restricted Common Ports

API のカテゴリ名: RESTRICTED_COMMON_PORTS

検出結果の説明:

これにより、セキュリティ グループへの無制限の受信トラフィックが、リスクが最も高い、指定されたポートにアクセスできるかどうかを確認します。セキュリティ グループ内のいずれかのルールでこれらのポートの「0.0.0.0/0」または「::/0」からの上り(内向き)トラフィックが許可される場合、このコントロールは失敗します。

無制限のアクセス(0.0.0.0/0)は、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティを発生させる機会を増やします。

セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。どのセキュリティ グループでも、次のポートへの無制限の上り(内向き)アクセスを許可しないでください。

  • 20、21(FTP)
  • 22(SSH)
  • 23(Telnet)
  • 25(SMTP)
  • 110(POP3)
  • 135(RPC)
  • 143(IMAP)
  • 445(CIFS)
  • 1433、1434(MSSQL)
  • 3000(Go、Node.js、Ruby ウェブ開発フレームワーク)
  • 3306(mySQL)
  • 3389(RDP)
  • 4333(ahsp)
  • 5000(Python ウェブ開発フレームワーク)
  • 5432(postgresql)
  • 5500(fcp-addr-srvr1)
  • 5601(OpenSearch ダッシュボード)
  • 8080(プロキシ)
  • 8088(レガシー HTTP ポート)
  • 8888(代替 HTTP ポート)
  • 9200 または 9300(OpenSearch)

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

セキュリティ グループでは、リスクの高いポートへの無制限のアクセスを許可しないでください

  • リアルタイム スキャン: なし
Restricted Ssh

API のカテゴリ名: RESTRICTED_SSH

検出結果の説明:

セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。

CIS は、セキュリティ グループでポート 22 への無制限の上り(内向き)アクセスを許可しないことを推奨しています。SSH などのリモート コンソール サービスへの無制限の接続を削除することで、サーバーの露出リスクが軽減されます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

セキュリティ グループでは、0.0.0.0/0 からポート 22 への上り(内向き)を許可しないでください

  • リアルタイム スキャン: なし
Rotation Customer Created Cmks Enabled

API のカテゴリ名: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

検出結果の説明:

鍵ごとに鍵の自動ローテーションが有効になっているかどうか、顧客作成の AWS KMS 鍵の鍵 ID と一致するかどうかを確認します。リソースの AWS Config レコーダーのロールに kms:DescribeKey 権限がない場合、ルールは NON_COMPLIANT です。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

顧客作成の CMK のローテーションが有効になっていることを確認してください

  • リアルタイム スキャン: なし
Rotation Customer Created Symmetric Cmks Enabled

API のカテゴリ名: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

検出結果の説明:

AWS 鍵管理サービス(KMS)では、顧客作成の顧客マスター鍵(CMK)の鍵 ID に関連付けられた KMS に保存されている鍵のマテリアルを、顧客がローテーションできます。これは、暗号化や復号などの暗号オペレーションの実行に使用されるバックアップ鍵です。現在、鍵の自動ローテーションでは以前のバッキング鍵がすべて保持されるため、暗号化されたデータの復号は透過的に行うことができます。対称鍵の CMK 鍵のローテーションを有効にすることをおすすめします。非対称 CMK では鍵のローテーションを有効にできません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5,SC-28
  • PCI-DSS v4.0: 3.1.1,3.3.2,3.3.3,3.5.1,3.5.1.2,3.5.1.3,8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10,CC6.1.3
  • HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

顧客作成の対称 CMK のローテーションが有効になっていることを確認してください

  • リアルタイム スキャン: なし
Routing Tables Vpc Peering Are Least Access

API のカテゴリ名: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

検出結果の説明:

VPC ピアリングのルートテーブルが、最小権限のプリンシパルで構成されているかどうかを確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

VPC ピアリングのルーティング テーブルが「最小限のアクセス権」であることを確認してください

  • リアルタイム スキャン: なし
S3 Account Level Public Access Blocks

API のカテゴリ名: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

検出結果の説明:

Amazon S3 Block Public Access では、Amazon S3 リソースへの公開アクセスを管理するためのアクセス ポイント、バケット、アカウントを設定できます。デフォルトでは、新しいバケット、アクセス ポイント、オブジェクトは公開アクセスを許可しません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

必要な S3 公開アクセス ブロック設定がアカウント レベルで構成されているかどうかを確認してください

  • リアルタイム スキャン: なし
S3 Bucket Logging Enabled

API のカテゴリ名: S3_BUCKET_LOGGING_ENABLED

検出結果の説明:

AWS S3 サーバー アクセス ロギング機能は、ストレージ バケットへのアクセス リクエストを記録します。これは、セキュリティ監査に役立ちます。デフォルトでは、S3 バケットではサーバー アクセス ロギングは有効になっていません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

すべての S3 バケットでロギングが有効になっているか確認します

  • リアルタイム スキャン: なし
S3 Bucket Policy Set Deny Http Requests

API のカテゴリ名: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

検出結果の説明:

Amazon S3 バケットレベルでは、バケット ポリシーを使用して権限を構成し、HTTPS 経由でのみオブジェクトにアクセスできるようにできます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-17,IA-5,SC-8
  • PCI-DSS v4.0: 2.2.7,4.1.1,4.2.1,4.2.1.2,4.2.2,8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11,CC6.1.3,CC6.1.8,CC6.7.2
  • HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

S3 バケット ポリシーが HTTP リクエストを拒否するように設定されていることを確認してください

  • リアルタイム スキャン: なし
S3 Bucket Replication Enabled

API のカテゴリ名: S3_BUCKET_REPLICATION_ENABLED

検出結果の説明:

このコントロールでは、Amazon S3 バケットでクロスリージョン レプリケーションが有効になっているかどうかを確認します。バケットでクロスリージョン レプリケーションが有効になっていない場合、または同一リージョン レプリケーションが有効になっている場合でも、コントロールは失敗します。

レプリケーションは、同じまたは異なる AWS リージョン内のバケット間でのオブジェクトの自動非同期コピーです。レプリケーションにより、新しく作成されたオブジェクトとオブジェクトの更新が、ソースバケットから転送先バケットにコピーされます。AWS のベスト プラクティスでは、同じ AWS アカウントが所有するソースバケットと転送先バケットのレプリケーションが推奨されています。可用性だけでなく、他のシステム強化設定も検討する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

S3 バケットでクロスリージョン レプリケーションが有効になっているか確認します

  • リアルタイム スキャン: なし
S3 Bucket Server Side Encryption Enabled

API のカテゴリ名: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

検出結果の説明:

これにより、S3 バケットで Amazon S3 のデフォルトの暗号化が有効になっていること、またはサーバーサイドの暗号化なしで put-object リクエストが S3 バケット ポリシーで明示的に拒否されているかどうかを確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

すべての S3 バケットで保存データの暗号化が使用されていることを確認してください

  • リアルタイム スキャン: なし
S3 Bucket Versioning Enabled

API のカテゴリ名: S3_BUCKET_VERSIONING_ENABLED

検出結果の説明:

Amazon S3 を使用すると、1 つのオブジェクトの複数のバリアントを同じバケット内に維持できるため、意図しないユーザー操作やアプリケーションの障害から容易に復旧できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

