>
Security Command Center で利用可能な Google Cloud のセキュリティ ソースのリスト。 セキュリティ ソースを有効にすると、Security Command Center のダッシュボードに脆弱性と脅威のデータが表示されます。
Security Command Center では、特定の検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法で脆弱性や脅威の検出結果をフィルタして表示できます。各セキュリティ ソースによって、組織の検出結果の整理に役立つフィルタが追加されることがあります。
詳しくは、Security Command Center のダッシュボードの使用 をご覧ください。
脆弱性
脆弱性検出器は、潜在的な脆弱性を見つけるのに役立ちます。
Security Health Analytics の脆弱性タイプ
Google Cloud の Security Health Analytics のマネージド脆弱性評価スキャンでは、次のような場合に一般的な脆弱性と構成ミスを自動的に検出できます。
Cloud Monitoring と Cloud Logging
Compute Engine
Google Kubernetes Engine コンテナとネットワーク
クラウド ストレージ
Cloud SQL
Identity and Access Management(IAM)
Cloud Key Management Service(Cloud KMS)
Cloud DNS
Security Health Analytics は、Security Command Center のスタンダード ティアまたはプレミアム ティアを選択すると自動的に有効になります。Security Health Analytics を有効にすると、スキャンは 1 日 2 回、12 時間おきに自動的に実行されます。
Security Health Analytics では、多くの脆弱性タイプをスキャンします。検出結果を検出項目の種類別にグループ化できます。Security Health Analytics の検出項目名を使用して、検出の対象となるリソースタイプで検出結果をフィルタします。
Security Health Analytics の検出項目と検出結果の完全なリストを表示するには、Security Health Analytics の検出 ページを確認するか、次のセクションを展開してください。
Security Health Analytics の検出項目
次の表に、Security Health Analytics で生成できる検出項目タイプと特定の脆弱性検出タイプを示します。Google Cloud Console の [Security Command Center Vulnerabilities] タブを使用して、検出項目名と検出タイプで検出結果をフィルタできます。利用可能な検出カテゴリは次のとおりです。
以下の表は、サポートされている検出器間のマッピングと、関連するコンプライアンス制度へのベスト エフォートのマッピングを示しています。
CIS Google Cloud Foundation 1.0 のマッピングは、CIS Google Cloud Computing Foundations Benchmark v1.0.0 への整合のために、Center for Internet Security によって審査され、認定されています。その他のコンプライアンスのマッピングは参照用として含まれ、Payment Card Industry Data Security Standard または OWASP Foundation による提供や審査は行われません。これらの違反の手動での確認方法については、CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)、Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1)、OWASP Top 10 、National Institute of Standards and Technology 800-53 (NIST 800-53)、International Organization for Standardization 27001 (ISO 27001)をご覧ください。
この機能は、コンプライアンス制御違反をモニタリングするためのだけのものです。このマッピングは、規制、業界ベンチマーク、基準に準拠した製品またはサービスの、監査、認定、コンプライアンスの報告に基づいて、または代わりとして使用するために提供されるものではありません。
2 段階認証プロセスの検出
2SV_SCANNER
検出項目は、ユーザーの 2 段階認証プロセスに関連する脆弱性を識別します。
表 1 .2 段階認証プロセスのスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
2SV_NOT_ENFORCED
2 段階認証プロセスを使用していないユーザーがいる。
プレミアム階層またはスタンダード階層
1.2
8.3
IA-2
A.9.4.2
API キーの脆弱性の検出
API_KEY_SCANNER
検出項目は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。
表 2 .API キーのスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
API_KEY_APIS_UNRESTRICTED
API キーが広すぎる範囲で使用されている。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。
高品質な
1.12
API_KEY_APPS_UNRESTRICTED
API キーが無制限に使用され、信頼できないアプリによる使用も許可されている。
高品質な
1.11
API_KEY_EXISTS
