検出サービス

このページでは、Security Command Center がクラウド環境のセキュリティ問題を検出するために使用する検出サービス（セキュリティ ソースとも呼ばれます）のリストを示します。

これらのサービスは、問題を検出すると検出結果を生成します。検出結果は、セキュリティの問題を特定し、問題の優先順位付けと解決に必要な情報を提供するレコードです。

Google Cloud コンソールで検出結果を表示して、検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法でフィルタリングできます。セキュリティ ソースによって、検出結果の整理に役立つフィルタが追加されることがあります。

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

脆弱性検出サービス

脆弱性検出サービスには、クラウド環境におけるソフトウェアの脆弱性、構成ミス、対策違反を検出する組み込みサービスと統合サービスが含まれています。このような種類のセキュリティ問題を総称して、脆弱性と呼びます。

GKE セキュリティ対策ダッシュボード

GKE セキュリティ対策ダッシュボードは、GKE クラスタの潜在的なセキュリティ問題に関する対応可能な検出結果を独自に提供する Google Cloud コンソールのページです。

次のいずれかの GKE セキュリティ対策ダッシュボード機能を有効にすると、Security Command Center のスタンダード ティアまたはプレミアム ティアに検出結果が表示されます。

検出結果には、セキュリティ問題に関する情報と、ワークロードやクラスタの問題を解決するための推奨事項が表示されます。

コンソールで GKE セキュリティ対策ダッシュボードの検出結果を表示する

IAM Recommender

IAM Recommender は、プリンシパルに不要な IAM ロールがロールに含まれている場合に、プリンシパルから IAM ロールを削除または置換することで、セキュリティを強化するための推奨事項を提供します。

Security Command Center を有効にすると、IAM Recommender が自動的に有効になります。

IAM Recommender の検出結果を有効または無効にする

Security Command Center で IAM Recommender の検出結果を有効または無効にする手順は次のとおりです。

1. Google Cloud コンソールで Security Command Center の [設定] ページに移動し、[統合サービス] タブに移動します。

   [設定] に移動

2. 必要に応じて、「IAM Recommender」までスクロールします。

3. 入力項目の右側で、[有効にする] または [無効にする] を選択します。

IAM Recommender の検出結果は脆弱性に分類されます。

IAM Recommender の検出結果を修正するには、次のセクションを開いて、IAM Recommender の検出結果のテーブルを表示します。テーブルのエントリには、各検出結果の修正手順が含まれています。

コンソールで IAM Recommender の検出結果を表示する

Google Cloud コンソールで、[脆弱性] ページで [IAM Recommender] のクエリ プリセットを選択して、IAM Recommender の検出結果を確認することもできます。

Mandiant Attack Surface Management

Mandiant は、最前線の脅威インテリジェンスの世界的リーダーです。Mandiant Attack Surface Management は、外部攻撃対象領域の脆弱性と構成ミスを特定し、最新のサイバー攻撃に関する最新情報の入手に役立ちます。

Security Command Center のエンタープライズ ティアを有効にすると、Mandiant Attack Surface Management が自動的に有効になります。また、Google Cloud コンソールで検出結果を確認できます。

スタンドアロンの Mandiant Attack Surface Management プロダクトと Security Command Center 内の Mandiant Attack Surface Management の統合の違いについては、Mandiant のドキュメント ポータルの ASM と Security Command Center をご覧ください。このリンクには Mandiant の認証が必要です。

コンソールで Mandiant Attack Surface Management の検出結果を確認する

Policy Controller

Policy Controller では、Kubernetes クラスタにプログラム可能なポリシーを適用し、利用できます。ポリシーはガードレールとして機能し、クラスタとフリートのベスト プラクティス、セキュリティ、コンプライアンス管理に役立ちます。

Policy Controller をインストールし、CIS Kubernetes Benchmark v1.5.1 または PCI-DSS v3.2.1 Policy Controller バンドル、あるいはその両方を有効にすると、Policy Controller が Misconfiguration クラスの検出として自動的にクラスタ違反を Security Command Center に書き込みます。Security Command Center の検出結果の説明と次のステップは、対応する Policy Controller バンドルの制約の説明や修正手順と同じです。

