>
Security Command Center で利用可能な Google Cloud のセキュリティ ソースのリスト。セキュリティ ソースを有効にすると、Security Command Center のダッシュボードに脆弱性と脅威のデータが表示されます。
Security Command Center では、特定の検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法で脆弱性や脅威の検出結果をフィルタして表示できます。各セキュリティ ソースによって、組織の検出結果の整理に役立つフィルタが追加されることがあります。
詳しくは、Security Command Center のダッシュボードの使用をご覧ください。
脆弱性
脆弱性検出器は、潜在的な脆弱性を見つけるのに役立ちます。
Security Health Analytics の脆弱性タイプ
Google Cloud の Security Health Analytics のマネージド脆弱性評価スキャンでは、次のような場合に一般的な脆弱性と構成ミスを自動的に検出できます。
- Cloud Monitoring と Cloud Logging
- Compute Engine
- Google Kubernetes Engine コンテナとネットワーク
- クラウド ストレージ
- Cloud SQL
- Identity and Access Management(IAM)
- Cloud Key Management Service(Cloud KMS)
- Cloud DNS
Security Health Analytics は、Security Command Center のスタンダード ティアまたはプレミアム ティアを選択すると自動的に有効になります。Security Health Analytics を有効にすると、スキャンは 1 日 2 回、12 時間おきに自動的に実行されます。
Security Health Analytics では、多くの脆弱性タイプをスキャンします。検出結果を検出項目の種類別にグループ化できます。Security Health Analytics の検出項目名を使用して、検出の対象となるリソースタイプで検出結果をフィルタします。
Security Health Analytics の検出項目と検出結果の完全なリストを表示するには、Security Health Analytics の検出ページを確認するか、次のセクションを展開してください。
Security Health Analytics の検出項目
次の表に、Security Health Analytics で生成できる検出項目タイプと特定の脆弱性検出タイプを示します。Google Cloud Console の [Security Command Center Vulnerabilities] タブを使用して、検出項目名と検出タイプで検出結果をフィルタできます。利用可能な検出カテゴリは次のとおりです。
これらの表は、サポートされている検出項目間のマッピングと、関連するコンプライアンス体制へのベスト エフォート マッピングを示しています。
CIS Google Cloud Foundation 1.0 のマッピングは、CIS Google Cloud Computing Foundations Benchmark v1.0.0 への整合のために、Center for Internet Security によって審査され、認定されています。その他のコンプライアンスのマッピングは参照用として含まれ、Payment Card Industry Data Security Standard または OWASP Foundation による提供や審査は行われません。これらの違反の手動での確認方法については、CIS Google Cloud Computing Foundations Benchmark v1.0.0(CIS Google Cloud Foundation 1.0)、Payment Card Industry Data Security Standard 3.2.1(PCI-DSS v3.2.1)、OWASP Top 10、National Institute of Standards and Technology 800-53(NIST 800-53)、International Organization for Standardization 27001(ISO 27001)をご覧ください。
この機能は、コンプライアンス制御違反をモニタリングするためのだけのものです。このマッピングは、規制、業界ベンチマーク、基準に準拠した製品またはサービスの、監査、認定、コンプライアンスの報告に基づいて、または代わりとして使用するために提供されるものではありません。
2 段階認証プロセスの検出
2SV_SCANNER 検出項目は、ユーザーの 2 段階認証プロセスに関連する脆弱性を識別します。
表 1.2 段階認証プロセスのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
2SV_NOT_ENFORCED |
2 段階認証プロセスを使用していないユーザーがいる。 |
1.2 |
|
|
IA-2 |
A.9.4.2 |
API キーの脆弱性の検出