プロジェクトが標準認証ではなく API キーを使用している。
高品質な
1.10
API_KEY_NOT_ROTATED
API キーが 90 日以上ローテーションされていない。
高品質な
1.13
Compute イメージの脆弱性の検出
COMPUTE_IMAGE_SCANNER
検出項目は、Google Cloud イメージ構成に関連する脆弱性を特定します。
表 3 .Compute イメージのスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
PUBLIC_COMPUTE_IMAGE
Compute Engine イメージが一般公開されている。
プレミアム階層またはスタンダード階層
Compute インスタンスの脆弱性の検出
COMPUTE_INSTANCE_SCANNER
検出項目は、Compute Engine インスタンスの構成に関連する脆弱性を識別します。
なお、COMPUTE_INSTANCE_SCANNER
検出項目は、GKE によって作成された Compute Engine インスタンス上の検出結果を報告しません。このようなインスタンスは「gke-」で始まる名前で、ユーザーは直接編集できません。このようなインスタンスを保護するには、コンテナの脆弱性の検出セクションをご覧ください。
表 4 .Compute インスタンスのスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
プロジェクト全体の SSH 認証鍵が使用され、プロジェクト内のすべてのインスタンスにログインできる。
高品質な
4.2
COMPUTE_SECURE_BOOT_DISABLED
この Shielded VM では、セキュアブート が有効になっていない。セキュアブートを使用すると、ルートキットやブートキットなどの高度な脅威に対する仮想マシンのインスタンス保護に有効です。
高品質な
COMPUTE_SERIAL_PORTS_ENABLED
インスタンスのシリアルポートが有効になっているため、インスタンスのシリアル コンソールへ接続できる。
高品質な
4.4
DISK_CSEK_DISABLED
この VM のディスクは顧客指定の暗号鍵(CSEK)で暗号化されていない。この検出項目を有効にするには、追加の構成が必要です。この検出項目を有効にするには、モニタリングするアセットに、true
の値を指定したセキュリティ マーク enforce_customer_supplied_disk_encryption_keys
を適用します。
高品質な
4.6
FULL_API_ACCESS
インスタンスが、すべての Google Cloud API に対する完全アクセス権を持つデフォルトのサービス アカウントを使用して構成されている。
高品質な
4.1
7.1.2
AC-6
A.9.2.3
HTTP_LOAD_BALANCER
インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。
高品質な
2.3
IP_FORWARDING_ENABLED
インスタンスで IP 転送が有効になっている。
高品質な
4.5
OS_LOGIN_DISABLED
このインスタンスでは OS Login が無効になっている。
高品質な
4.3
PUBLIC_IP_ADDRESS
インスタンスにパブリック IP アドレスがある。
プレミアム階層またはスタンダード階層
1.2.1 1.3.5
CA-3 SC-7
WEAK_SSL_POLICY
インスタンスに弱い SSL ポリシーがある。
高品質な
4.1
SC-7
A.14.1.3
コンテナの脆弱性の検出
これらの検出タイプはすべて GKE コンテナ構成に関連し、CONTAINER_SCANNER
検出項目タイプに属します。
表 5 .コンテナのスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
AUTO_REPAIR_DISABLED
GKE クラスタの自動修復機能(ノードの実行状態を正常に保つ機能)が無効になっている。
高品質な
7.7
2.2
AUTO_UPGRADE_DISABLED
GKE クラスタの自動アップグレード機能(Kubernetes の最新の安定したバージョンでクラスタとノードプールを保持する機能)が無効になっている。
高品質な
7.8
2.2
CLUSTER_LOGGING_DISABLED
GKE クラスタのロギングが有効になっていない。
高品質な
7.1
10.2.2 10.2.7
CLUSTER_MONITORING_DISABLED
GKE クラスタで Cloud Monitoring が無効になっている。
高品質な
7.2
10.1
10.2
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED
クラスタホストが、Google API にアクセスするためのプライベート内部 IP アドレスのみを使用するように構成されていない。
高品質な
7.1
1.3
COS_NOT_USED
Compute Engine VM が、Google Cloud で Docker コンテナを安全に動作させるように設計された、コンテナ用に最適化された OS を使用していない。
高品質な
7.9
2.2
IP_ALIAS_DISABLED
GKE クラスタが無効なエイリアス IP 範囲で作成された。
高品質な
7.1
1.3.4 1.3.7
LEGACY_AUTHORIZATION_ENABLED
GKE クラスタで、以前の承認が有効になっている。
高品質な
7.3
4.1
LEGACY_METADATA_ENABLED
GKE クラスタで、以前のメタデータが有効になっている。
高品質な
MASTER_AUTHORIZED_NETWORKS_DISABLED
GKE クラスタでマスター承認済みネットワーク が有効になっていない。
高品質な
7.4
1.2.1
1.3.2
NETWORK_POLICY_DISABLED