Policy Controller の検出結果は、次の Policy Controller バンドルから取得されます。

• CIS Kubernetes Benchmark v.1.5.1。強固なセキュリティ体制をサポートするように Kubernetes を構成するための一連の推奨事項。このバンドルに関する情報は、cis-k8s-v1.5.1 の GitHub リポジトリで確認することもできます。
• PCI-DSS v3.2.1。Payment Card Industry Data Security Standard（PCI-DSS）v3.2.1 の一部に対してクラスタ リソースのコンプライアンスを評価するバンドルです。このバンドルに関する情報は、pci-dss-v3 の GitHub リポジトリで確認することもできます。

Policy Controller の検出結果を確認して修正するには、Policy Controller の検出結果の修正をご覧ください。

リスクエンジン

Security Command Center Risk Engine は、クラウド デプロイのリスク エクスポージャーを評価し、脆弱性の検出結果と価値の高いリソースに攻撃の発生可能性スコアを割り当て、潜在的な攻撃者が高価値リソースに到達できるパスを図示します。

Security Command Center の Enterprise ティアでは、Risk Engine がセキュリティ上の問題のグループを検出します。これらの問題が特定のパターンで一緒に発生すると、攻撃意思のある攻撃者がそれらのリソースにアクセスして侵害する可能性がある、価値の高いリソースへのパスが作成されます。

Risk Engine がこれらの組み合わせのいずれかを検出すると、TOXIC_COMBINATION クラスの検出結果が生成されます。 検出結果では、検出結果のソースとして Risk Engine がリストされます。

続きは、有害な組み合わせの概要をご覧ください。

Security Health Analytics

Security Health Analytics は Security Command Center の組み込み検出サービスで、クラウド リソースのマネージド スキャンを提供し、一般的な構成ミスを検出します。

構成ミスが検出されると、Security Health Analytics は検出結果を発行します。Security Health Analytics の検出結果のほとんどは、セキュリティ標準管理にマッピングされるため、コンプライアンスを評価できます。

Security Health Analytics は、Google Cloud 上のリソースをスキャンします。Enterprise ティアを使用していて、他のクラウド プラットフォームへの接続を確立している場合、Security Health Analytics はそれらのクラウド プラットフォーム上のリソースをスキャンすることもできます。

使用している Security Command Center のサービスティアに応じて、使用可能な検出機能が異なります。

• スタンダード ティアの Security Health Analytics には、中および高レベルの脆弱性に対する検出機能の基本グループのみが含まれています。
• Premium ティアには、Google Cloud のすべての脆弱性検出機能が含まれます。
• Enterprise ティアには、他のクラウド プラットフォーム用の追加の検出機能が含まれます。

Security Command Center を有効にすると、Security Health Analytics が自動的に有効になります。

詳しくは以下をご覧ください。

• Security Health Analytics の概要
• Security Health Analytics の使用方法
• Security Health Analytics の検出結果の修正
• Security Health Analytics の検出結果の参照

セキュリティ対策サービス

セキュリティ対策サービスは、Security Command Center Premium ティアの組み込みサービスで、Google Cloud でのセキュリティの全体的なステータスを定義、評価、モニタリングできます。 お客様の環境が、セキュリティ対策で定義したポリシーとどのように適合しているかに関する情報を提供します。

セキュリティ対策サービスは、GKE クラスタの検出結果のみを表示する GKE セキュリティ対策ダッシュボードとは関係しません。

Sensitive Data Protection

機密データ保護は、機密データの検出、分類、保護を支援するフルマネージド Google Cloud サービスです。機密データの保護を使用して、次のような機密情報や個人を特定できる情報（PII）を保存しているかどうかを判断できます。

• 個人名
• クレジット カード番号
• 国民 ID または州 ID の番号
• 健康保険の ID 番号
• Secret

機密データ保護では、検索対象の各タイプのデータは infoType と呼ばれます。

Security Command Center に結果を送信するように Sensitive Data Protection オペレーションを構成すると、Sensitive Data Protection セクションに加えて、Google Cloud コンソールの Security Command Center セクションで検出結果を直接確認できます。

Sensitive Data Protection 検出サービスによる脆弱性の検出

Sensitive Data Protection の検出サービスを使用すると、保護されていない機密性の高いデータを保存しているかどうかを判断できます。

Sensitive Data Protection からのモニタリング結果

このセクションでは、Security Command Center で Sensitive Data Protection が生成するモニタリング検出結果について説明します。