すべての S3 バケットでバージョニングが有効になっていることを確認します

  • リアルタイム スキャン: なし
S3 Default Encryption Kms

API のカテゴリ名: S3_DEFAULT_ENCRYPTION_KMS

検出結果の説明:

Amazon S3 バケットが AWS 鍵管理サービス(AWS KMS)で暗号化されているかどうかを確認する

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)

すべてのバケットが KMS を使用して暗号化されていることを確認します

  • リアルタイム スキャン: なし
Sagemaker Notebook Instance Kms Key Configured

API のカテゴリ名: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

検出結果の説明:

Amazon SageMaker ノートブック インスタンスに AWS 鍵管理サービス(AWS KMS)鍵が構成されているかどうかを確認します。SageMaker ノートブック インスタンスに「KmsKeyId」が指定されていない場合、ルールは NON_COMPLIANT です。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

すべての SageMaker ノートブック インスタンスが KMS を使用するように構成されていることを確認してください

  • リアルタイム スキャン: なし
Sagemaker Notebook No Direct Internet Access

API のカテゴリ名: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

検出結果の説明:

SageMaker ノートブック インスタンスでインターネットからの直接アクセスが無効になっているかどうかを確認します。これを行うには、ノートブック インスタンスの DirectInternetAccess フィールドが無効になっているかどうかを確認します。

VPC を使用せずに SageMaker インスタンスを構成すると、デフォルトでインスタンスで直接インターネット アクセスが有効になります。VPC を使用してインスタンスを構成し、デフォルト設定を [無効 - VPC 経由でインターネットにアクセス] に変更します。

ノートブックからモデルをトレーニングまたはホストするには、インターネット アクセスが必要です。インターネット アクセスを有効にするには、VPC に NAT ゲートウェイがあり、セキュリティ グループでアウトバウンド接続が許可されていることを確認します。ノートブック インスタンスを VPC のリソースに接続する方法の詳細については、Amazon SageMaker デベロッパー ガイドの「VPC 内のリソースにノートブック インスタンスを接続する」をご覧ください。

また、SageMaker 構成へのアクセスは、承認されたユーザーのみに制限する必要もあります。SageMaker の設定とリソースを変更するユーザーの IAM 権限を制限します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

すべての Amazon SageMaker ノートブック インスタンスでインターネットからの直接アクセスが無効になっているかどうかを確認してください

  • リアルタイム スキャン: なし
Secretsmanager Rotation Enabled Check

API のカテゴリ名: SECRETSMANAGER_ROTATION_ENABLED_CHECK

検出結果の説明:

AWS Secret Manager に保存されているシークレットが自動ローテーションで構成されているかどうかを確認します。シークレットが自動ローテーションで構成されていない場合、コントロールは失敗します。maximumAllowedRotationFrequency パラメータにカスタム値を指定すると、指定した時間枠内にシークレットが自動的にローテーションされた場合にのみ、コントロールがパスします。

Secret Manager は、組織のセキュリティ対策の強化に役立ちます。シークレットには、データベースの認証情報、パスワード、サードパーティの API キーが含まれます。Secret Manager を使用すると、シークレットの一元的な保存、シークレットの自動暗号化、シークレットへのアクセスの制御、シークレットの安全かつ自動的なローテーションを行えます。

Secret Manager はシークレットをローテーションできます。ローテーションを使用して、長期シークレットを短期シークレットに置き換えることができます。シークレットをローテーションすると、権限のないユーザーが不正使用のシークレットを使用できる期間が制限されます。そのため、シークレットのローテーションを頻繁に行う必要があります。ローテーションの詳細については、AWS Secret Manager ユーザーガイドの AWS Secret Manager シークレットのローテーションをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

すべての AWS Secrets Manager シークレットでローテーションが有効になっていることを確認してください

  • リアルタイム スキャン: なし
Sns Encrypted Kms

API のカテゴリ名: SNS_ENCRYPTED_KMS

検出結果の説明:

SNS トピックが AWS KMS を使用して保存時に暗号化されているかどうかを確認します。SNS トピックがサーバーサイドの暗号化(SSE)に KMS 鍵を使用していない場合、コントロールは失敗します。

保存データの暗号化により、AWS に認証されていないユーザーがディスクに保存されているデータにアクセスするリスクを軽減できます。また、権限のないユーザーのデータへのアクセスを制限するアクセス制御セットも追加します。たとえば、データを読み取る前に復号するには、API 権限が必要です。セキュリティ強化のために、SNS トピックを保存時に暗号化する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)

すべての SNS トピックが KMS で暗号化されていることを確認してください

  • リアルタイム スキャン: なし
Vpc Default Security Group Closed

API のカテゴリ名: VPC_DEFAULT_SECURITY_GROUP_CLOSED

検出結果の説明:

このコントロールでは、VPC のデフォルトのセキュリティ グループが受信トラフィックと送信トラフィックのどちらを許可しているかを確認します。セキュリティ グループが受信トラフィックまたはアウトバウンド トラフィックを許可している場合、このコントロールは失敗します。

デフォルトのセキュリティ グループのルールでは、同じセキュリティ グループに割り当てられているネットワーク インターフェース(および関連するインスタンス)からのすべてのアウトバウンド トラフィックとインバウンド トラフィックが許可されます。デフォルトのセキュリティ グループは使用しないことをおすすめします。デフォルトのセキュリティ グループは削除できないため、デフォルトのセキュリティ グループのルール設定を変更して、インバウンド トラフィックとアウトバウンド トラフィックを制限する必要があります。これにより、EC2 インスタンスなどのリソースに対してデフォルトのセキュリティ グループが誤って構成されている場合に、意図しないトラフィックが発生するのを防ぎます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

それぞれの VPC のデフォルト セキュリティ グループがすべてのトラフィックを制限することを確認してください

  • リアルタイム スキャン: なし
Vpc Flow Logging Enabled All Vpcs

API のカテゴリ名: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

検出結果の説明:

VPC フローログは、VPC 内のネットワーク インターフェースを経由する IP トラフィックに関する情報を取得できる機能です。フローログを作成すると、Amazon CloudWatch Logs でそのデータを表示および取得できます。VPC のパケットの「拒否」に対して、VPC フローログを有効にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-4,SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15,A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1,CC7.2.2,CC7.2.3,CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6,8.2

すべての VPC で VPC フローロギングが有効になっていることを確認してください

  • リアルタイム スキャン: なし
Vpc Sg Open Only To Authorized Ports

API のカテゴリ名: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

検出結果の説明:

このコントロールは、Amazon EC2 セキュリティ グループが未承認のポートからの無制限の受信トラフィックを許可するかどうかを確認します。コントロール ステータスは次のように決定されます。

AuthorizationTcpPorts にデフォルト値を使用する場合、セキュリティ グループがポート 80 と 443 以外のポートからの無制限の受信トラフィックを許可すると、コントロールが失敗します。

authorizedTcpPorts または authorizedUdpPorts にカスタム値を指定した場合、セキュリティ グループがリストされていないポートからの無制限の受信トラフィックを許可すると、コントロールが失敗します。

パラメータが使用されていない場合、無制限の受信トラフィックのルールがあるセキュリティ グループに対するコントロールが失敗します。

セキュリティ グループは、AWS に上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。セキュリティ グループのルールは、最小権限アクセスのプリンシパルに従う必要があります。無制限のアクセス(/0 接尾辞を持つ IP アドレス)は、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティを発生させる可能性が高くなります。ポートが特に許可されていない限り、そのポートは無制限のアクセスを拒否する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