API_KEY_SCANNER 検出項目は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。
表 2.API キーのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
API_KEY_APIS_UNRESTRICTED |
API キーが広すぎる範囲で使用されている。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。 |
1.11 |
|
|
|
|
API_KEY_APPS_UNRESTRICTED |
API キーが無制限に使用され、信頼できないアプリによる使用も許可されている。 |
|
|
|
|
|
API_KEY_EXISTS |
プロジェクトが標準認証ではなく API キーを使用している。 |
1.10 |
|
|
|
|
API_KEY_NOT_ROTATED |
API キーが 90 日以上ローテーションされていない。 |
1.13 |
|
|
|
|
Compute イメージの脆弱性の検出
COMPUTE_IMAGE_SCANNER 検出項目は、Google Cloud イメージ構成に関連する脆弱性を特定します。
表 3.Compute イメージのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
PUBLIC_COMPUTE_IMAGE |
Compute Engine イメージが一般公開されている。 |
|
|
|
|
|
Compute インスタンスの脆弱性の検出
COMPUTE_INSTANCE_SCANNER 検出項目は、Google Cloud インスタンスの構成に関連する脆弱性を識別します。
なお、COMPUTE_INSTANCE_SCANNER 検出項目は、GKE によって作成された Compute インスタンスで検出結果を報告しません。このようなインスタンスは「gke-」で始まる名前で、ユーザーによって直接編集できません。このようなインスタンスを保護するには、コンテナの脆弱性の検出セクションをご覧ください。
表 4.Compute インスタンスのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
プロジェクト全体の SSH 認証鍵が使用され、プロジェクト内のすべてのインスタンスにログインできる。 |
4.2 |
|
|
|
|
COMPUTE_SECURE_BOOT_DISABLED |
この Shielded VM では、セキュアブートが有効になっていない。セキュアブートを使用すると、ルートキットやブートキットなどの高度な脅威に対する仮想マシンのインスタンス保護に有効です。 |
4.8 |
|
|
|
|
COMPUTE_SERIAL_PORTS_ENABLED |
インスタンスのシリアルポートが有効になっているため、インスタンスのシリアル コンソールへ接続できる。 |
4.4 |
|
|
|
|
DISK_CSEK_DISABLED |
この VM のディスクは顧客指定の暗号鍵(CSEK)で暗号化されていない。この検出項目を有効にするには、追加の構成が必要です。この検出項目を有効にするには、モニタリングするアセットに、true の値を指定したセキュリティ マーク enforce_customer_supplied_disk_encryption_keys を適用します。 |
4.6 |
|
|
|
|
FULL_API_ACCESS |
インスタンスが、すべての Google Cloud API に対する完全アクセス権を持つデフォルトのサービス アカウントを使用して構成されている。 |
4.1 |
|
|
AC-6 |
A.9.2.3 |
IP_FORWARDING_ENABLED |
インスタンスで IP 転送が有効になっている。 |
4.5 |
|
|
|
|
OS_LOGIN_DISABLED |
このインスタンスでは OS Login が無効になっている。 |
4.3 |
|
|
|
|
PUBLIC_IP_ADDRESS |
インスタンスにパブリック IP アドレスがある。 |
|
1.2.1
1.3.5 |
|
CA-3
SC-7 |
|
WEAK_SSL_POLICY |
インスタンスに弱い SSL ポリシーがある。 |
|
|
|
SC-7 |
A.14.1.3 |
コンテナの脆弱性の検出
これらの検出タイプはすべて GKE コンテナ構成に関連し、CONTAINER_SCANNER 検出項目タイプに属します。
表 5.コンテナのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
AUTO_REPAIR_DISABLED |
GKE クラスタの自動修復機能(ノードの実行状態を正常に保つ機能)が無効になっている。 |
7.7 |
|
|
|
|
AUTO_UPGRADE_DISABLED |
GKE クラスタの自動アップグレード機能(Kubernetes の最新の安定したバージョンでクラスタとノードプールを保持する機能)が無効になっている。 |
7.8 |
|
|
|
|
CLUSTER_LOGGING_DISABLED |
GKE クラスタのロギングが有効になっていない。 |
7.1 |
|
|
|
|
CLUSTER_MONITORING_DISABLED |
GKE クラスタで Cloud Monitoring が無効になっている。 |