GKE クラスタでネットワーク ポリシーが無効になっている。
高品質な
7.1
1.3
SC-7
A.13.1.1
OVER_PRIVILEGED_ACCOUNT
サービス アカウントが、クラスタ内で過度に広い範囲のプロジェクトのアクセス権を持っている。
高品質な
7.1
2.1
7.1.2
AC-6 SC-7
A.9.2.3
OVER_PRIVILEGED_SCOPES
ノードのサービス アカウントに、範囲の広いアクセス スコープがある。
高品質な
7.1
POD_SECURITY_POLICY_DISABLED
その PodSecurityPolicy
が GKE クラスタで無効になっている。
高品質な
7.1
PRIVATE_CLUSTER_DISABLED
GKE クラスタに、無効な限定公開クラスタがある。
高品質な
7.1
1.3.2
WEB_UI_ENABLED
GKE ウェブ UI(ダッシュボード)が有効になっている。
プレミアム階層またはスタンダード階層
7.6
6.6
WORKLOAD_IDENTITY_DISABLED
Workload Identity が GKE クラスタで無効になっている。
高品質な
データセットの脆弱性の検出
この検出項目タイプの脆弱性はすべて BigQuery データセットの構成に関連し、DATASET_SCANNER
検出項目タイプに属します。
表 6. データセットのスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
PUBLIC_DATASET
データセットが、一般公開のアクセスを受け入れるように構成されている。
高品質な
7.1
AC-2
A.8.2.3 A.14.1.3
DNS の脆弱性の検出
この検出項目タイプの脆弱性はすべて Cloud DNS 構成に関連し、DNS_SCANNER
検出項目タイプに属します。
表 7. DNS のスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
DNSSEC_DISABLED
Cloud DNS ゾーンで DNSSEC が無効になっている。
高品質な
3.3
A.8.2.3
RSASHA1_FOR_SIGNING
RSASHA1 が Cloud DNS ゾーンにログインする鍵に使用されている。
高品質な
3.4 3.5
ファイアウォールの脆弱性の検出
この検出項目タイプの脆弱性はすべて、ファイアウォール構成に関連し、FIREWALL_SCANNER
検出項目タイプに属します。
表 8. ファイアウォールのスキャナ
カテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
EGRESS_DENY_RULE_NOT_SET
下り(外向き)拒否ルールがファイアウォールに設定されていない。不要な送信トラフィックをブロックするには、下り(外向き)拒否ルールを設定する必要があります。
高品質な
7.2
FIREWALL_RULE_LOGGING_DISABLED
ファイアウォール ルールのロギングが無効になっている。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります。
高品質な
10.1
10.2
SI-4
A.13.1.1
OPEN_CASSANDRA_PORT
ファイアウォールが、一般的なアクセスを許可するオープン CASSANDRA ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_CISCOSECURE_WEBSM_PORT
ファイアウォールが、一般的なアクセスを許可する CISCOSECURE_WEBSM ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_DIRECTORY_SERVICES_PORT
ファイアウォールが、一般的なアクセスを許可する DIRECTORY_SERVICES ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_DNS_PORT
ファイアウォールが、一般的なアクセスを許可するオープン DNS ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_ELASTICSEARCH_PORT
ファイアウォールが、一般的なアクセスを許可するオープン ELASTICSEARCH ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_FIREWALL
ファイアウォールが、一般公開のアクセスを受け入れるように構成されている。
プレミアム階層またはスタンダード階層
1.2.1
OPEN_FTP_PORT
ファイアウォールが、一般的なアクセスを許可するオープン FTP ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_HTTP_PORT
ファイアウォールが、一般的なアクセスを許可するオープン HTTP ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_LDAP_PORT
ファイアウォールが、一般的なアクセスを許可するオープン LDAP ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_MEMCACHED_PORT
ファイアウォールが、一般的なアクセスを許可するオープン MEMCACHED ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_MONGODB_PORT
ファイアウォールが、一般的なアクセスを許可するオープン MONGODB ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_MYSQL_PORT
ファイアウォールが、一般的なアクセスを許可するオープン MYSQL ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_NETBIOS_PORT
