脆弱性と脅威のセキュリティ ソース

このページでは、Security Command Center で利用可能な Google Cloud のセキュリティ ソースのリストを示します。セキュリティ ソースを有効にすると、Security Command Center のダッシュボードに脆弱性と脅威に関するデータが表示されます。

Security Command Center では、特定の検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法で脆弱性と脅威の検出結果をフィルタして表示できます。セキュリティ ソースによって、組織の検出結果の整理に役立つフィルタが追加されることがあります。

Security Command Center のロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与されます。検出結果、アセット、セキュリティ ソース、セキュリティ マークを、表示、編集、作成、更新する権限は、アクセス権が付与されるレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

脆弱性

脆弱性の検出機能は、Google Cloud リソースに存在する潜在的な弱点の特定に役立ちます。

Security Health Analytics の脆弱性タイプ

Google Cloud の Security Health Analytics マネージド脆弱性評価スキャンでは、次のような一般的な脆弱性と構成ミスを自動的に検出できます。

  • Cloud Monitoring と Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine コンテナとネットワーク
  • Cloud Storage
  • Cloud SQL
  • Identity and Access Management(IAM)
  • Cloud Key Management Service(Cloud KMS)
  • Cloud DNS

Security Command Center のスタンダード ティアまたはプレミアム ティアを選択すると、Security Health Analytics が自動的に有効になります。Security Health Analytics の検出機能は、Cloud Asset Inventory(CAI)のリソースのサブセットをモニタリングし、次の 3 つのスキャンモードを使用して脆弱性を検出します。

  • バッチスキャン: 登録済みのすべての組織に対して 1 日に 2 回以上、すべての検出機能を実行するようにスケジュールが設定されます。特定のサービスレベル目標(SLO)を満たすため、検出機能は異なるスケジュールで実行されます。12 時間と 24 時間の SLO を満たすため、検出機能はそれぞれ 6 時間または 12 時間おきにバッチスキャンを実行します。バッチスキャンの実行中に発生したリソースまたはポリシーの変更はすぐに取得されず、次のバッチスキャンでチェックされます。注: バッチスキャンのスケジュールは、サービス保証目標ではなく、パフォーマンスの目標です。

  • リアルタイム スキャン: CAI からアセット構成の変更が報告されるたびに、サポートされている検出機能がスキャンを開始します。検出結果は直ちに Security Command Center に書き込まれます。

  • 混合モード: リアルタイム スキャンをサポートする一部の検出機能では、サポートされているすべてのアセットの変更をリアルタイムで検出できない場合があります。その場合、一部のアセット構成の変更は直ちにキャプチャされ、その他のアセット構成の変更はバッチスキャンでキャプチャされます。

Security Health Analytics の検出機能と検出結果の完全なリストを表示するには、Security Health Analytics の検出ページを確認するか、次のセクションを開いてださい。

Web Security Scanner

Web Security Scanner は、一般公開された App Engine、GKE、Compute Engine のサービス対象ウェブ アプリケーションにマネージドおよびカスタムウェブ脆弱性スキャンを実行します。

マネージド スキャン

Web Security Scanner のマネージド スキャンは Security Command Center によって構成され、管理されます。マネージド スキャンは、週に 1 回自動的に実行され、一般公開のウェブ エンドポイントを検出してスキャンします。このスキャンは認証を使用せず、公開ウェブサイトにはフォームを送信しないので、GET のみのリクエストを送信します。

マネージド スキャンは、プロジェクト レベルで定義したカスタム スキャンとは別に実行されます。マネージド スキャンを使用すると、個々のプロジェクト チームを関与させることなく、組織内のプロジェクトでウェブ アプリケーションの基本的な脆弱性の検出を一元管理できます。検出が見つかったら、それらのチームと協力してより包括的なカスタム スキャンを設定できます。