7.2 |
10.2.2
10.2.7 |
|
|
|
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
クラスタホストが、Google API にアクセスするためのプライベート内部 IP アドレスのみを使用するように構成されていない。 |
7.16 |
1.3 |
|
|
|
COS_NOT_USED |
Compute Engine VM が、Google Cloud で Docker コンテナを安全に実行するように設計された Container-Optimized OS を使用していない。 |
7.9 |
2.2 |
|
|
|
IP_ALIAS_DISABLED |
GKE クラスタが無効なエイリアス IP 範囲で作成された。 |
7.13 |
1.3.4
1.3.7 |
|
|
|
LEGACY_AUTHORIZATION_ENABLED |
GKE クラスタで、以前の承認が有効になっている。 |
7.3 |
4.1 |
|
|
|
LEGACY_METADATA_ENABLED |
GKE クラスタで、以前のメタデータが有効になっている。 |
|
|
|
|
|
MASTER_AUTHORIZED_NETWORKS_DISABLED |
GKE クラスタでマスター承認済みネットワークが有効になっていない。 |
7.4 |
|
|
|
|
NETWORK_POLICY_DISABLED |
GKE クラスタでネットワーク ポリシーが無効になっている。 |
7.11 |
1.3 |
|
SC-7 |
A.13.1.1 |
OVER_PRIVILEGED_ACCOUNT |
サービス アカウントが、クラスタ内で過度に広い範囲のプロジェクトのアクセス権を持っている。 |
7.17 |
2.1 |
|
AC-6
SC-7 |
A.9.2.3 |
OVER_PRIVILEGED_SCOPES |
ノードのサービス アカウントに、範囲の広いアクセス スコープがある。 |
7.18 |
|
|
|
|
POD_SECURITY_POLICY_DISABLED |
その PodSecurityPolicy が GKE クラスタで無効になっている。 |
7.14 |
|
|
|
|
PRIVATE_CLUSTER_DISABLED |
GKE クラスタに、無効な限定公開クラスタがある。 |
7.15 |
|
|
|
|
WEB_UI_ENABLED |
GKE ウェブ UI(ダッシュボード)が有効になっている。 |
7.6 |
6.5.8
6.6 |
|
|
|
WORKLOAD_IDENTITY_DISABLED |
Workload Identity が GKE クラスタで無効になっている。 |
|
|
|
|
|
データセットの脆弱性の検出
この検出項目タイプの脆弱性はすべて BigQuery データセットの構成に関連し、DATASET_SCANNER 検出項目タイプに属します。
表 6.データセットのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
PUBLIC_DATASET |
データセットが、一般公開のアクセスを受け入れるように構成されている。 |
|
|
|
AC-3 |
A.8.2.3
A.14.1.3 |
DNS の脆弱性の検出
この検出項目タイプの脆弱性はすべて Cloud DNS 構成に関連し、DNS_SCANNER 検出項目タイプに属します。
表 7.DNS のスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
DNSSEC_DISABLED |
Cloud DNS ゾーンで DNSSEC が無効になっている。 |
3.3 |
|
|
|
A.8.2.3 |
RSASHA1_FOR_SIGNING |
RSASHA1 が Cloud DNS ゾーンにログインする鍵に使用されている。 |
3.4
3.5 |
|
|
|
|
ファイアウォールの脆弱性の検出
この検出項目タイプの脆弱性はすべて、ファイアウォール構成に関連し、FIREWALL_SCANNER 検出項目タイプに属します。
表 8.ファイアウォールのスキャナ
| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
FIREWALL_RULE_LOGGING_DISABLED |
ファイアウォール ルールのロギングが無効になっている。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります。 |
|
10.1 |
|
SI-4 |
A.13.1.1 |
OPEN_FIREWALL |
ファイアウォールが、一般公開のアクセスを受け入れるように構成されている。 |
|
1.2.1 |
|
|
|
OPEN_RDP_PORT |
ファイアウォールが、一般的なアクセスを許可するオープン RDP ポートを持つように構成されている。 |
3.7 |
1.2.1 |
|
SC-7 |
A.13.1.1 |
OPEN_SSH_PORT |
ファイアウォールが、一般的なアクセスを許可するオープン SSH ポートを持つように構成されている。 |
3.6 |
1.2.1 |
|
SC-7 |
A.13.1.1 |
IAM の脆弱性の検出