任意の VPC の 0.0.0.0/0 を持つセキュリティ グループが、特定のインバウンド TCP/UDP トラフィックのみを許可していることを確認してください

  • リアルタイム スキャン: なし
Both VPC VPN Tunnels Up

API のカテゴリ名: VPC_VPN_2_TUNNELS_UP

検出結果の説明:

VPN トンネルは、AWS サイト間 VPN 接続内で顧客ネットワークと AWS との間でデータをやり取りできる暗号化されたリンクです。各 VPN 接続には 2 つの VPN トンネルがあり、高可用性を確保するためにそれらを同時に使用できます。AWS VPC とリモート ネットワーク間の安全で可用性の高い接続を確保するために、両方の VPN トンネルが VPN 接続で稼働していることを確認することが重要です。

このコントロールにより、AWS サイト間 VPN によって提供される両方の VPN トンネルが UP ステータスであることを確認します。1 つまたは両方のトンネルが DOWN ステータスの場合、コントロールは失敗します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

AWS サイト間で提供される両方の AWS VPN トンネルが UP ステータスになっていることを確認してください

  • リアルタイム スキャン: なし

Web Security Scanner の検出結果

Web Security Scanner のカスタム スキャンとマネージド スキャンでは、次のタイプの検出結果が識別されます。スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。

表 21. Web Security Scanner の検出結果
カテゴリ 検出結果の説明 OWASP 2017 Top 10 OWASP 2021 Top 10
Accessible Git repository

API のカテゴリ名: ACCESSIBLE_GIT_REPOSITORY

Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。

料金ティア: スタンダード

この問題を修正する

A5 A01
Accessible SVN repository

API のカテゴリ名: ACCESSIBLE_SVN_REPOSITORY

SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。

料金ティア: スタンダード

この問題を修正する

A5 A01
Cacheable password input

API のカテゴリ名: CACHEABLE_PASSWORD_INPUT

ウェブ アプリケーションに入力したパスワードは、安全なパスワード ストレージではなく、通常のブラウザ キャッシュに保存できます。

料金ティア: プレミアム

この問題を修正する

A3 A04
Clear text password

API のカテゴリ名: CLEAR_TEXT_PASSWORD

パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。

料金ティア: スタンダード

この問題を修正する

A3 A02
Insecure allow origin ends with validation

API のカテゴリ名: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

クロスサイト HTTP または HTTPS エンドポイントは、Origin リクエスト ヘッダーのサフィックスのみを検査してから、Access-Control-Allow-Origin レスポンス ヘッダー内に反映されます。この検出結果を解決するには、想定どおりのルートドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値の一部になっていることを確認します。サブドメインのワイルドカードの場合は、ルートドメインに先頭にドットを追加します(例: .endsWith(".google.com"))。

料金ティア: プレミアム

この問題を修正する

A5 A01
Insecure allow origin starts with validation

API のカテゴリ名: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

クロスサイト HTTP または HTTPS エンドポイントは、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのプレフィックスのみを検証します。この検出結果を解決するには、想定どおりのドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値に完全に一致しているかどうか確認します。例: .equals(".google.com")

料金ティア: プレミアム

この問題を修正する

A5 A01
Invalid content type

API のカテゴリ名: INVALID_CONTENT_TYPE

レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この検出結果を解決するには、X-Content-Type-Options HTTP ヘッダーに正しい値を設定します。

料金ティア: スタンダード

この問題を修正する

A6 A05
Invalid header

API のカテゴリ名: INVALID_HEADER

セキュリティ ヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: スタンダード

この問題を修正する

A6 A05
Mismatching security header values

API のカテゴリ名: MISMATCHING_SECURITY_HEADER_VALUES

セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: スタンダード

この問題を修正する

A6 A05
Misspelled security header name

API のカテゴリ名: MISSPELLED_SECURITY_HEADER_NAME

セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: スタンダード

この問題を修正する

A6 A05
Mixed content

API のカテゴリ名: MIXED_CONTENT

HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。

料金ティア: スタンダード

この問題を修正する

A6 A05
Outdated library

API のカテゴリ名: OUTDATED_LIBRARY

既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。

料金ティア: スタンダード

この問題を修正する

A9 A06
Server side request forgery

API のカテゴリ名: SERVER_SIDE_REQUEST_FORGERY

サーバー側のリクエスト フォージェリ(SSRF)の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブ アプリケーションがリクエストできるドメインと IP アドレスを制限します。

料金ティア: スタンダード

この問題を修正する

該当なし A10
Session ID leak

API のカテゴリ名: SESSION_ID_LEAK

クロスドメイン リクエストを行う場合は、ウェブ アプリケーションの Referer リクエスト ヘッダーにユーザーのセッション ID を含めます。この脆弱性により、受信側ドメインにセッション ID へのアクセス権が付与されます。この ID は、ユーザーになりすますことや、ユーザーを一意に識別するために使用される可能性があります。

料金ティア: プレミアム

この問題を修正する

A2 A07
SQL injection

API のカテゴリ名: SQL_INJECTION

潜在的な SQL インジェクション脆弱性が検出された。この問題を解決するには、パラメータ化されたクエリを使用して、ユーザー入力が SQL クエリの構造に影響を与えないようにします。

料金ティア: プレミアム

この問題を修正する

A1 A03
Struts insecure deserialization

API のカテゴリ名: STRUTS_INSECURE_DESERIALIZATION

脆弱なバージョンの Apache Struts の使用が検出された。この問題を解決するには、Apache Struts を最新バージョンにアップグレードしてください。

料金ティア: プレミアム

この問題を修正する

A8 A08
XSS

API のカテゴリ名: XSS

このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。

料金ティア: スタンダード

この問題を修正する

A7 A03
XSS angular callback

API のカテゴリ名: XSS_ANGULAR_CALLBACK

ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。

料金ティア: スタンダード

この問題を修正する

A7 A03
XSS error

API のカテゴリ名: XSS_ERROR

このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。

料金ティア: スタンダード

この問題を修正する

A7 A03
XXE reflected file leakage

API のカテゴリ名: XXE_REFLECTED_FILE_LEAKAGE

XML 外部エンティティ(XXE)の脆弱性が検出された。この脆弱性により、ウェブ アプリケーションによりホスト上のファイルが漏洩する可能性があります。この検出結果を解決するには、外部エンティティを許可しないように XML パーサーを構成します。

料金ティア: プレミアム

この問題を修正する

A4 A05
Prototype pollution

API のカテゴリ名: PROTOTYPE_POLLUTION

このアプリケーションはプロトタイプ汚染に対して脆弱性があります。この脆弱性は、Object.prototype オブジェクトのプロパティに攻撃者が制御可能な値が割り当てられる場合に発生します。一般的に、これらのプロトタイプに入力された値は、クロスサイト スクリプティング、類似したクライアントサイドの脆弱性、およびロジックのバグにつながると見なされています。

料金ティア: スタンダード

この問題を修正する

A1 A03

Rapid Vulnerability Detection の検出結果と改善策

Rapid Vulnerability Detection は、脆弱な認証情報、不完全なソフトウェアのインストール、悪用の可能性が高いその他の重大な脆弱性を検出します。このサービスは、ネットワーク エンドポイント、プロトコル、開いているポート、ネットワーク サービス、インストールされているソフトウェア パッケージを自動的に検出します。