Web Security Scanner をサービスとして有効にする場合、マネージド スキャンの検出結果は、Security Command Center の [脆弱性] タブと関連レポートで自動的に利用可能になります。Web Security Scanner のマネージド スキャンを有効にする方法については、Security Command Center の構成をご覧ください。

カスタム スキャン

Web Security Scanner のカスタム スキャンは、古いライブラリ、クロスサイト スクリプティング、混合コンテンツの使用など、アプリケーションの脆弱性の検出に関する詳細な情報を提供します。Web Security Scanner のカスタム スキャンを設定するためのガイドを完了すると、Security Command Center でカスタム スキャンによる検出が可能になります。

検出機能とコンプライアンス

Web Security Scanner は OWASP Top Ten のカテゴリのサブセットをサポートしています。これは、Open Web Application Security Project(OWASP)で決定されたウェブ アプリケーションのセキュリティ リスクの上位 10 項目についてランク付けし、ガイダンスを提供するドキュメントです。OWASP のリスク軽減のガイダンスについては、Google Cloud における OWASP トップ 10 緩和策をご覧ください。

コンプライアンス マッピングは参照用として含まれており、OWASP Foundation による提供や審査は行われません。

この機能は、コンプライアンス制御違反をモニタリングするためのものです。このマッピングは、規制、業界ベンチマーク、標準に準拠した製品またはサービスの監査、認定、コンプライアンス報告の基礎として使用できるものでも、これらの代用として使用できるものでもありません。

Web Security Scanner のカスタム スキャンとマネージド スキャンでは、次のタイプの検出結果が識別されます。スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。

表 21. Web Security Scanner の検出
カテゴリ 検出の説明 OWASP 2017 Top 10 OWASP 2021 Top 10
ACCESSIBLE_GIT_REPOSITORY Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。

料金ティア: スタンダード

A5 A01
ACCESSIBLE_SVN_REPOSITORY SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。

料金ティア: スタンダード

A5 A01
CLEAR_TEXT_PASSWORD パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。

料金ティア: スタンダード

A3 A02
INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION クロスサイト HTTP または HTTPS エンドポイントは、Origin リクエスト ヘッダーのサフィックスのみを検証してから、Access-Control-Allow-Origin レスポンス ヘッダー内に反映されます。この検出結果を解決するには、想定どおりのルートドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値の一部になっていることを確認します。サブドメインのワイルドカードの場合は、ルートドメインに先頭にドットを追加します(例: .endsWith(".google.com"))。

料金ティア: プレミアム

A5 A01
INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION クロスサイト HTTP または HTTPS エンドポイントは、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのプレフィックスのみを検証します。この検出結果を解決するには、想定どおりのドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値に完全に一致しているかどうか確認します。例: .equals(".google.com")

料金ティア: プレミアム

A5 A01
INVALID_CONTENT_TYPE レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この検出結果を解決するには、X-Content-Type-Options HTTP ヘッダーに正しい値を設定します。

料金ティア: スタンダード

A6 A05
INVALID_HEADER セキュリティ ヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: スタンダード

A6 A05
MISMATCHING_SECURITY_HEADER_VALUES セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: スタンダード

A6 A05
MISSPELLED_SECURITY_HEADER_NAME セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: スタンダード

A6 A05
MIXED_CONTENT HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。

料金ティア: スタンダード

A6 A05
OUTDATED_LIBRARY 既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。

料金ティア: スタンダード

A9 A06
SERVER_SIDE_REQUEST_FORGERY サーバー側のリクエスト フォージェリ(SSRF)の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブ アプリケーションがリクエストできるドメインと IP アドレスを制限します。

料金ティア: スタンダード

該当なし A10
XSS このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。

料金ティア: スタンダード

A7 A03
XSS_ANGULAR_CALLBACK ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。