この検出項目タイプの脆弱性は、すべて Identity and Access Management(IAM)の構成に関連し、IAM_SCANNER 検出項目タイプに属します。
表 9.IAM のスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
ADMIN_SERVICE_ACCOUNT |
管理者ロールで構成されたサービス アカウントがある。 |
1.4 |
|
|
|
|
KMS_PROJECT_HAS_OWNER |
暗号鍵が含まれるプロジェクトに対する「オーナー」権限をユーザーが持っている。 |
|
3.5 |
|
AC-6
SC-12 |
A.9.2.3
A.10.1.2 |
KMS_ROLE_SEPARATION |
職掌分散が適用されず、Cloud Key Management Service(Cloud KMS)暗号鍵の暗号化 / 復号のロール、暗号化のロール、復号のロールのいずれかを同時に持つユーザーが存在する。 |
1.9 |
|
|
AC-5 |
A.9.2.3
A.10.1.2
|
NON_ORG_IAM_MEMBER |
組織の認証情報を使用していないユーザーがいる。 CIS GCP Foundations 1.0 では、現在、この検出項目は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。 |
1.1 |
7.1.2 |
|
AC-3 |
A.9.2.3 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
ユーザーが、特定のサービス アカウントではなく、プロジェクト レベルでのサービス アカウント ユーザーのロールを持っている。 |
1.5 |
7.1.2 |
|
AC-6 |
A.9.2.3 |
PRIMITIVE_ROLES_USED |
ユーザーが基本ロール(オーナー、書き込み、読み取り)を持っている。これらのロールは制限が緩すぎるため、使用しないでください。 |
|
7.1.2 |
|
AC-6 |
A.9.2.3 |
REDIS_ROLE_USED_ON_ORG |
Redis IAM ロールが組織レベルまたはフォルダレベルで割り当てられている。 |
|
8.7 |
|
|
A.9.2.3 |
SERVICE_ACCOUNT_ROLE_SEPARATION |
ユーザーにサービス アカウント管理者とサービス アカウント ユーザーロールが割り当てられている。これは「職掌分散」の原則に違反しています。 |
1.7 |
|
|
AC-5 |
|
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
サービス アカウント キーが 90 日以上ローテーションされていない。 |
1.6 |
|
|
|
|
USER_MANAGED_SERVICE_ACCOUNT_KEY |
サービス アカウント キーがユーザーによって管理されている。 |
1.3 |
|
|
|
|
KMS の脆弱性の検出
この検出項目タイプの脆弱性はすべて Cloud KMS の構成に関連し、KMS_SCANNER 検出項目タイプに属します。
表 10.KMS のスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
KMS_KEY_NOT_ROTATED |
ローテーションが Cloud KMS 暗号鍵に構成されていない。 |
1.8 |
|
|
SC-12 |
A.10.1.2 |
TOO_MANY_KMS_USERS |
暗号鍵のユーザーが 3 人を超えている。 |
|
3.5.2 |
|
|
A.9.2.3 |
Logging の脆弱性の検出
この検出項目タイプの脆弱性は、すべてロギング構成に関連し、LOGGING_SCANNER 検出項目タイプに属します。
表 11.Logging のスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
AUDIT_LOGGING_DISABLED |
このリソースの監査ロギングが無効になっている。 |
2.1 |
10.2.3 |
|
AU-2 |
A.12.4.1
A.16.1.7 |
BUCKET_LOGGING_DISABLED |
ロギングが有効になっていないストレージ バケットがある。 |
5.3 |
|
|
|
|
LOG_NOT_EXPORTED |
適切なログシンクが構成されていないリソースがある。 |
2.2 |
10.2.3 |
|
|
A.18.1.3 |
OBJECT_VERSIONING_DISABLED |
シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていない。 |
2.3 |
10.2.3 |
|
|
|
PUBLIC_LOG_BUCKET |
ログシンクとして使用されるストレージ バケットへの一般アクセスを可能にしないでください。 |
|
10.5 |
|
AU-9 |
A.8.2.3
A.12.4.2
A.18.1.3 |
Monitoring の脆弱性の検出
この検出項目タイプの脆弱性は、すべてモニタリング構成に関連し、MONITORING_SCANNER タイプに属します。Monitoring の検出結果のプロパティはすべて、以下を含みます。
- ログ指標の作成に使用する
RecommendedLogFilter。