Rapid Vulnerability Detection の検出結果は脆弱性の早期警告で、直ちに修正することをおすすめします。

検出結果を表示する方法については、Security Command Center で検出結果を確認するをご覧ください。

Rapid Vulnerability Detection スキャンでは、次のタイプの検出結果が識別されます。

表 23. Rapid Vulnerability Detection の検出結果と改善策
検出結果のタイプ 検出結果の説明 OWASP トップ 10 コード
脆弱な認証情報の検出
WEAK_CREDENTIALS この検出機能は、ncrack ブルート フォース手法を使用して、脆弱な認証情報をチェックします。

サポートされているサービス: SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、DICOM

改善策: 安全なパスワード ポリシーを適用します。サービスに固有の認証情報を作成します。辞書に載っている単語をパスワードに使用しないでください。

2021
A07

2017
A2
公開されたインターフェースの検出
ELASTICSEARCH_API_EXPOSED Elasticsearch API を使用すると、呼び出し元は任意のクエリの実行、スクリプトの作成と実行、サービスへのドキュメントの追加を行うことができます。

改善策: アプリケーションからリクエストをルーティングすることで Elasticsearch API への直接アクセスを削除するか、認証されたユーザーのみにアクセスを制限します。詳細については、Elasticsearch のセキュリティ設定をご覧ください。

2021
A01、A05

2017
A5、A6
EXPOSED_GRAFANA_ENDPOINT

Grafana 8.0.0 から 8.3.0 では、ユーザーはディレクトリ トラバーサルの脆弱性があるエンドポイントに認証なしでアクセスできます。この脆弱性を悪用すると、認証なしでサーバー上のファイルを読み取ることができます。詳細については、CVE-2021-43798 をご覧ください。

改善策: Grafana にパッチを適用するか、Grafana を新しいバージョンにアップグレードします。詳細については、Grafana のパス トラバーサルをご覧ください。

2021
A06、A07

2017
A2、A9
EXPOSED_METABASE

オープンソースのデータ分析プラットフォームである Metabase のバージョン x.40.0~x.40.4 には、カスタム GeoJSON マップサポートの脆弱性が存在し、環境変数などのローカル ファイルへのインクルードが行われる可能性があります。URL は読み込み前に検証されていません。詳細については、CVE-2021-41277 をご覧ください。

改善策: メンテナンス リリース 0.40.5 以降または 1.40.5 以降にアップグレードします。詳細については、GeoJSON URL 検証で未承認のユーザーにサーバー ファイルと環境変数が公開される可能性をご覧ください。

2021
A06

2017
A3、A9
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT この検出機能は、Spring Boot アプリケーションの機密性の高い Actuator エンドポイントが公開されているかどうかを確認します。/heapdump など、一部のデフォルトのエンドポイントでは機密情報が公開される可能性があります。/env などの他のエンドポイントでは、リモートからコードが実行されるおそれがあります。現在のところ、/heapdump のみがチェックされます。

改善策: 機密性の高い Actuator エンドポイントへのアクセスを無効にします。詳細については、HTTP エンドポイントの保護をご覧ください。

2021
A01、A05

2017
A5、A6
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API この検出機能は、Hadoop クラスタの計算リソースとストレージ リソースを制御する Hadoop Yarn ResourceManager API が公開され、未認証のコード実行を許可しているかどうかをチェックします。

改善策: API でアクセス制御リストを使用します。

2021
A01、A05

2017
A5、A6
JAVA_JMX_RMI_EXPOSED Java Management Extension(JMX)を使用すると、Java アプリケーションに対してリモート モニタリングと診断を行うことができます。保護されていない Remote Method Invocation エンドポイントで JMX を実行すると、リモート ユーザーは javax.management.loading.MLet MBean を作成し、それを使用して任意の URL から新しい MBeans を作成できます。

改善策: リモート モニタリングを適切に構成するには、JMX テクノロジーを使用したモニタリングと管理をご覧ください。

2021
A01、A05

2017
A5、A6
JUPYTER_NOTEBOOK_EXPOSED_UI この検出機能は、未認証の Jupyter Notebook が公開されているかどうかをチェックします。Jupyter では、ホストマシン上で設計することでリモートコードの実行が可能となります。未認証の Jupyter Notebook を使用すると、ホストしている VM がリモートコード実行の危険にさらされます。

改善策: Jupyter Notebook サーバーにトークン認証を追加するか、デフォルトでトークン認証を使用する最新バージョンの Jupyter Notebook を使用します。

2021
A01、A05

2017
A5、A6
KUBERNETES_API_EXPOSED Kubernetes API が公開されており、未認証の呼出し元からもアクセス可能です。これにより、Kubernetes クラスタで任意のコードを実行できます。

改善策: すべての API リクエストで認証を必須にします。詳細については、Kubernetes API の認証ガイドをご覧ください。

2021
A01、A05

2017
A5、A6
UNFINISHED_WORDPRESS_INSTALLATION この検出機能は、WordPress のインストールが完了していないかどうかチェックします。WordPress のインストールが完了していないと /wp-admin/install.php ページが表示されるため、攻撃者が管理者パスワードを設定できます。場合によってはシステムが侵害される可能性があります。

改善策: WordPress のインストールを完了します。

2021
A05

2017
A6
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE この検出機能は、/view/all/newJob エンドポイントに匿名ユーザーとして、プローブ ping を送信することにより、未認証の Jenkins インスタンスをチェックします。認証済みの Jenkins インスタンスは createItem フォームを表示しますが、このフォームを使用すると、リモートコード実行を引き起こす可能性のある任意のジョブを作成できます。

改善策: Jenkins のセキュリティ管理ガイドに沿って、未認証アクセスをブロックします。

2021
A01、A05

2017
A5、A6
脆弱なソフトウェアの検出
APACHE_HTTPD_RCE

Apache HTTP Server 2.4.49 に、パス トラバーサル攻撃により、想定されるドキュメント ルート以外のファイルに URL がマッピングされ、CGI スクリプトなどの解釈されたファイルのソースが開示される脆弱性が見つかりました。この問題は、実際に悪用されていることが確認されています。この問題は、Apache 2.4.49 と 2.4.50 に影響しますが、以前のバージョンには影響しません。この脆弱性の詳細については、以下をご覧ください。

  1. CVE レコード CVE-2021-41773
  2. Apache HTTP Server 2.4 の脆弱性

改善策: Apache HTTP Server で「すべての拒否」ディレクティブを構成することで、ドキュメント ルートの外部にあるファイルを保護します。

2021
A01、A06

2017
A5、A9
APACHE_HTTPD_SSRF

mod_proxy が攻撃者によって選択された配信元サーバーにリクエストを転送するように、Apache ウェブサーバーへの URI が作成される可能性があります。この問題は、Apache HTTP サーバー 2.4.48 以前に影響します。この脆弱性の詳細については、以下をご覧ください。