料金ティア: スタンダード

A7 A03
XSS_ERROR このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。

料金ティア: スタンダード

A7 A03
XXE_REFLECTED_FILE_LEAKAGE XML 外部エンティティ(XXE)の脆弱性が検出された。その結果、ウェブ アプリケーションによりホスト上のファイルが漏洩する可能性があります。この検出結果を解決するには、外部エンティティを許可しないように XML パーサーを構成します。

料金ティア: プレミアム

A4 A05

VM Manager

VM Manager は、Compute Engine 上で Windows と Linux を実行している大規模な仮想マシン(VM)フリートでオペレーティング システムの管理を行うためのツールです。

VM Manager を有効にしており、Security Command Center Premium に登録されている場合、VM Manager は、プレビュー中の脆弱性レポートからの検出結果を取得し、Security Command Center に書き込みます。このレポートは、VM にインストールされたオペレーティング システム(OS)の脆弱性(Common Vulnerability and Exposures(CVE)など)が示されます。

Security Command Center Standard では、脆弱性レポートを使用できません。

検出結果を使用することで、VM Manager のパッチ コンプライアンス機能(プレビュー段階)を使用するプロセスが簡略化されます。この機能を使用すると、すべてのプロジェクトで組織レベルでパッチ管理を行うことができます。現在 VM Manager では、単一のプロジェクト レベルでのパッチ管理がサポートされています。

VM Manager の検出結果を修正するには、VM Manager の検出結果の修正をご覧ください。

脆弱性レポートが Security Command Center に書き込まれないようにするには、VM Manager の脆弱性レポートの無効化をご覧ください。

このタイプの脆弱性はすべて、サポートされている Compute Engine VM にインストールされたオペレーティング システム パッケージに関連しています。

表 20. VM Manager の脆弱性レポート
検出機能 概要 アセットのスキャン設定 コンプライアンス標準
OS_VULNERABILITY

検出結果の説明: VM Manager が、Compute Engine VM にインストールされているオペレーティング システム(OS)パッケージに脆弱性を検出しました。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

VM Manager の脆弱性レポートでは、Compute Engine VM のインストール済みオペレーティング システム パッケージの脆弱性(共通脆弱性識別子(CVE)など)が詳細に説明されています。

  • スキャン対象外のアセット: SUSE Linux Enterprise Server(SLES)、Windows オペレーティング システム
  • 脆弱性が検出されると、Security Command Center に検出結果がすぐに表示されます。VM Manager の脆弱性レポートは次のように生成されます。

    • インストールされている OS パッケージのほとんどの脆弱性の場合、変更後数分以内に OS Config API によって脆弱性レポートが生成されます。
    • CVE の場合、OS Config API は OS に CVE が公開されてから 3~4 時間以内に脆弱性レポートを生成します。

脅威

脅威検出機能は、有害な可能性があるイベントを見つけるのに役立ちます。

異常検出

異常検出は、システム外部からの動作シグナルを使用する組み込みサービスです。漏洩した可能性のある認証情報やコイン マイニングなど、プロジェクトと仮想マシン(VM)インスタンスで検出されたセキュリティ異常に関する詳細な情報が表示されます。Security Command Center のスタンダード ティアまたはプレミアム ティアに登録すると、異常検出が自動的に有効になります。検出結果は、Security Command Center のダッシュボードで確認できます。

異常検出結果の例には、次のようなものがあります。

表 B. 異常検出結果のカテゴリ
不正使用の可能性 説明
account_has_leaked_credentials Google Cloud サービス アカウントの認証情報がオンラインで誤って漏洩したか、不正使用されています。
resource_compromised_alert 組織内のリソースが不正使用される可能性があります。
不正使用のシナリオ 説明
resource_involved_in_coin_mining 組織内の VM に関する動作シグナルは、リソースが不正使用され、クリプトマイニングに使用される可能性があることを示します。
outgoing_intrusion_attempt 侵入の試みとポートスキャン: 組織のリソースまたは Google Cloud サービスの 1 つが、ターゲット システムの侵害や不正使用への試みなどの侵入行為に使用されています。これには、SSH ブルート フォース攻撃、ポートスキャン、FTP ブルート フォース攻撃があります。
resource_used_for_phishing 組織内のリソースまたは Google Cloud サービスの 1 つがフィッシングに使用されています。