検出サービスからのモニタリング結果

Sensitive Data Protection の検出サービスにより、データに特定の infoType が含まれているかどうか、またそれらが組織、フォルダ、プロジェクトでどこに存在しているのかを判断できます。Security Command Center で次のモニタリング検出結果のカテゴリが生成されます。

Data sensitivity

特定のデータアセット内のデータの機密レベルに関する指標。 PII など、追加の制御や管理を必要とする可能性がある要素が含まれるデータは、機密情報に該当します。検出結果の重大度は、データ プロファイルの生成時に機密データの保護が計算した機密性レベルです。

Data risk

現在の状態でのデータに関連するリスク。データリスクの計算時、Sensitive Data Protection では、データ アセット内のデータの機密性レベルと、そのデータを保護するアクセス制御が考慮されます。検出結果の重大度は、データ プロファイルの生成時にSensitive Data Protection が計算したデータリスク レベルです。

Sensitive Data Protection によってデータ プロファイルが生成されてから、関連する検出結果が Security Command Center に表示されるまでに最大 6 時間かかります。

データ プロファイルの結果を Security Command Center に送信する方法については、以下をご覧ください。

• Security Command Center Enterprise の場合: 機密データの検出を有効にする。
• Security Command Center プレミアムまたはスタンダードの場合: Security Command Center にデータ プロファイルを公開する。

Sensitive Data Protection 検査サービスによるモニタリング結果

機密データ保護の検査ジョブは、Cloud Storage バケットや BigQuery テーブルなどのストレージ システム内で特定の infoType を持つデータ インスタンスを識別します。たとえば、Cloud Storage バケット内で CREDIT_CARD_NUMBER infoType 検出機能に一致するすべての文字列を検索する検査ジョブを実行できます。

1 件以上の一致結果が検出された infoType 検出機能ごとに、機密データ保護は対応する Security Command Center の検出結果を生成します。検出結果のカテゴリは、一致した infoType 検出機能の名前です（例: Credit card number）。検出結果には、リソース内のテキストまたは画像で検出された一致文字列の数が含まれます。

セキュリティ上の理由から、検出された実際の文字列は検出結果に含まれません。たとえば、Credit card number の検出結果には、見つかったクレジット カード番号の件数が表示されますが、実際のクレジット カード番号は表示されません。

機密データ保護には 150 を超える組み込み infoType 検出機能があるため、すべての Security Command Center の検出カテゴリをここで説明することはできません。infoType 検出機能の一覧については、infoType 検出機能のリファレンスをご覧ください。

検査ジョブの結果を Security Command Center に送信する方法については、機密データ保護の検査ジョブの結果を Security Command Center に送信するをご覧ください。

コンソールで Sensitive Data Protection の検出結果を確認する

VM Manager

VM Manager は、Compute Engine 上で Windows と Linux を実行している大規模な仮想マシン（VM）フリートでオペレーティング システムの管理を行うためのツールです。

Security Command Center Premium でプロジェクト レベルの有効化を行って VM Manager を使用するには、親組織で Security Command Center Standard を有効にします。

Security Command Center Premium ティアで VM Manager を有効にすると、VM Manager は、脆弱性レポートから high と critical の検出結果を Security Command Center に自動的に送信します。このレポートは、VM にインストールされたオペレーティング システム（OS）の脆弱性（Common Vulnerability and Exposures（CVE）など）を特定します。

Security Command Center Standard では、脆弱性レポートを使用できません。

検出結果により、VM Manager のパッチ コンプライアンス機能（プレビュー段階）を使用するプロセスが簡略化されます。この機能を使用すると、すべてのプロジェクトで組織レベルでパッチ管理を行うことができます。VM Manager では、単一のプロジェクト レベルでのパッチ管理がサポートされています。

VM Manager の検出結果を修正するには、VM Manager の検出結果の修復をご覧ください。

脆弱性レポートが Security Command Center に書き込まれないようにするには、VM Manager の検出結果をミュートするをご覧ください。

このタイプの脆弱性はすべて、サポートされている Compute Engine VM にインストールされたオペレーティング システム パッケージに関連しています。

AWS の脆弱性評価

Amazon Web Services（AWS）の脆弱性評価サービスは、AWS クラウド プラットフォームの EC2 仮想マシン（VM）で実行されているワークロードのソフトウェアの脆弱性を検出します。

AWS の脆弱性評価は、検出された脆弱性ごとに、Security Command Center の Software vulnerability 検出結果カテゴリに Vulnerability クラスの検出結果を生成します。