- 推奨されるログフィルタに記載されている条件に対応する
QualifiedLogMetricNames。
- プロジェクトに、該当するすべてのログ指標に対して作成されたアラート ポリシーがない、または既存のアラート ポリシーに推奨される設定がない場合を示す
AlertPolicyFailureReasons。
表 12.Monitoring のスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
AUDIT_CONFIG_NOT_MONITORED |
ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていない。 |
2.5 |
|
|
|
|
BUCKET_IAM_NOT_MONITORED |
ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていない。 |
2.10 |
1.3.2 |
|
|
|
CUSTOM_ROLE_NOT_MONITORED |
ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていない。 |
2.6 |
|
|
|
|
FIREWALL_NOT_MONITORED |
ログ指標とアラートが、VPC ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていない。 |
2.7 |
|
|
|
|
NETWORK_NOT_MONITORED |
ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていない。 |
2.9 |
|
|
|
|
OWNER_NOT_MONITORED |
ログ指標とアラートが、プロジェクト所有権の割り当て、または変更をモニタリングするように構成されていない。 |
2.4 |
|
|
|
|
ROUTE_NOT_MONITORED |
ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていない。 |
2.8 |
|
|
|
|
SQL_INSTANCE_NOT_MONITORED |
ログ指標とアラートが、Cloud SQL インスタンスの構成の変更をモニタリングするように構成されていない。 |
2.11 |
|
|
|
|
ネットワークの脆弱性の検出
この検出項目タイプの脆弱性は、すべて組織のネットワーク構成に関連し、NETWORK_SCANNER タイプに属します。
表 13.ネットワークのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
DEFAULT_NETWORK |
デフォルト ネットワークがプロジェクト内に存在する。 |
3.1 |
|
|
|
|
LEGACY_NETWORK |
以前のネットワークがプロジェクト内に存在する。 |
3.2 |
|
|
|
|
SSH パスワードの脆弱性の検出
この検出項目タイプの脆弱性は、すべてパスワードに関連し、SSH_PASSWORD タイプに属します。
表 14.SSH パスワードのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
WEAK_SSH_PASSWORD |
リソースに弱い SSH パスワードがある。 |
|
|
|
|
|
SQL の脆弱性の検出
この検出項目タイプの脆弱性は、すべて Cloud SQL の構成に関連し、SQL_SCANNER タイプに属します。
表 15.SQL のスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
AUTO_BACKUP_DISABLED |
Cloud SQL データベースに、有効な自動バックアップがない。 |
|
10.2.1 |
|
CA-3 |
A.12.3.1 |
PUBLIC_SQL_INSTANCE |
Cloud SQL データベース インスタンスが、すべての IP アドレスからの接続を受け入れている。 |
6.2 |
1.2.1 |
|
CA-3
SC-7 |
A.8.2.3
A.13.1.3
A.14.1.3 |
SSL_NOT_ENFORCED |
Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていない。 |
6.1 |
2.3 |
|
SC-7 |
A.8.2.3
A.13.2.1
A.14.1.3 |
SQL_NO_ROOT_PASSWORD |
Cloud SQL データベースに、root アカウント用に構成されたパスワードがない。 |
|
|
|
|
|
SQL_WEAK_ROOT_PASSWORD |
Cloud SQL データベースに、root アカウント用に構成された弱いパスワードがある。 |
|
|
|
|
|
ストレージの脆弱性の検出
この検出項目タイプの脆弱性は、すべて Cloud Storage バケットの構成に関連し、STORAGE_SCANNER タイプに属します。
表 16.ストレージのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
BUCKET_POLICY_ONLY_DISABLED |
Uniform bucket-level access(以前の Bucket Policy Only)が構成されていない。 |