Container Threat Detection

Container Threat Detection は一般的なコンテナ ランタイム攻撃を検出し、Security Command Center にアラートを表示します。必要に応じて Cloud Logging でアラートを受け取ることもできます。Container Threat Detection には、複数の検出機能、分析ツール、API が含まれています。

Container Threat Detection の検出インストルメンテーションは、ゲストカーネルで低レベルの動作を収集し、スクリプトに自然言語処理を実行して次のイベントを検出します。

  • 追加されたバイナリの実行
  • 追加されたライブラリの読み込み
  • 悪意のあるスクリプトの実行
  • リバースシェル

Container Threat Detection の詳細

Cloud Data Loss Prevention

Cloud DLP データ検出を使用すると、Cloud Data Loss Prevention(Cloud DLP)のスキャン結果を Security Command Center のダッシュボードと検出結果のインベントリに直接表示できます。Cloud DLP を使用すると、次のような機密データと個人情報(PII)を把握し、管理するのに役立ちます。

  • クレジット カード番号
  • 名前
  • 社会保障番号
  • 米国および一部の国際識別番号
  • 電話番号
  • Google Cloud の認証情報

各 Cloud DLP データ検出の結果に含まれているのは、識別された PII データのカテゴリタイプとそのデータが見つかったリソースのみです。基礎となるデータは含まれません。

DLP API の結果を Security Command Center に送信するのガイドにある設定手順を完了すると、Cloud DLP のスキャン結果が Security Command Center に表示されます。

詳細:

Event Threat Detection

Event Threat Detection は、システム内部のログデータを使用します。1 つ以上のプロジェクトについて組織の Cloud Logging ストリームをモニタリングし、利用可能になるとログを使用します。脅威が検出されると、Event Threat Detection は検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。Event Threat Detection は、Security Command Center のプレミアム ティアに登録すると自動的に有効になり、検出結果を Security Command Center のダッシュボードで確認できます。

Event Threat Detection の検出結果の例は次のとおりです。

表 C. Event Threat Detection の検出結果タイプ
データの引き出し

Event Threat Detection は、監査ログで次のシナリオを調査することで、BigQuery と Cloud SQL からのデータの引き出しを検出します。

  • BigQuery リソースが組織外に保存されているか、VPC Service Controls によってブロックされているコピー オペレーションが試行されている。
  • VPC Service Controls によって保護されている BigQuery リソースへのアクセスが試行されている。
  • Cloud SQL リソースの全体または一部が組織外の Cloud Storage バケットにエクスポートされているか、組織が所有する一般公開のバケットにエクスポートされている。
  • 組織が所有する BigQuery リソースが、組織外の Cloud Storage バケットか、一般からアクセス可能な組織内のバケットにエクスポートされている。プレビュー
  • Cloud SQL バックアップが組織外の Cloud SQL インスタンスに復元されます。プレビュー
ブルート フォース SSH Event Threat Detection は syslog ログを使用して、繰り返し失敗した後に成功したエラーを調査し、パスワード認証 SSH のブルート フォースを検出します。
クリプトマイニング Event Threat Detection は、既知の不正ドメインまたはマイニング プールの IP アドレスへの接続についての VPC フローログと Cloud DNS ログを調査し、コイン マイニングのマルウェアを検出します。
IAM の不正使用