  1. CVE レコード CVE-2021-40438
  2. Apache HTTP Server 2.4 の脆弱性

改善策: Apache HTTP サーバーを新しいバージョンにアップグレードします。

2021
A06、A10

2017
A9
CONSUL_RCE

Consul インスタンスの -enable-script-checkstrue に構成され、Consul HTTP API が保護されずにネットワーク経由でアクセスできるため、Consul サーバーで任意のコードが実行される可能性があります。Consul 0.9.0 以前では、スクリプト チェックはデフォルトでオンになっています。詳細については、特定の構成での RCE リスクからの Consul の保護をご覧ください。この脆弱性を確認するため、Rapid Vulnerability Detection は /v1/health/service REST エンドポイントを使用して Consul インスタンスにサービスを登録します。これにより、次のいずれかが実行されます。

  1. ネットワーク外のリモート サーバーへの curl コマンド。攻撃者は、curl コマンドを使用してサーバーからデータを抜き取ることができます。
  2. printf コマンド。Rapid Vulnerability Detection は、/v1/health/service REST エンドポイントを使用して、コマンドの出力を検証します。

検証後、Rapid Vulnerability Detection は /v1/agent/service/deregister/ REST エンドポイントを使用してサービスをクリーンアップし、登録を解除します。

改善策: コンソール インスタンス構成で enable-script-checks を false に設定します。

2021
A05、A06

2017
A6、A9
DRUID_RCE

Apache Druid には、さまざまなタイプのリクエストに埋め込まれたユーザー提供の JavaScript コードを実行する機能があります。この機能は高信頼性環境で使用することを想定しており、デフォルトでは無効になっています。 ただし、Druid 0.20.0 以前では、認証済みユーザーは特別なリクエストを送信して、Druid にユーザー指定の JavaScript コードを実行させることができます。これはサーバー構成に関係なく可能です。これにより、Druid サーバー プロセスの権限を使用してターゲット マシンでコードを実行できます。詳細については、CVE-2021-25646 の詳細をご覧ください。

改善策: Apache Druid を新しいバージョンにアップグレードします。

2021
A05、A06

2017
A6、A9
DRUPAL_RCE

このカテゴリには Drupal の 2 つの脆弱性が含まれています。このタイプの検出結果が複数ある場合、複数の脆弱性を示している可能性があります。

Drupal の 7.58 より前のバージョン、8.3.9 より前のバージョン 8.x、8.4.6 より前のバージョン 8.4.x、8.5.1 より前のバージョン 8.5.x は、Form API AJAX リクエストでのリモートコード実行に対して脆弱です。

改善策: 代替バージョンの Drupal にアップグレードします。

2021
A06

2017
A9
Drupal の 8.5.11 より前のバージョン 8.5.x、8.6.10 より前のバージョン 8.6.x では、RESTful Web Service モジュールまたは JSON:API のいずれかが有効になっている場合、リモートコード実行に対して脆弱です。この脆弱性は、悪意のある非人称ユーザーがカスタム POST リクエストを使用して悪用する可能性があります。

改善策: 代替バージョンの Drupal にアップグレードします。

2021
A06

2017
A9
FLINK_FILE_DISCLOSURE Apache Flink バージョン 1.11.0、1.11.1、1.11.2 に脆弱性があります。これにより、JobManager プロセスの REST インターフェースを介して JobManager のローカル ファイルシステム上のファイルが読み取られる可能性があります。アクセスは、JobManager プロセスがアクセスできるファイルに制限されます。

改善策: Flink インスタンスが公開されている場合は、Flink 1.11.3 または 1.12.0 にアップグレードします。

2021
A01、A05、A06

2017
A5、A6、A9
GITLAB_RCE

GitLab Community Edition(CE)と Enterprise Edition(EE)バージョン 11.9 以降で、GitLab はファイル パーサーに渡される画像ファイルを正しく検証しません。この脆弱性が悪用され、リモートからコマンドが実行される可能性があります。

改善策: GitLab CE または EE リリース 13.10.3、13.9.6、13.8.8 以降にアップグレードします。詳細については、CVE-2021-22205 に対してセルフマネージド型のお客様が行う必要がある対応をご覧ください。

2021
A06

2017
A9
GoCD_RCE

GoCD 21.2.0 以前に、認証なしでアクセスできるエンドポイントがあります。このエンドポイントにはディレクトリ トラバーサルの脆弱性があり、ユーザーは認証なしでサーバー上の任意のファイルを読み取ることができます。

改善: バージョン 21.3.0 以降にアップグレードします。詳細については、GoCD 21.3.0 のリリースノートをご覧ください。

2021
A06、A07

2017
A2、A9
JENKINS_RCE Jenkins バージョン 2.56 以前と 2.46.1 LTS 以前に、リモートコード実行の脆弱性が存在します。この脆弱性は、未認証の攻撃者がシリアル化された不正な Java オブジェクトを使用してトリガーする可能性があります。

改善策: 代替バージョンの Jenkins をインストールします。

2021
A06、A08

2017
A8、A9
JOOMLA_RCE

このカテゴリには、Joomla の脆弱性が 2 つ含まれています。このタイプの検出結果が複数ある場合、複数の脆弱性を示している可能性があります。

Joomla の 3.4.6 より前のバージョン 1.5.x、2.x、3.x には、リモートコード実行の脆弱性が存在します。この脆弱性は、シリアル化された PHP オブジェクトを含む詳細なヘッダーによってトリガーされる可能性があります。

改善策: 代替バージョンの Joomla をインストールします。

2021
A06、A08

2017
A8、A9
Joomla のバージョン 3.0.0~3.4.6 にリモートコード実行の脆弱性が存在します。この脆弱性は、シリアル化された不正な PHP オブジェクトを含む POST リクエストを送信することでトリガーされる可能性があります。

改善策: 代替バージョンの Joomla をインストールします。

2021
A06

2017
A9
LOG4J_RCE

Apache Log4j2 2.14.1 以前では、構成、ログメッセージ、パラメータで使用される JNDI 機能は、攻撃者が制御する LDAP やその他の JNDI 関連エンドポイントを阻止しません。詳細については、CVE-2021-44228 をご覧ください。

改善策: 改善策の詳細については、Apache Log4j のセキュリティ脆弱性をご覧ください。

2021
A06

2017
A9
MANTISBT_PRIVILEGE_ESCALATION MantisBT バージョン 2.3.0 では、verify.php に空の confirm_hash 値を指定することで、任意のパスワードのリセットと未認証ユーザーによる管理者アクセスが可能になります。

改善策: MantisBT を新しいバージョンに更新するか、Mantis の手順に沿って重要なセキュリティ修正を適用します。

2021
A06

2017
A9
OGNL_RCE

Confluence Server インスタンスと Data Center インスタンスには、未認証の攻撃者が任意のコードを実行する可能性のある OGNL インジェクションの脆弱性が存在します。詳細については、CVE-2021-26084 をご覧ください。

改善策: 改善策の詳細については、Confluence Server Webwork OGNL インジェクション - CVE-2021-26084 をご覧ください。

2021
A03

2017
A1
OPENAM_RCE

OpenAM サーバー 14.6.2 以前と ForgeRock AM サーバー 6.5.3 以前には、複数のページの jato.pageSession パラメータに Java のシリアル化解除の脆弱性があります。悪用には認証が不要であり、細工した 1 つの /ccversion/* リクエストをサーバーに送信することでリモートからのコード実行が可能になります。この脆弱性は、Sun ONE アプリケーションの使用が原因で発生します。詳細については、CVE-2021-35464 をご覧ください。

