脆弱性と脅威のセキュリティ ソース

>

Security Command Center で利用可能な Google Cloud のセキュリティ ソースのリスト。セキュリティ ソースを有効にすると、Security Command Center のダッシュボードに脆弱性と脅威のデータが表示されます。

Security Command Center では、特定の検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法で脆弱性や脅威の検出結果をフィルタして表示できます。各セキュリティ ソースによって、組織の検出結果の整理に役立つフィルタが追加されることがあります。

詳しくは、Security Command Center のダッシュボードの使用をご覧ください。

脆弱性

脆弱性検出器は、潜在的な脆弱性を見つけるのに役立ちます。

Security Health Analytics の脆弱性タイプ

Google Cloud の Security Health Analytics のマネージド脆弱性評価スキャンでは、次のような場合に一般的な脆弱性と構成ミスを自動的に検出できます。

  • Cloud Monitoring と Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine コンテナとネットワーク
  • クラウド ストレージ
  • Cloud SQL
  • Identity and Access Management(IAM)
  • Cloud Key Management Service(Cloud KMS)
  • Cloud DNS

Security Health Analytics は、Security Command Center のスタンダード ティアまたはプレミアム ティアを選択すると自動的に有効になります。Security Health Analytics を有効にすると、スキャンは 1 日 2 回、12 時間おきに自動的に実行されます。

Security Health Analytics では、多くの脆弱性タイプをスキャンします。検出結果を検出項目の種類別にグループ化できます。Security Health Analytics の検出項目名を使用して、検出の対象となるリソースタイプで検出結果をフィルタします。

Security Health Analytics の検出項目と検出結果の完全なリストを表示するには、Security Health Analytics の検出ページを確認するか、次のセクションを展開してください。

Web Security Scanner

Web Security Scanner は、一般公開された App Engine、GKE、Compute Engine のサービス対象ウェブ アプリケーションのマネージドおよびカスタムウェブ脆弱性スキャンを提供します。

マネージド スキャン

Web Security Scanner のマネージド スキャンは Security Command Center によって構成され、管理されます。マネージド スキャンは、週に 1 回自動的に実行され、一般公開のウェブ エンドポイントを検出してスキャンします。このスキャンは認証を使用せず、公開ウェブサイトにはフォームを送信しないので、GET のみのリクエストを送信します。

マネージド スキャンは、プロジェクト レベルで定義したカスタム スキャンとは別に実行されます。マネージド スキャンを使用すると、個々のプロジェクト チームを関与させることなく、組織内のプロジェクトのために、ウェブ アプリケーションの基本的な脆弱性の検出を一元管理できます。検出が見つかったら、それらのチームと協力してより包括的なカスタム スキャンを設定できます。

Web Security Scanner をサービスとして有効にする場合、マネージド スキャンの検出結果は、Security Command Center の [脆弱性] タブと関連レポートで自動的に利用可能になります。Web Security Scanner のマネージド スキャンを有効にする方法については、Security Command Center の構成をご覧ください。

カスタム スキャン

Web Security Scanner のカスタム スキャンは、古いライブラリ、クロスサイト スクリプティング、混合コンテンツの使用など、アプリケーションの脆弱性の検出に関する詳細な情報を提供します。Web Security Scanner のカスタム スキャンを設定するためのガイドを完了すると、Security Command Center でカスタム スキャンの検出が可能になります。

これらの表は、サポートされている検出項目間のマッピングと、関連するコンプライアンス体制へのベスト エフォート マッピングを示しています。

CIS Google Cloud Foundation 1.0 のマッピングは、CIS Google Cloud Computing Foundations Benchmark v1.0.0 への整合のために、Center for Internet Security によって審査され、認定されています。その他のコンプライアンスのマッピングは参照用として含まれ、Payment Card Industry Data Security Standard または OWASP Foundation による提供や審査は行われません。これらの違反の手動での確認方法については、CIS Google Cloud Computing Foundations Benchmark v1.0.0(CIS Google Cloud Foundation 1.0)、Payment Card Industry Data Security Standard 3.2.1(PCI-DSS v3.2.1)、OWASP Top 10National Institute of Standards and Technology 800-53(NIST 800-53)、International Organization for Standardization 27001(ISO 27001)をご覧ください。

この機能は、コンプライアンス制御違反をモニタリングするためのだけのものです。このマッピングは、お客様の製品またはサービスが、規制、業界ベンチマーク、または基準に準拠していることについて、監査、認定、報告のベースとして、もしくはそれらの代わりとして使用するために提供されているものではありません。