|
|
|
|
|
LOGGING_DISABLED |
Cloud Storage バケットのロギングが無効になっている。 |
|
|
|
|
|
PUBLIC_BUCKET_ACL |
Cloud Storage バケットが一般公開になっている。 |
5.1 |
7.1 |
|
AC-2 |
A.8.2.3
A.14.1.3 |
サブネットワークの脆弱性の検出
この検出項目タイプの脆弱性はすべて、組織のサブネットワークの構成に関連し、SUBNETWORK_SCANNER タイプに属します。
表 17.サブネットワークのスキャナ| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
FLOW_LOGS_DISABLED |
無効なフローログを持つ VPC サブネットワークがある。 |
3.9 |
|
|
SI-4 |
A.13.1.1 |
PRIVATE_GOOGLE_ACCESS_DISABLED |
Google の公開 API にアクセスできないプライベート サブネットがある。 |
3.8 |
|
|
|
|
Web Security Scanner
Web Security Scanner は、一般公開された App Engine、GKE、Compute Engine のサービス対象ウェブ アプリケーションのマネージドおよびカスタムウェブ脆弱性スキャンを提供します。
マネージド スキャン
Web Security Scanner のマネージド スキャンは Security Command Center によって構成され、管理されます。マネージド スキャンは、週に 1 回自動的に実行され、一般公開のウェブ エンドポイントを検出してスキャンします。このスキャンは認証を使用せず、公開ウェブサイトにはフォームを送信しないので、GET のみのリクエストを送信します。
マネージド スキャンは、プロジェクト レベルで定義したカスタム スキャンとは別に実行されます。マネージド スキャンを使用すると、個々のプロジェクト チームを関与させることなく、組織内のプロジェクトのために、ウェブ アプリケーションの基本的な脆弱性の検出を一元管理できます。検出が見つかったら、それらのチームと協力してより包括的なカスタム スキャンを設定できます。
Web Security Scanner をサービスとして有効にする場合、マネージド スキャンの検出結果は、Security Command Center の [脆弱性] タブと関連レポートで自動的に利用可能になります。Web Security Scanner のマネージド スキャンを有効にする方法については、Security Command Center の構成をご覧ください。
カスタム スキャン
Web Security Scanner のカスタム スキャンは、古いライブラリ、クロスサイト スクリプティング、混合コンテンツの使用など、アプリケーションの脆弱性の検出に関する詳細な情報を提供します。Web Security Scanner のカスタム スキャンを設定するためのガイドを完了すると、Security Command Center でカスタム スキャンの検出が可能になります。
これらの表は、サポートされている検出項目間のマッピングと、関連するコンプライアンス体制へのベスト エフォート マッピングを示しています。
CIS Google Cloud Foundation 1.0 のマッピングは、CIS Google Cloud Computing Foundations Benchmark v1.0.0 への整合のために、Center for Internet Security によって審査され、認定されています。その他のコンプライアンスのマッピングは参照用として含まれ、Payment Card Industry Data Security Standard または OWASP Foundation による提供や審査は行われません。これらの違反の手動での確認方法については、CIS Google Cloud Computing Foundations Benchmark v1.0.0(CIS Google Cloud Foundation 1.0)、Payment Card Industry Data Security Standard 3.2.1(PCI-DSS v3.2.1)、OWASP Top 10、National Institute of Standards and Technology 800-53(NIST 800-53)、International Organization for Standardization 27001(ISO 27001)をご覧ください。
この機能は、コンプライアンス制御違反をモニタリングするためのだけのものです。このマッピングは、お客様の製品またはサービスが、規制、業界ベンチマーク、または基準に準拠していることについて、監査、認定、報告のベースとして、もしくはそれらの代わりとして使用するために提供されているものではありません。
Web Security Scanner のカスタム スキャンとマネージド スキャンによって特定される検出の種類は次のとおりです。
表 18.Web Security Scanner の検出| カテゴリ |
検出の説明 |
CIS GCP Foundation 1.0 |