ファイアウォールが、一般的なアクセスを許可するオープン NETBIOS ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_ORACLEDB_PORT
ファイアウォールが、一般的なアクセスを許可するオープン ORACLEDB ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_POP3_PORT
ファイアウォールが、一般的なアクセスを許可するオープン POP3 ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_POSTGRESQL_PORT
ファイアウォールが、一般的なアクセスを許可するオープン POSTGRESQL ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_RDP_PORT
ファイアウォールが、一般的なアクセスを許可するオープン RDP ポートを持つように構成されている。
プレミアム階層またはスタンダード階層
3.7
1.2.1
SC-7
A.13.1.1
OPEN_REDIS_PORT
ファイアウォールが、一般的なアクセスを許可するオープン REDIS ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_SMTP_PORT
ファイアウォールが、一般的なアクセスを許可するオープン SMTP ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
OPEN_SSH_PORT
ファイアウォールが、一般的なアクセスを許可するオープン SSH ポートを持つように構成されている。
プレミアム階層またはスタンダード階層
3.6
1.2.1
SC-7
A.13.1.1
OPEN_TELNET_PORT
ファイアウォールが、一般的なアクセスを許可するオープン TELNET ポートを持つように構成されている。
高品質な
1.2.1
SC-7
A.13.1.1
IAM の脆弱性の検出
この検出項目タイプの脆弱性は、すべて Identity and Access Management(IAM)の構成に関連し、IAM_SCANNER
検出項目タイプに属します。
表 9. IAM のスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
ADMIN_SERVICE_ACCOUNT
管理者ロールで構成されたサービス アカウントがある。
高品質な
1.4
KMS_ROLE_SEPARATION
職掌分散が適用されず、Cloud Key Management Service(Cloud KMS)暗号鍵の暗号化 / 復号のロール、暗号化のロール、復号のロールのいずれかを同時に持つユーザーが存在する。
高品質な
1.9
AC-5
A.9.2.3 A.10.1.2
NON_ORG_IAM_MEMBER
組織の認証情報を使用していないユーザーがいる。CIS GCP Foundations 1.0 では、現在、この検出項目は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。
プレミアム階層またはスタンダード階層
1.1
7.1.2
AC-3
A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
ユーザーが、特定のサービス アカウントではなく、プロジェクト レベルでのサービス アカウント ユーザーのロールを持っている。
高品質な
1.5
7.1.2
AC-6
A.9.2.3
PRIMITIVE_ROLES_USED
ユーザーが基本ロール(オーナー、書き込み、読み取り)を持っている。これらのロールは制限が緩すぎるため、使用しないでください。
高品質な
7.1.2
AC-6
A.9.2.3
REDIS_ROLE_USED_ON_ORG
Redis IAM ロールが組織レベルまたはフォルダレベルで割り当てられている。
高品質な
7.1.2
A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION
ユーザーにサービス アカウント管理者とサービス アカウント ユーザーロールが割り当てられている。これは「職掌分散」の原則に違反しています。
高品質な
1.7
AC-5
A.9.2.3
SERVICE_ACCOUNT_KEY_NOT_ROTATED
サービス アカウント キーが 90 日以上ローテーションされていない。
高品質な
1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY
サービス アカウント キーがユーザーによって管理されている。
高品質な
1.3
KMS の脆弱性の検出
この検出項目タイプの脆弱性はすべて Cloud KMS の構成に関連し、KMS_SCANNER
検出項目タイプに属します。
表 10. KMS のスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
KMS_KEY_NOT_ROTATED
ローテーションが Cloud KMS 暗号鍵に構成されていない。 鍵は 90 日以内にローテーションする必要があります。
高品質な
1.8
3.5
SC-12
A.10.1.2
KMS_PROJECT_HAS_OWNER
暗号鍵が含まれるプロジェクトに対する「オーナー」権限をユーザーが持っている。
高品質な
3.5
AC-6 SC-12
A.9.2.3 A.10.1.2
TOO_MANY_KMS_USERS
暗号鍵のユーザーが 3 人を超えている。
高品質な
3.5.2
A.9.2.3
Logging の脆弱性の検出
この検出項目タイプの脆弱性は、すべてロギング構成に関連し、LOGGING_SCANNER
検出項目タイプに属します。