IAM 異常付与: Event Threat Detection は、次のような異常と思われる IAM 付与を検出します。

  • プロジェクト編集者ロールを含むポリシーに gmail.com ユーザーを追加する。
  • Google Cloud Console からプロジェクト オーナーとして gmail.com ユーザーを招待する。
  • 機密性の高い権限を付与するサービス アカウント。
  • 機密性の高い権限を付与されたカスタムロール。
  • 組織外から追加されたサービス アカウント。
Log4j Event Threat Detection は、Log4j の悪用とアクティブな Log4j の脆弱性を検出します。
マルウェア Event Threat Detection は VPC フローログと Cloud DNS ログを使用して、既知のコマンド、制御ドメイン、IP への接続を調査し、マルウェアを検出します。
フィッシング Event Threat Detection は VPC フローログと Cloud DNS ログを使用して、既知のフィッシング ドメインと IP への接続を調査し、フィッシングを検出します。
送信 DoS Event Threat Detection は VPC フローログを調査して、サービス拒否攻撃の送信トラフィックを検出します。
異常アクセス Event Threat Detection は、Tor IP アドレスなどの匿名プロキシ IP アドレスから発生した Google Cloud サービスの変更についての Cloud Audit Logs を調査して、異常アクセスを検出します。
異常な IAM 動作 Event Threat Detection は Cloud Audit Logs を使用して、通常とは異なる IP アドレスやユーザー エージェントからのアクセスを調査し、異常な IAM 動作を検出します。
サービス アカウントの自己調査 Event Threat Detection は、同じサービス アカウントに関連付けられたロールと権限の調査にサービス アカウントの認証情報が使用されたことを検出します。
Compute Engine 管理者による SSH 認証鍵の追加
Event Threat Detection は、確立されたインスタンス(1 週間以上経過)での Compute Engine インスタンス メタデータ SSH 認証鍵の値の変更を検出します。
Compute Engine 管理者による起動スクリプトの追加
Event Threat Detection は、確立されたインスタンス(1 週間以上経過)での Compute Engine インスタンス メタデータ起動スクリプトの値の変更を検出します。
不審なアカウントのアクティビティ Event Threat Detection は監査ログを使用して、パスワードの漏洩や不審なログインの試行など、異常なアカウント アクティビティを調査し、Google Workspace アカウントの不正使用の可能性を検出します。
政府が支援する攻撃 Event Threat Detection は、Google Workspace の監査ログを調査し、政府の支援を受けた攻撃者がユーザーのアカウントまたはパソコンを不正使用しようとした可能性を検出します。
シングル サインオン(SSO)の変更 Event Threat Detection は、Google Workspace の監査ログを調査して、SSO の無効化や Google Workspace 管理者アカウントの設定変更を検出します。
2 段階認証プロセス Event Threat Detection は、Google Workspace の監査ログを調査して、ユーザー アカウントと管理者アカウントで 2 段階認証プロセスが無効になっていることを検出します。
異常な API 動作
プレビュー
Event Threat Detection は、プリンシパルが認識していない Google Cloud サービスに対するリクエストについて Cloud Audit Logs を調べることで、異常な API 動作を検出します。

Event Threat Detection の詳細

Forseti Security

Forseti Security には、Google Cloud のすべてのリソースの状況を把握するためのツールが用意されています。Forseti のコアモジュールが連携して機能し、詳細な情報を提供します。これにより、リソースを保護し、セキュリティ リスクを最小限に抑えることができます。

Security Command Center に Forseti 違反通知を表示する方法については、Forseti の Security Command Center 通知ガイドをご覧ください。

詳細:

Phishing Protection

Phishing Protection は、フィッシング サイトへのアクセスを防ぐため、ブランドを利用した悪意のあるコンテンツを分類し、安全でない URL を Google セーフ ブラウジングに報告します。フィッシング サイトがセーフ ブラウジングに登録されると、30 億台を超えるデバイスで警告が表示されるようになります。

Phishing Protection の使用を開始するには、Phishing Protection を有効にするをご覧ください。Phishing Protection を有効にすると、Security Command Center で [検出結果] の下の [フィッシング対策] カードに結果が表示されます。

次のステップ