PCI-DSS v3.2.1 |
OWASP Top 10 |
NIST 800-53 |
ISO-27001 |
|---|
ACCESSIBLE_GIT_REPOSITORY |
GIT リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。 |
|
|
A3 |
|
|
ACCESSIBLE_SVN_REPOSITORY |
SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。 |
|
|
A3 |
|
|
CLEAR_TEXT_PASSWORD |
パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。 |
|
|
A3 |
|
|
INVALID_CONTENT_TYPE |
レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれました。 この問題を解決するには、「X-Content-Type-Options」HTTP ヘッダーに正しい値を設定します。 |
|
|
A6 |
|
|
INVALID_HEADER |
セキュリティ ヘッダーに構文エラーがあるため、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 |
|
|
A6 |
|
|
MISMATCHING_SECURITY_HEADER_VALUES |
セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 |
|
|
A6 |
|
|
MISSPELLED_SECURITY_HEADER_NAME |
セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 |
|
|
A6 |
|
|
MIXED_CONTENT |
リソースが、HTTPS ページ上で HTTP を介して提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。 |
|
|
A6 |
|
|
OUTDATED_LIBRARY |
既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。 |
|
|
A9 |
|
|
XSS |
このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 |
|
|
A7 |
|
|
XSS_ANGULAR_CALLBACK |
ユーザー指定の文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、Angular フレームワークによって処理される、信頼されていないユーザー提供のデータを検証してエスケープします。 |
|
|
A7 |
|
|
XSS_ERROR |
このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザー提供のデータを検証してエスケープします。 |
|
|
A7 |
|
|
脅威
脅威検出機能は、有害な可能性があるイベントを見つけるのに役立ちます。
異常検出
異常検出は、システムの外部からの動作シグナルを使用する組み込みサービスです。漏えいした可能性のある認証情報やコイン マイニングなど、プロジェクトと仮想マシン(VM)インスタンスで検出されたセキュリティ異常に関する詳細な情報が表示されます。Security Command Center のスタンダード ティアまたはプレミアム ティアに登録すると、異常検出が自動的に有効になります。検出結果は、Security Command Center のダッシュボードで確認できます。
異常検出結果の例は次のとおりです。
表 B.異常検出結果のカテゴリ| 不正使用の可能性 |
説明 |
|---|
account_has_leaked_credentials |
Google Cloud サービス アカウントの認証情報がオンラインで誤って漏洩したか、不正使用されています。 |
resource_compromised_alert |
組織内のリソースが不正使用される可能性があります。 |
| 不正使用のシナリオ |
説明 |
resource_involved_in_coin_mining |
組織内の VM に関する動作シグナルは、リソースが不正使用され、クリプトマイニングに使用される可能性があることを示します。 |
outgoing_intrusion_attempt |
侵入の試みとポートスキャン: 組織のリソースまたは Google Cloud サービスの 1 つが、ターゲット システムの侵害や不正使用への試みなどの侵入行為に使用されています。これには、SSH ブルート フォース攻撃、ポートスキャン、FTP ブルート フォース攻撃があります。 |
resource_used_for_phishing |
組織内のリソースまたは Google Cloud サービスの 1 つがフィッシングに使用されています。
|
Container Threat Detection
Container Threat Detection は最も一般的なコンテナ ランタイム攻撃を検出し、Security Command Center と、必要に応じて Cloud Logging で警告を発することができます。Container Threat Detection には、いくつかの検出機能、分析ツール、API が含まれています。