表 11. Logging のスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
AUDIT_LOGGING_DISABLED
このリソースの監査ロギングが無効になっている。
高品質な
2.1
10.1
10.2
AC-2
AU-2
A.12.4.1 A.16.1.7
BUCKET_LOGGING_DISABLED
ロギングが有効になっていないストレージ バケットがある。
高品質な
5.3
LOG_NOT_EXPORTED
適切なログシンクが構成されていないリソースがある。
高品質な
2.2
A.18.1.3
LOCKED_RETENTION_POLICY_NOT_SET
ログにロックされた保持ポリシーが設定されていない。
高品質な
10.5
AU-11
A.12.4.2
A.18.1.3
OBJECT_VERSIONING_DISABLED
シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていない。
高品質な
2.3
10.5
AU-11
A.12.4.2
A.18.1.3
モニタリングの脆弱性の検出
この検出項目タイプの脆弱性は、すべてモニタリング構成に関連し、MONITORING_SCANNER
タイプに属します。Monitoring の検出結果のプロパティはすべて、以下を含みます。
ログ指標の作成に使用する RecommendedLogFilter
。
推奨されるログフィルタに記載されている条件に対応する QualifiedLogMetricNames
。
プロジェクトに、該当するすべてのログ指標に対して作成されたアラート ポリシーがない、または既存のアラート ポリシーに推奨される設定がない場合を示す AlertPolicyFailureReasons
。
表 12. Monitoring のスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
AUDIT_CONFIG_NOT_MONITORED
ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていない。
高品質な
2.5
BUCKET_IAM_NOT_MONITORED
ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていない。
高品質な
2.10
CUSTOM_ROLE_NOT_MONITORED
ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていない。
高品質な
2.6
FIREWALL_NOT_MONITORED
ログ指標とアラートが、VPC ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていない。
高品質な
2.7
NETWORK_NOT_MONITORED
ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていない。
高品質な
2.9
OWNER_NOT_MONITORED
ログ指標とアラートが、プロジェクト所有権の割り当て、または変更をモニタリングするように構成されていない。
高品質な
2.4
ROUTE_NOT_MONITORED
ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていない。
高品質な
2.8
SQL_INSTANCE_NOT_MONITORED
ログ指標とアラートが、Cloud SQL インスタンスの構成の変更をモニタリングするように構成されていない。
高品質な
2.11
ネットワークの脆弱性の検出
この検出項目タイプの脆弱性は、すべて組織のネットワーク構成に関連し、NETWORK_SCANNER
タイプに属します。
表 13. ネットワークのスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
DEFAULT_NETWORK
デフォルト ネットワークがプロジェクト内に存在する。
高品質な
3.1
LEGACY_NETWORK
以前のネットワークがプロジェクト内に存在する。
高品質な
3.2
ORG ポリシーの脆弱性の検出
この検出項目タイプの脆弱性は、すべて組織のポリシーの構成に関連しており、ORG_POLICY
タイプに属します。
表 14. 組織ポリシーのスキャナ
カテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
ORG_POLICY_CONFIDENTIAL_VM_POLICY
Compute Engine リソースが constraints/compute.restrictNonConfidentialComputing
組織ポリシーに準拠していない。この組織のポリシーの制約の詳細については、Confidential VMs ドキュメントの組織のポリシーの制約の適用 をご覧ください。
高品質な
SQL の脆弱性の検出
この検出項目タイプの脆弱性は、すべて Cloud SQL の構成に関連し、SQL_SCANNER
タイプに属します。
表 15. SQL のスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
AUTO_BACKUP_DISABLED
Cloud SQL データベースに、有効な自動バックアップがない。
高品質な
CP-9
A.12.3.1
PUBLIC_SQL_INSTANCE
Cloud SQL データベース インスタンスが、すべての IP アドレスからの接続を受け入れている。
プレミアム階層またはスタンダード階層
6.2
1.2.1
CA-3 SC-7
A.8.2.3 A.13.1.3 A.14.1.3
SSL_NOT_ENFORCED
Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていない。
プレミアム階層またはスタンダード階層
6.1
4.1
SC-7
A.8.2.3 A.13.2.1 A.14.1.3