改善策: より新しいバージョンにアップグレードします。ForgeRock の改善策については、AM セキュリティ アドバイザリ #202104 をご覧ください。

2021
A06

2017
A9
ORACLE_WEBLOGIC_RCE

Oracle Fusion Middleware(コンポーネント: コンソール)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に脆弱性が存在します。この脆弱性は悪用されやすく、ネットワーク アクセス権限のある未認証のユーザーが HTTP 経由で Oracle WebLogic Server を侵害できます。この脆弱性が攻撃されると、Oracle WebLogic Server が乗っ取られる可能性があります。詳細については、CVE-2020-14882 をご覧ください。

回避策: パッチの情報については、Oracle Critical Patch Update Advisory - October 2020 をご覧ください。

2021
A06、A07

2017
A2、A9
PHPUNIT_RCE 5.6.3 より前のバージョンの PHPUnit では、未認証の POST リクエストによってリモートコードが実行される可能性があります。

改善策: 新しい PHPUnit バージョンにアップグレードします。

2021: A05
2017: A6
PHP_CGI_RCE PHP のバージョン 5.3.12 以前と 5.4.2 より前のバージョン 5.4.x では、CGI スクリプトとして構成されているリモートコードの実行が可能です。脆弱性のあるコードでは、=(等号)文字のないクエリ文字列が適切に処理されません。攻撃者は、サーバー上で実行されるコマンドライン オプションを追加できます。

改善策: 代替バージョンの PHP をインストールします。

2021
A05、A06

2017
A6、A9
PORTAL_RCE 7.2.1 CE GA2 より前の Liferay Portal バージョンでは、信頼できないデータを逆シリアル化することで、リモートの攻撃者が JSON ウェブサービス経由で任意のコードを実行できます。

改善策: Liferay Portal の新しいバージョンにアップグレードします。

2021
A06、A08

2017
A8、A9
REDIS_RCE

Redis インスタンスで管理者コマンドを実行するための認証が不要な場合、攻撃者は任意のコードを実行できる可能性があります。

回避策: 認証を要求するように Redis を構成します。

2021
A01、A05

2017
A5、A6
SOLR_FILE_EXPOSED

オープンソースの検索サーバーである Apache Solr で認証が有効になっていません。Apache Solr が認証を必要としない場合、攻撃者は特定の構成を有効にするリクエストを直接作成できます。最終的には、サーバー側のリクエスト フォージェリ(SSRF)を実装したり、任意のファイルを読み取ることが可能になります。

改善策: 代替バージョンの Apache Solr にアップグレードします。

2021
A07、A10

2017
A2
SOLR_RCE Apache Solr のバージョン 5.0.0~8.3.1 で、params.resource.loader.enabledtrue に設定されていると、VelocityResponseWriter からリモートコードが実行される可能性があります。この設定により、攻撃者が悪意のあるベロシティ テンプレートを含むパラメータを作成する可能性があります。

改善策: 代替バージョンの Apache Solr にアップグレードします。

2021
A06

2017
A9
STRUTS_RCE

このカテゴリには、Apache Struts の脆弱性が 3 つ含まれています。このタイプの検出結果が複数ある場合、複数の脆弱性を示している可能性があります。

Apache Struts の 2.3.32 より前のバージョンと 2.5.10.1 より前のバージョン 2.5.x には、リモートコード実行の脆弱性が存在します。この脆弱性は、未認証の攻撃者が不正な Content-Type ヘッダーを提供することでトリガーされる可能性があります。

改善策: 代替バージョンの Apache Struts をインストールします。

2021
A06

2017
A9
Apache Struts の 2.3.34 より前のバージョン 2.1.1~2.3.x と、2.5.13 より前のバージョン 2.5.x の REST プラグインで、不正な XML ペイロードのシリアル化を解除するときに、リモートからコードが実行される可能性があります。

改善策: 代替バージョンの Apache Struts をインストールします。

2021
A06、A08

2017
A8、A9
Apache Struts のバージョン 2.3~2.3.34、2.5~2.5.16 で、alwaysSelectFullNamespacetrue に設定されていて、特定のバージョン他のアクション構成が存在する場合、リモートコードが実行される可能性があります。

改善策: バージョン 2.3.35 または 2.5.17 をインストールします。

2021
A06

2017
A9
TOMCAT_FILE_DISCLOSURE Apache Tomcat のバージョン 9.x(9.0.31 より前)、8.x(8.5.51 より前)、7.x(7.0.100 より前)、6.x(すべて)に、公開されている Apache JServ Protocol コネクタを介してソースコードと構成が開示される脆弱性が存在します。ファイルのアップロードが許可されている場合、この脆弱性がリモートコードの実行に利用されることがあります。

改善策: 代替バージョンの Apache Tomcat にアップグレードします。

2021
A06

2017
A3、A9
VBULLETIN_RCE バージョン 5.0.0 から 5.5.4 を実行する vBulletin サーバーに、リモートコード実行の脆弱性が存在します。この脆弱性は、routestring リクエストでクエリ パラメータを使用している未認証の攻撃者によって悪用される可能性があります。

改善策: 代替バージョンの VMware vCenter Server にアップグレードします。

2021
A03、A06

2017
A1、A9
VCENTER_RCE VMware vCenter Server の 7.0 U1c より前のバージョン 7.x、6.7 U3l より前のバージョン 6.7、6.5 U3n より前のバージョン 6.5 に、リモートコード実行の脆弱性が存在します。この脆弱性により、攻撃者は不正な Java Server Pages ファイルをウェブアクセス可能なディレクトリにアップロードして、そのファイルを実行する可能性があります。

改善策: 代替バージョンの VMware vCenter Server にアップグレードします。

2021
A06

2017
A9
WEBLOGIC_RCE

Oracle Fusion Middleware(コンポーネント: コンソール)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に、リモートコード実行の脆弱性が存在します。この脆弱性は、CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 に関連しています。詳細については、CVE-2020-14883 をご覧ください。

回避策: パッチの情報については、Oracle Critical Patch Update Advisory - October 2020 をご覧ください。

2021
A06、A07

2017
A2、A9

IAM Recommender の検出結果

次の表に、IAM Recommender によって生成される Security Command Center の検出結果を示します。

各 IAM Recommender の検出結果には、Google Cloud 環境のプリンシパルの過剰な権限を含むロールを削除または置換するための具体的な推奨事項が含まれています。

IAM Recommender によって生成された検出結果は、影響を受けるプロジェクト、フォルダ、または組織の IAM ページの Google Cloud コンソールに表示される推奨事項に対応しています。

IAM Recommender と Security Command Center の統合の詳細については、セキュリティ ソースをご覧ください。

IAM Recommender の検出結果
検出機能 概要
IAM role has excessive permissions

API のカテゴリ名: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

検出結果の説明: IAM Recommender が、ユーザー アカウントに過剰な権限を付与する IAM ロールを持つサービス アカウントを検出しました。

料金ティア: プレミアム

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

  1. Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
  2. [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。テーブルに推奨事項が表示されます。
  3. [セキュリティ分析情報] 列で、過剰な権限に関連する推奨事項をクリックします。推奨事項の詳細パネルが開きます。
  4. この問題を解決するために実施できるアクションの推奨事項を確認します。
  5. [適用] をクリックします。