Container Threat Detection の検出インストゥルメンテーションは、ゲストカーネルで低レベルの動作を収集し、次のイベントを検出します。
- 追加されたバイナリの実行
- 追加されたライブラリの読み込み
- リバースシェル
詳しくは Container Threat Detection をご覧ください。
Cloud Data Loss Prevention
Cloud DLP データ検出を使用すると、Cloud Data Loss Prevention(Cloud DLP)のスキャン結果を Security Command Center のダッシュボードと知見のインベントリに直接表示できます。Cloud DLP を使用すると、次のような機密データと個人情報(PII)を詳細に把握し、管理するのに役立ちます。
- クレジット カード番号
- 名前
- 社会保障番号
- 米国および一部の国際識別番号
- 電話番号
- Google Cloud 資格証明
各 Cloud DLP データ検出の結果に含まれているのは、識別された PII データのカテゴリ タイプとそのデータが見つかったリソースのみです。特定の基礎となるデータは含まれません。
DLP API の結果を Security Command Center に送信するのガイドで説明される設定手順を完了すると、Cloud DLP のスキャン結果が Security Command Center に表示されます。
より詳しく:
Event Threat Detection
Event Threat Detection は、システム内部のログデータを使用します。1 つ以上のプロジェクトについて組織の Cloud Logging ストリームをモニタリングし、利用可能になったときにログを使用します。脅威が検出されると、Event Threat Detection は検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。Event Threat Detection は、Security Command Center のプレミアム ティアに登録すると自動的に有効になり、検出結果を Security Command Center のダッシュボードで確認できます。
Event Threat Detection の検出結果の例は次のとおりです。
表 C.Event Threat Detection の検出タイプ| モニタリングとロギング |
説明 |
|---|
| ブルート フォース SSH |
Event Threat Detection では、ログインの繰り返しエラー後に成功した SSH ログを調べることでブルート フォース SSH を検出します。 |
| クリプトマイニング |
Event Threat Detection は、マイニング プールと他のログデータの既知の不良ドメインへの接続に関する VPC ログを調べることで、コイン マイニング マルウェアを検出します。 |
| IAM の不正使用 |
悪意のある付与 - Event Threat Detection は、組織レベルまたはプロジェクト レベルでオーナーまたは編集者の権限が付与された組織のドメイン外からのアカウント追加を検出します。悪意のある付与の検出は、以下を特定するのに役立ちます。
- どのアカウントにどの権限があるか。
- 権限が適用されるリソース
- 権限を付与した組織内のユーザー
|
| マルウェア |
Event Threat Detection は、既知の不正ドメインと他のログデータへの接続に関する VPC ログを調べることで、マルウェアを検出します。 |
| フィッシング |
Event Threat Detection は、接続と他のログデータに関する VPC ログを調べることで、フィッシングを検出します。 |
Event Threat Detection の詳細をご覧ください。
Forseti セキュリティ
Forseti セキュリティには、Google Cloud のすべてのリソースを理解するためのツールが用意されています。Forseti のコアモジュールは連動して詳細な情報を提供することで、リソースを保護し、セキュリティ リスクを最小限に抑えることができます。
Forseti 違反通知を Security Command Center に表示するには、Forseti の Security Command Center 通知ガイドをご覧ください。
より詳しく:
フィッシング対策
Phishing Protection は、ユーザーがフィッシング サイトにアクセスしないよう、ブランドを利用した悪意のあるコンテンツを分類し、安全でない URL を Google セーフ ブラウジングに報告します。フィッシング サイトがセーフ ブラウジングに登録されると、30 億台を超えるデバイスで警告が表示されるようになります。
Phishing Protection の使用を開始するには、Phishing Protection を有効にするのガイドをご覧ください。Phishing Protection を有効にすると、結果が [知見] の下の [フィッシング対策] カードの Security Command Center に表示されます。
次のステップ