SQL_NO_ROOT_PASSWORD
Cloud SQL データベースに、root アカウント用に構成されたパスワードがない。
高品質な
6.3
2.1
AC-3
A.8.2.3
A.9.4.2
SQL_PUBLIC_IP
Cloud SQL データベースに、パブリック IP アドレスがある。
高品質な
SQL_WEAK_ROOT_PASSWORD
Cloud SQL データベースに、root アカウント用に構成された弱いパスワードがある。
高品質な
ストレージの脆弱性の検出
この検出項目タイプの脆弱性は、すべて Cloud Storage バケットの構成に関連し、STORAGE_SCANNER
タイプに属します。
表 16. ストレージのスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
BUCKET_POLICY_ONLY_DISABLED
Uniform bucket-level access
(以前の Bucket Policy Only
)が構成されていない。
高品質な
PUBLIC_BUCKET_ACL
Cloud Storage バケットが一般公開になっている。
プレミアム階層またはスタンダード階層
5.1
7.1
AC-2
A.8.2.3 A.14.1.3
PUBLIC_LOG_BUCKET
ログシンクとして使用されるストレージ バケットへの一般アクセスを可能にしないでください。
プレミアム階層またはスタンダード階層
10.5
AU-9
A.8.2.3 A.12.4.2 A.18.1.3
サブネットワークの脆弱性の検出
この検出項目タイプの脆弱性はすべて、組織のサブネットワークの構成に関連し、SUBNETWORK_SCANNER
タイプに属します。
表 17. サブネットワークのスキャナカテゴリ
検出の説明
料金階層
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
FLOW_LOGS_DISABLED
無効なフローログを持つ VPC サブネットワークがある。
高品質な
3.9
10.1
10.2
SI-4
A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED
Google の公開 API にアクセスできないプライベート サブネットがある。
高品質な
3.8
Web Security Scanner
Web Security Scanner は、一般公開された App Engine、GKE、Compute Engine のサービス対象ウェブ アプリケーションのマネージドおよびカスタムウェブ脆弱性スキャンを提供します。
マネージド スキャン
Web Security Scanner のマネージド スキャンは Security Command Center によって構成され、管理されます。マネージド スキャンは、週に 1 回自動的に実行され、一般公開のウェブ エンドポイントを検出してスキャンします。このスキャンは認証を使用せず、公開ウェブサイトにはフォームを送信しないので、GET のみのリクエストを送信します。
マネージド スキャンは、プロジェクト レベルで定義したカスタム スキャンとは別に実行されます。マネージド スキャンを使用すると、個々のプロジェクト チームを関与させることなく、組織内のプロジェクトのために、ウェブ アプリケーションの基本的な脆弱性の検出を一元管理できます。検出が見つかったら、それらのチームと協力してより包括的なカスタム スキャンを設定できます。
Web Security Scanner をサービスとして有効にする場合、マネージド スキャンの検出結果は、Security Command Center の [脆弱性] タブと関連レポートで自動的に利用可能になります。Web Security Scanner のマネージド スキャンを有効にする方法については、Security Command Center の構成 をご覧ください。
カスタム スキャン
Web Security Scanner のカスタム スキャンは、古いライブラリ、クロスサイト スクリプティング、混合コンテンツの使用など、アプリケーションの脆弱性の検出に関する詳細な情報を提供します。Web Security Scanner のカスタム スキャンを設定する ためのガイドを完了すると、Security Command Center でカスタム スキャンの検出が可能になります。
以下の表は、サポートされている検出器間のマッピングと、関連するコンプライアンス制度へのベスト エフォートのマッピングを示しています。
CIS Google Cloud Foundation 1.0 のマッピングは、CIS Google Cloud Computing Foundations Benchmark v1.0.0 への整合のために、Center for Internet Security によって審査され、認定されています。その他のコンプライアンスのマッピングは参照用として含まれ、Payment Card Industry Data Security Standard または OWASP Foundation による提供や審査は行われません。これらの違反の手動での確認方法については、CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0)、Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1)、OWASP Top 10 、National Institute of Standards and Technology 800-53 (NIST 800-53)、International Organization for Standardization 27001 (ISO 27001)をご覧ください。