問題が解決すると、IAM Recommender は、24 時間以内に検出結果のステータスを INACTIVE に更新します。

Service agent role replaced with basic role

API のカテゴリ名: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

検出結果の説明: IAM Recommender は、サービス エージェントに付与された元のデフォルトの IAM ロールが IAM 基本ロール(オーナー編集者閲覧者)のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。

料金ティア: プレミアム

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

  1. Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
  2. [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。テーブルに推奨事項が表示されます。
  3. [セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。
  4. 過剰な権限を確認します。
  5. [適用] をクリックします。

問題が解決すると、IAM Recommender は、24 時間以内に検出結果のステータスを INACTIVE に更新します。

Service agent granted basic role

API のカテゴリ名: SERVICE_AGENT_GRANTED_BASIC_ROLE

検出結果の説明: IAM Recommender は、サービス エージェントに IAM 基本ロール(オーナー編集者閲覧者)のいずれかが付与されていることを検出しました。基本ロールは制限が緩すぎるレガシーロールであるため、サービス エージェントに付与しないでください。

料金ティア: プレミアム

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

  1. Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
  2. [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。テーブルに推奨事項が表示されます。
  3. [セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。
  4. 過剰な権限を確認します。
  5. [適用] をクリックします。

問題が解決すると、IAM Recommender は、24 時間以内に検出結果のステータスを INACTIVE に更新します。

Unused IAM role

API のカテゴリ名: UNUSED_IAM_ROLE

検出結果の説明: IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザー アカウントを検出しました。

料金ティア: プレミアム

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

  1. Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
  2. [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。テーブルに推奨事項が表示されます。
  3. [セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。
  4. 過剰な権限を確認します。
  5. [適用] をクリックします。

問題が解決すると、IAM Recommender は、24 時間以内に検出結果のステータスを INACTIVE に更新します。

セキュリティ対策サービスの検出結果

次の表に、セキュリティ対策サービスによって生成される Security Command Center の検出結果を示します。

各セキュリティ対策サービスの検出結果では、定義したセキュリティ対策からのブレのインスタンスを識別します。

セキュリティ対策の検出結果
検索中 まとめ
SHA Canned Module Drifted

API のカテゴリ名: SECURITY_POSTURE_DETECTOR_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics 検出機能への変更を検出しました。

料金ティア: プレミアム

この問題を修正する:

この検出結果では、変更を受け入れるか、対策の検出機能の設定と環境が一致するように変更を元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics 検出機能を更新するか、対策と対策のデプロイを更新するかです。

変更を元に戻すには、Google Cloud コンソールで Security Health Analytics 検出機能を更新します。手順については、検出機能を有効または無効にするをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
SHA Custom Module Drifted

API のカテゴリ名: SECURITY_POSTURE_DETECTOR_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics カスタム モジュールへの変更を検出しました。

料金ティア: プレミアム

この問題を修正する:

この検出結果により、対策と環境のカスタム モジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタム モジュールを更新するか、対策と対策のデプロイを更新するかです。

変更を元に戻すには、Google Cloud コンソールで Security Health Analytics カスタム モジュールを更新します。手順については、カスタム モジュールを更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
SHA Custom Module Deleted

API のカテゴリ名: SECURITY_POSTURE_DETECTOR_DELETE

検出結果についての説明: セキュリティ ポスチャー サービスが、Security Health Analytics のカスタム モジュールが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

料金ティア: プレミアム

この問題を修正する:

この検出結果により、対策と環境のカスタム モジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタム モジュールを更新するか、対策と対策のデプロイを更新するかです。

変更を元に戻すには、Google Cloud コンソールで Security Health Analytics カスタム モジュールを更新します。手順については、カスタム モジュールを更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
Org Policy Canned Constraint Drifted

API のカテゴリ名: SECURITY_POSTURE_POLICY_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のポリシーの変更を検出しました。

料金ティア: プレミアム

この問題を修正する:

この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
Org Policy Canned Constraint Deleted

API のカテゴリ名: SECURITY_POSTURE_POLICY_DELETE

検出結果についての説明: セキュリティ対策サービスが、組織のポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

料金ティア: プレミアム

この問題を修正する:

この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
Org Policy Custom Constraint Drifted

API のカテゴリ名: SECURITY_POSTURE_POLICY_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のカスタム ポリシーの変更を検出しました。

料金ティア: プレミアム

この問題を修正する:

この検出結果により、対策と環境の組織のカスタム ポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタム ポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、Google Cloud コンソールで組織のカスタム ポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
Org Policy Custom Constraint Deleted

API のカテゴリ名: SECURITY_POSTURE_POLICY_DELETE

検出結果についての説明: セキュリティ対策サービスが、組織のカスタム ポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

料金ティア: プレミアム

この問題を修正する:

この検出結果により、対策と環境の組織のカスタム ポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタム ポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、Google Cloud コンソールで組織のカスタム ポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

VM Manager

VM Manager は、Compute Engine 上で Windows と Linux を実行している大規模な仮想マシン(VM)フリートでオペレーティング システムの管理を行うためのツールです。

組織レベルで Security Command Center Premium を使用して VM Manager を有効にすると、VM Manager は脆弱性レポート(現在はプレビュー版)の検出結果を Security Command Center に送信します。このレポートは、VM にインストールされたオペレーティング システムの Common Vulnerability and Exposures(CVE)などの脆弱性を特定します。

Security Command Center Premium でプロジェクト レベルの有効化を行って VM Manager を使用するには、親組織で Security Command Center Standard を有効にします。

Security Command Center Standard では、脆弱性レポートを使用できません。

検出結果を使用することで、VM Manager のパッチ コンプライアンス機能(プレビュー段階)を使用するプロセスが簡略化されます。この機能を使用すると、すべてのプロジェクトで組織レベルでパッチ管理を行うことができます。

VM Manager から受信する脆弱性の検出結果の重大度は、常に CRITICAL または HIGH です。

VM Manager の検出結果

このタイプの脆弱性はすべて、サポートされている Compute Engine VM にインストールされたオペレーティング システム パッケージに関連しています。

表 24.VM Manager の脆弱性レポート
検出機能 概要 アセットのスキャン設定 コンプライアンス標準
OS vulnerability

API のカテゴリ名: OS_VULNERABILITY

検出結果の説明: VM Manager が、Compute Engine VM にインストールされているオペレーティング システム(OS)パッケージに脆弱性を検出しました。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

VM Manager の脆弱性レポートでは、Compute Engine VM のインストール済みオペレーティング システム パッケージの脆弱性(共通脆弱性識別子(CVE)など)が詳細に説明されています。

サポートされているオペレーティング システムの完全なリストについては、オペレーティング システムの詳細をご覧ください。

脆弱性が検出されると、Security Command Center に検出結果がすぐに表示されます。VM Manager の脆弱性レポートは次のように生成されます。

  • パッケージが VM のオペレーティング システムでインストールまたは更新されると、変更後 2 時間以内に、Security Command Center で VM の 共通脆弱性識別子(CVE)の情報を確認できます。
  • オペレーティング システムの新しいセキュリティ アドバイザリが公開された場合は、更新された CVE は通常、オペレーティング システム ベンダーがアドバイザリを公開してから 24 時間以内に利用可能になります。

VM Manager の検出結果の修正

OS_VULNERABILITY の検出結果は、VM Manager が Compute Engine VM にインストールされているオペレーティング システム パッケージで脆弱性を検出したことを示します。