AWS の脆弱性評価サービスは、実行中の EC2 マシン インスタンスのスナップショットをスキャンするため、本番環境ワークロードは影響を受けません。このスキャン方法は、スキャン ターゲットがインストールされていないため、エージェントレス ディスク スキャンと呼ばれます。

詳しくは以下をご覧ください。

• AWS の脆弱性評価の概要
• AWS の脆弱性評価を有効にして使用する

Web Security Scanner

Web Security Scanner は、一般公開された App Engine、GKE、Compute Engine のサービス対象ウェブ アプリケーションのマネージドおよびカスタムウェブ脆弱性スキャンを提供します。

マネージド スキャン

Web Security Scanner のマネージド スキャンは Security Command Center によって構成され、管理されます。マネージド スキャンは、週に 1 回自動的に実行され、一般公開のウェブ エンドポイントを検出してスキャンします。このスキャンは認証を使用せず、公開ウェブサイトにはフォームを送信しないので、GET のみのリクエストを送信します。

マネージド スキャンはカスタム スキャンとは別に実行されます。

Security Command Center を組織レベルで有効にすると、マネージド スキャンを使用して、個々のプロジェクト チームを関与させることなく、組織内のプロジェクトの基本ウェブ アプリケーションの脆弱性検出を一元管理できます。検出が見つかったら、それらのチームと協力してより包括的なカスタム スキャンを設定できます。

Web Security Scanner をサービスとして有効にする場合、マネージド スキャンの検出結果は、Security Command Center の [脆弱性] ページと関連レポートで自動的に利用可能になります。Web Security Scanner のマネージド スキャンを有効にする方法については、Security Command Center サービスを構成するをご覧ください。

マネージド スキャンは、デフォルト ポート（HTTP 接続の場合は 80、HTTPS 接続の場合は 443）を使用するアプリケーションのみをサポートします。アプリケーションがデフォルト以外のポートを使用している場合は、代わりにカスタム スキャンを行います。

カスタム スキャン

Web Security Scanner のカスタム スキャンは、古いライブラリ、クロスサイト スクリプティング、混合コンテンツの使用など、アプリケーションの脆弱性の検出に関する詳細な情報を提供します。

カスタム スキャンはプロジェクト レベルで定義します。

Web Security Scanner のカスタム スキャンを設定するためのガイドを完了すると、Security Command Center でカスタム スキャンによる検出が可能になります。

検出機能とコンプライアンス

Web Security Scanner は OWASP トップ 10 のカテゴリをサポートしています。これは、Open Web Application Security Project（OWASP）で決定される、ウェブ アプリケーションで最も重大な 10 個のウェブ アプリケーション セキュリティ リスクをランク付けして修正するドキュメントです。OWASP のリスク軽減のガイダンスについては、Google Cloud における OWASP トップ 10 緩和策をご覧ください。

コンプライアンス マッピングは参照用として含まれており、OWASP Foundation による提供や審査は行われません。

この機能は、コンプライアンス制御違反をモニタリングするためのだけのものです。このマッピングは、規制、業界ベンチマーク、標準に準拠した製品またはサービスの監査、認定、コンプライアンス報告の基礎として使用できるものでも、これらの代用として使用できるものでもありません。

Web Security Scanner のカスタム スキャンとマネージド スキャンでは、次の検出結果の種類が識別されます。 Standard ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。

脅威検出サービス

脅威検出サービスには、リソースの侵害やサイバー攻撃など、有害な可能性があるイベントを検出する組み込みサービスと統合サービスが含まれています。

異常検出

異常検出は、システム外部からの動作シグナルを使用する組み込みサービスです。漏洩した可能性のある認証情報など、プロジェクトと仮想マシン（VM）インスタンスで検出されたセキュリティ異常に関する詳細な情報が表示されます。Security Command Center のスタンダード ティアまたはプレミアム ティアを有効にすると、異常検出が自動的に有効になります。また、Google Cloud コンソールで検出結果を確認できます。

異常検出には、次の結果が含まれます。

アカウントで認証情報が漏洩しました

GitHub は、commit に使用された認証情報が Google Cloud Identity and Access Management サービス アカウントの認証情報であると思われることを Security Command Center に通知しました。