この機能は、コンプライアンス制御違反をモニタリングするためのだけのものです。このマッピングは、規制、業界ベンチマーク、基準に準拠した製品またはサービスの、監査、認定、コンプライアンスの報告に基づいて、または代わりとして使用するために提供されるものではありません。
Web Security Scanner のカスタム スキャンとマネージド スキャンによって特定される検出の種類は次のとおりです。スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。
表 18. Web Security Scanner の検出
カテゴリ
検出の説明
CIS GCP Foundation 1.0
PCI-DSS v3.2.1
OWASP Top 10
NIST 800-53
ISO-27001
ACCESSIBLE_GIT_REPOSITORY
GIT リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。
A3
ACCESSIBLE_SVN_REPOSITORY
SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。
A3
CLEAR_TEXT_PASSWORD
パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。
A3
INVALID_CONTENT_TYPE
レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれました。この問題を解決するには、「X-Content-Type-Options」HTTP ヘッダーに正しい値を設定します。
A6
INVALID_HEADER
セキュリティ ヘッダーに構文エラーがあるため、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。
A6
MISMATCHING_SECURITY_HEADER_VALUES
セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。
A6
MISSPELLED_SECURITY_HEADER_NAME
セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。
A6
MIXED_CONTENT
リソースが、HTTPS ページ上で HTTP を介して提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。
A6
OUTDATED_LIBRARY
既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。
A9
XSS
このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。
A7
XSS_ANGULAR_CALLBACK
ユーザー指定の文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、Angular フレームワークによって処理される、信頼されていないユーザー提供のデータを検証してエスケープします。
A7
XSS_ERROR
このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザー提供のデータを検証してエスケープします。
A7
脅威
脅威検出機能は、有害な可能性があるイベントを見つけるのに役立ちます。
異常検出
異常検出 は、システムの外部からの動作シグナルを使用する組み込みサービスです。 漏えいした可能性のある認証情報やコイン マイニングなど、プロジェクトと仮想マシン(VM)インスタンスで検出されたセキュリティ異常に関する詳細な情報が表示されます。Security Command Center のスタンダード ティアまたはプレミアム ティアに登録すると、異常検出が自動的に有効になります。検出結果は、Security Command Center のダッシュボードで確認できます。
異常検出結果の例には、次のようなものがあります。
表 B. 異常検出結果のカテゴリ不正使用の可能性
説明
account_has_leaked_credentials
Google Cloud サービス アカウントの認証情報がオンラインで誤って漏洩したか、不正使用されています。
resource_compromised_alert
組織内のリソースが不正使用される可能性があります。
不正使用のシナリオ
説明
resource_involved_in_coin_mining
組織内の VM に関する動作シグナルは、リソースが不正使用され、クリプトマイニングに使用される可能性があることを示します。
outgoing_intrusion_attempt
侵入の試みとポートスキャン: 組織のリソースまたは Google Cloud サービスの 1 つが、ターゲット システムの侵害や不正使用への試みなどの侵入行為に使用されています。これには、SSH ブルート フォース攻撃、ポートスキャン、FTP ブルート フォース攻撃があります。
resource_used_for_phishing
組織内のリソースまたは Google Cloud サービスの 1 つがフィッシングに使用されています。
Container Threat Detection
ベータ版
この機能には、Google Cloud Platform 利用規約の一般提供前のサービス規約 が適用されます。一般提供前の機能についてはサポートが制限され、一般提供前の機能の変更は、他の一般提供前のバージョンと互換性がない可能性があります。詳細については、リリースステージの説明 をご覧ください。
Container Threat Detection は一般的なコンテナ ランタイム攻撃を検出し、Security Command Center で、必要に応じて Cloud Logging でアラートを受け取ることができます。Container Threat Detection には、複数の検出機能、分析ツール、API が含まれています。