この検出結果を修正するには、次の手順に沿って操作します。

  1. Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. 必要に応じて、Google Cloud プロジェクトまたは組織を選択します。

    プロジェクト セレクタ

  3. [クイック フィルタ] の [カテゴリ] サブセクションで、[OS vulnerability] を選択します。[検出結果クエリの結果] は、OS の脆弱性の検出結果のみを表示するようにフィルタリングされています。

  4. [検出結果クエリの結果] リストの [カテゴリ] 列で、修正する検出結果のカテゴリ名をクリックします。[OS vulnerability] の詳細ページが開きます。

  5. [JSON] タブをクリックします。この検出結果の JSON が表示されます。

  6. externalUri フィールドの値をコピーします。この値は、脆弱性のあるオペレーティング システムがインストールされている Compute Engine VM インスタンスの [OS 情報] ページの URI です。

  7. [基本情報] セクションに表示されている OS に、適切なパッチをすべて適用します。パッチをデプロイする手順については、パッチジョブを作成するをご覧ください。

この検出結果のタイプでサポートされているアセットとスキャンの設定についての説明をご覧ください。

Google Cloud コンソールで検出結果を確認する

Google Cloud コンソールで検出結果を確認するには、次の操作を行います。

  1. Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. 必要に応じて、Google Cloud プロジェクトまたは組織を選択します。

    プロジェクト セレクタ

  3. [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[VM Manager] を選択します。

    このテーブルには VM Manager の検出結果が表示されます。

  4. 特定の検出の詳細を表示するには、[Category] の下にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。

  5. [概要] タブで、検出された内容、影響を受けたリソースなど、検出結果に関する情報を確認します。

VM Manager の検出結果の修正については、VM Manager の検出結果の修正をご覧ください。

VM Manager の検出結果をミュートする

セキュリティ要件に関連しない VM Manager の検出結果がある場合は、Security Command Center で一部またはすべての検出結果を非表示にできます。

VM Manager の検出結果を非表示にするには、ミュートルールを作成し、非表示にする VM Manager の検出結果に固有のクエリ属性を追加します。

Google Cloud コンソールを使用して VM Manager のミュートルールを作成するには、次の操作を行います。

  1. Google Cloud コンソールで、Security Command Center の [検出] ページに移動します。

    [検出結果] に移動

  2. 必要に応じて、Google Cloud プロジェクトまたは組織を選択します。

    プロジェクト セレクタ

  3. [ミュート オプション] をクリックし、[ミュートルールを作成] を選択します。

  4. ミュートルール ID を入力します。この値は必須です。

  5. 検出結果をミュートする理由を [ミュートルールの説明] に入力します。この値は省略可能ですが、指定することをおすすめします。

  6. [親リソース] の値を確認して、ミュートルールの範囲を確認します。

  7. [検出クエリ] フィールドで [フィルタを追加] をクリックして、クエリ ステートメントを作成します。また、クエリ ステートメントを手動で入力することもできます。

    1. [フィルタを選択] ダイアログで、[検出結果] > [ソースの表示名] > [VM Manager] を選択します。
    2. [適用] をクリックします。
    3. 非表示にする属性がすべてミュートクエリに含まれるまで、この操作を繰り返します。

      たとえば、VM Manager の脆弱性検出で特定の CVE ID を非表示にするには、[脆弱性] > [CVE ID] を選択してから、非表示にする CVE ID を選択します。

      検出結果クエリは次のようになります。

      VM Manager の検出結果をミュートする

  8. [一致する検出をプレビュー] をクリックします。

    クエリに一致する検索結果がテーブルに表示されます。

  9. [保存] をクリックします。

機密データの保護

このセクションでは、機密データの保護が生成する脆弱性の検出結果、サポートするコンプライアンス標準、検出結果の修正方法について説明します。

機密データの保護は、観察の検出結果を Security Command Center にも送信します。観察の検出結果と機密データの保護の詳細については、機密データの保護をご覧ください。

検出結果の表示方法については、Google Cloud コンソールで Sensitive Data Protection の検出結果を確認するをご覧ください。

機密データ保護の検出サービスにより、Cloud Functions の環境変数にパスワード、認証トークン、Google Cloud 認証情報などのシークレットが含まれているかどうかを判断できます。この機能で機密データ保護によって検出されるシークレットの種類の完全なリストについては、認証情報とシークレットをご覧ください。

表 25 機密データ保護の検出結果と改善策
知見のタイプ 検出結果の説明 コンプライアンス標準
Secrets in environment variables

API のカテゴリ名:
SECRETS_IN_ENVIRONMENT_VARIABLES
この検出機能は、Cloud Functions の環境変数に含まれるシークレットをチェックします。

改善策: 環境変数からシークレットを削除し、代わりに Secret Manager に保存します。

CIS GCP Foundation 1.3: 1.18

CIS GCP Foundation 2.0: 1.18

Sensitive Data Protection でシークレット検出を有効にしてから、環境変数の初期スキャンが完了して、「環境変数内のシークレット」の検出結果が Security Command Center に表示されるまでに最大 12 時間かかることがあります。その後、Sensitive Data Protection は 24 時間ごとに環境変数をスキャンします。実際には、それよりも頻繁にスキャンを実行できます。

この検出機能を有効にするには、機密データの保護に関するドキュメントの環境変数のシークレットを Security Command Center に報告するをご覧ください。

Policy Controller

Policy Controller により、フリート メンバーシップとして登録された Kubernetes クラスタに対するプログラム可能なポリシーの応用と適用が可能になります。ポリシーはガードレールとして機能し、クラスタとフリートのベスト プラクティス、セキュリティ、コンプライアンス管理に役立ちます。

このページには、すべての Policy Controller の検出結果がすべて一覧表示されるわけではありませんが、Policy Controller が Security Command Center に書き込む Misconfiguration クラスの検出結果に関する情報は、各 Policy Controller バンドルに記載されているクラスタ違反と同じです。個々の Policy Controller の検出結果タイプに関するドキュメントは、次の Policy Controller バンドルにあります。

この機能は、Stackdriver API の VPC Service Controls サービス境界と互換性がありません。

Policy Controller の検出結果の検出と修正

Policy Controller のカテゴリは、Policy Controller のバンドルのドキュメントに記載されている制約名に対応しています。たとえば、require-namespace-network-policies の検出結果は、Namespace が、クラスタ内のすべての Namespace に NetworkPolicy を持つというポリシーに違反していることを示します。

検出結果を修正するには、次の操作を行います。

  1. Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. 必要に応じて、Google Cloud プロジェクトまたは組織を選択します。

    プロジェクト セレクタ

  3. [クイック フィルタ] の [カテゴリ] で、修正する Policy Controller の検出結果の名前を選択します。[検出結果クエリの結果] がそのカテゴリの検出結果のみを表示するようにフィルタリングされます。

  4. [検出結果クエリの結果] リストの [カテゴリ] 列で、修正する検出結果のカテゴリ名をクリックします。検出結果の詳細ページが開きます。

  5. [概要] タブで、検出された内容、影響を受けたリソースなど、検出結果に関する情報を確認します。

  6. [次のステップ] で、検出結果の修正方法に関する情報(問題に関する Kubernetes ドキュメントへのリンクなど)を確認します。

次のステップ