この通知にはサービス アカウント名と秘密鍵 ID が含まれています。 また、Google Cloud はセキュリティとプライバシー保護に指定された連絡先にメールで通知します。

この問題を解決するには、次のいずれかを行います。

• 鍵の正当なユーザーを特定します。
• 鍵をローテーションする。
• 鍵を削除します。
• 鍵の漏洩後に鍵が行ったアクションを調査し、どのアクションにも悪意のあるものがないことを確認します。

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

Container Threat Detection は一般的なコンテナ ランタイム攻撃を検出し、Security Command Center にアラートを表示します。必要に応じて Cloud Logging でアラートを受け取ることもできます。Container Threat Detection には、複数の検出機能、分析ツール、API が含まれています。

Container Threat Detection の検出計測は、ゲストカーネルで低レベルの動作を収集し、コードに対して自然言語処理を実行して次のイベントを検出します。

• Added Binary Executed
• Added Library Loaded
• Execution: Added Malicious Binary Executed
• Execution: Added Malicious Library Loaded
• Execution: Built in Malicious Binary Executed
• Execution: Malicious Python executed
• Execution: Modified Malicious Binary Executed
• Execution: Modified Malicious Library Loaded
• Malicious Script Executed
• Malicious URL Observed
• Reverse Shell
• Unexpected Child Shell

Container Threat Detection の詳細

Event Threat Detection

Event Threat Detection は、システム内部のログデータを使用します。Cloud Logging ストリームでプロジェクトをモニタリングし、利用可能になるとログを使用します。脅威が検出されると、Event Threat Detection は検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。Event Threat Detection は、Security Command Center のプレミアム ティアを有効にすると自動的に有効になります。また、Google Cloud コンソールで検出結果を確認できます。

次の表に、Event Threat Detection の検出結果の例を示します。

Event Threat Detection の詳細

Google Cloud Armor

Google Cloud Armor は、レイヤ 7 フィルタリングを提供することでアプリケーションを保護します。Google Cloud Armor は、一般的なウェブ攻撃やトラフィックを妨げる可能性のある他のレイヤ 7 属性のリクエストをスクラブし、負荷分散されたバックエンド サービスまたはバックエンド バケットに到達させないようにします。

Google Cloud Armor は、2 つの検出結果を Security Command Center にエクスポートします。

• 許可されるトラフィックの急増

• 拒否率の増加

Virtual Machine Threat Detection

Virtual Machine Threat Detection は、エンタープライズ ティアとプレミアム ティアで利用できる Security Command Center の組み込みサービスです。このサービスは、Compute Engine インスタンスをスキャンして、侵害されたクラウド環境で実行されている、悪質な可能性のあるアプリケーション（暗号通貨マイニング ソフトウェア、カーネルモード ルートキット、マルウェアなど）を検出します。

VM Threat Detection は、Security Command Center の脅威検出スイートの一部であり、Event Threat Detection と Container Threat Detection の既存の機能を補完するように設計されています。

VM Threat Detection の詳細については、VM Threat Detection の概要をご覧ください。

VM Threat Detection の脅威の検出

VM Threat Detection では、次の脅威の検出結果を生成できます。

暗号通貨マイニングの脅威の検出

VM Threat Detection は、ハッシュ マッチングまたは YARA ルールによって次の検出結果のカテゴリを検出します。

カーネルモード ルートキットの脅威の検出

VM Threat Detection は、実行時にカーネルの整合性を分析し、マルウェアによって使用される一般的な回避手法を検出します。

KERNEL_MEMORY_TAMPERING モジュールは、仮想マシンのカーネルコードとカーネルの読み取り専用データメモリに対してハッシュの比較を行い、脅威を検出します。

KERNEL_INTEGRITY_TAMPERING モジュールは、重要なカーネルデータ構造の整合性をチェックすることで脅威を検出します。

エラー

エラー検出機能を使用すると、セキュリティ ソースによる検出結果の生成を妨げる構成エラーを検出できます。エラーの検出結果は Security Command Center セキュリティ ソースによって生成され、検出クラスが SCC errors に設定されます。

意図しないアクション

次の検出結果のカテゴリは、意図しないアクションが原因の可能性があるエラーを示します。

詳細については、Security Command Center のエラーをご覧ください。

次のステップ

• Security Command Center と Security Command Center の概要にある使用例について学習する。
• Security Command Center を構成して、新しいセキュリティ ソースを追加する方法を学習する。