Container Threat Detection の検出インストゥルメンテーションは、ゲストカーネルで低レベルの動作を収集し、次のイベントを検出します。
追加されたバイナリの実行
追加されたライブラリの読み込み
リバースシェル
詳しくは Container Threat Detection をご覧ください 。
Cloud Data Loss Prevention
Cloud DLP データ検出 を使用すると、Cloud Data Loss Prevention(Cloud DLP)のスキャン結果を Security Command Center のダッシュボードと知見のインベントリに直接表示できます。Cloud DLP を使用すると、次のような機密データと個人情報(PII)を詳細に把握し、管理するのに役立ちます。
クレジット カード番号
名前
社会保障番号
米国および一部の国際識別番号
電話番号
Google Cloud 資格証明
各 Cloud DLP データ検出の結果に含まれているのは、識別された PII データのカテゴリ タイプ とそのデータが見つかったリソースのみです。特定の基礎となるデータは含まれません。
DLP API の結果を Security Command Center に送信する のガイドで説明される設定手順を完了すると、Cloud DLP のスキャン結果が Security Command Center に表示されます。
より詳しく:
Event Threat Detection
Event Threat Detection は、システム内部のログデータを使用します。 1 つ以上のプロジェクトについて組織の Cloud Logging ストリームをモニタリングし、利用可能になったときにログを使用します。脅威が検出されると、Event Threat Detection は検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。Event Threat Detection は、Security Command Center のプレミアム ティアに登録すると自動的に有効になり、検出結果を Security Command Center のダッシュボードで確認できます。
Event Threat Detection の検出結果の例は次のとおりです。
表 C. Event Threat Detection の検出タイプデータの引き出し
Event Threat Detection は、監査ログを 2 つのシナリオで調べることで、BigQuery からのデータ漏洩を検出します。
リソースが組織外に保存されているか、VPC Service Controls によってブロックされているコピー オペレーションが試行されています。
VPC Service Controls によって保護されている BigQuery リソースへのアクセスが試行されています。
ブルート フォース SSH
Event Threat Detection では、ログインの繰り返しエラー後に成功した syslog ログを調べることで、パスワード認証 SSH のブルート フォースを検出します。
クリプトマイニング
Event Threat Detection は、マイニング プールの既知の不良ドメインへの接続に関する VPC フローログと Cloud DNS ログを調べることで、コイン マイニング マルウェアを検出します。
IAM の不正使用
IAM 異常付与検出: Event Threat Detection は、次のような異常と思われる追加の IAM 付与を検出します。
gmail.com ユーザーを、プロジェクト編集者のロールを含むポリシーに追加する。
プロジェクト オーナーとして gmail.com ユーザーを Google Cloud Console から招待する。
機密性の高い権限を付与するサービス アカウント。
機密性の高い権限を付与されたカスタムロール。
組織外から追加されたサービス アカウント。
マルウェア
Event Threat Detection は、既知のコマンド、制御ドメイン、IP への接続に関する VPC フローログと Cloud DNS ログを調べることでマルウェアを検出します。
フィッシング
Event Threat Detection は、既知のフィッシング ドメインと IP への接続に関する VPC フローログと Cloud DNS ログを調べることで、フィッシングを検出します。
送信 DoS
Event Threat Detection は VPC フローログを調べて、送信サービス拒否攻撃トラフィックを検出します。
Event Threat Detection の詳細をご覧ください 。
Forseti セキュリティ
Forseti セキュリティには、Google Cloud のすべてのリソースを理解するためのツールが用意されています。Forseti のコアモジュールは連動して詳細な情報を提供することで、リソースを保護し、セキュリティ リスクを最小限に抑えることができます。
Forseti 違反通知を Security Command Center で表示するには、Forseti の Security Command Center 通知ガイド をご覧ください。
より詳しく:
フィッシング対策
Phishing Protection は、ユーザーがフィッシング サイトにアクセスしないよう、ブランドを利用した悪意のあるコンテンツを分類し、安全でない URL を Google セーフ ブラウジング に報告します。フィッシング サイトがセーフ ブラウジングに登録されると、30 億台を超えるデバイスで警告が表示されるようになります。
Phishing Protection の使用を開始するには、Phishing Protection を有効にする のガイドをご覧ください。Phishing Protection を有効にすると、結果が [知見 ] の下の [フィッシング対策 ] カードの Security Command Center に表示されます。
次のステップ