Web Security Scanner のカスタム スキャンとマネージド スキャンによって特定される検出の種類は次のとおりです。

表 18.Web Security Scanner の検出
カテゴリ 検出の説明 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP Top 10 NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY GIT リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。 A3
ACCESSIBLE_SVN_REPOSITORY SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。 A3
CLEAR_TEXT_PASSWORD パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。 A3
INVALID_CONTENT_TYPE レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれました。 この問題を解決するには、「X-Content-Type-Options」HTTP ヘッダーに正しい値を設定します。 A6
INVALID_HEADER セキュリティ ヘッダーに構文エラーがあるため、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 A6
MISMATCHING_SECURITY_HEADER_VALUES セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 A6
MISSPELLED_SECURITY_HEADER_NAME セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。 A6
MIXED_CONTENT リソースが、HTTPS ページ上で HTTP を介して提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。 A6
OUTDATED_LIBRARY 既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。 A9
XSS このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 A7
XSS_ANGULAR_CALLBACK ユーザー指定の文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、Angular フレームワークによって処理される、信頼されていないユーザー提供のデータを検証してエスケープします。 A7
XSS_ERROR このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザー提供のデータを検証してエスケープします。 A7

脅威

脅威検出機能は、有害な可能性があるイベントを見つけるのに役立ちます。

異常検出

異常検出は、システムの外部からの動作シグナルを使用する組み込みサービスです。漏えいした可能性のある認証情報やコイン マイニングなど、プロジェクトと仮想マシン(VM)インスタンスで検出されたセキュリティ異常に関する詳細な情報が表示されます。Security Command Center のスタンダード ティアまたはプレミアム ティアに登録すると、異常検出が自動的に有効になります。検出結果は、Security Command Center のダッシュボードで確認できます。

異常検出結果の例は次のとおりです。

表 B.異常検出の検出タイプ
不正使用の可能性 説明
漏えいしたサービス アカウント認証情報 誤ってオンラインで漏えい、または不正使用された Google Cloud サービス アカウントの認証情報。
不正使用されている可能性があるマシン 組織内のリソースが不正使用される可能性があります。
不正使用のシナリオ 説明
クリプトマイニングに使用されているリソース 組織内の VM に関する動作シグナルは、リソースが不正使用され、クリプトマイニングに使用される可能性があることを示します。
アウトバウンド侵入に使用されているリソース 侵入の試みとポートスキャン: 組織のリソースまたは Google Cloud サービスの 1 つが、ターゲット システムの侵害や不正使用への試みなどの侵入行為に使用されています。これには、SSH ブルート フォース攻撃、ポートスキャン、FTP ブルート フォース攻撃があります。
フィッシングに使用されているリソース 組織内のリソースまたは Google Cloud サービスの 1 つがフィッシングに使用されています。

Container Threat Detection

Container Threat Detection は最も一般的なコンテナ ランタイム攻撃を検出し、Security Command Center や必要に応じて Cloud Logging でアラートを発します。Container Threat Detection には、いくつかの検出機能、分析ツール、API が含まれています。

Container Threat Detection の検出インストゥルメンテーションは、ゲストカーネルで低レベルの動作を収集し、次のイベントを検出します。

  • 追加されたバイナリの実行
  • 追加されたライブラリの読み込み
  • リバースシェル

詳しくは Container Threat Detection をご覧ください

Cloud Data Loss Prevention

Cloud DLP データ検出を使用すると、Cloud Data Loss Prevention(Cloud DLP)のスキャン結果を Security Command Center のダッシュボードと知見のインベントリに直接表示できます。Cloud DLP を使用すると、次のような機密データと個人情報(PII)を詳細に把握し、管理するのに役立ちます。

  • クレジット カード番号
  • 名前
  • 社会保障番号
  • 米国および一部の国際識別番号
  • 電話番号
  • Google Cloud 資格証明

各 Cloud DLP データ検出の結果に含まれているのは、識別された PII データのカテゴリ タイプとそのデータが見つかったリソースのみです。特定の基礎となるデータは含まれません。

DLP API の結果を Security Command Center に送信するのガイドで説明される設定手順を完了すると、Cloud DLP のスキャン結果が Security Command Center に表示されます。

より詳しく:

Event Threat Detection

Event Threat Detection は、システム内部のログデータを使用します。1 つ以上のプロジェクトについて組織の Cloud Logging ストリームを監視し、利用可能になったときにログを使用します。脅威が検出されると、Event Threat Detection は検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。Event Threat Detection は、Security Command Center プレミアム ティアに登録すると自動的に有効になり、検出結果が Security Command Center のダッシュボードに表示されます。

Event Threat Detection の検出結果の例は次のとおりです。

表 C.Event Threat Detection の検出タイプ
モニタリングとロギング 説明
ブルート フォース SSH Event Threat Detection では、ログインの繰り返しエラー後に成功した SSH ログを調べることでブルート フォース SSH を検出します。
クリプトマイニング Event Threat Detection は、マイニング プールと他のログデータの既知の不良ドメインへの接続に関する VPC ログを調べることで、コイン マイニング マルウェアを検出します。
IAM の不正使用

悪意のある付与 - Event Threat Detection は、組織レベルまたはプロジェクト レベルでオーナーまたは編集者の権限が付与された組織のドメイン外からのアカウント追加を検出します。悪意のある付与の検出は、以下を特定するのに役立ちます。

  • どのアカウントにどの権限があるか。
  • 権限が適用されるリソース
  • 権限を付与した組織内のユーザー
マルウェア Event Threat Detection は、既知の不正ドメインと他のログデータへの接続に関する VPC ログを調べることで、マルウェアを検出します。
フィッシング Event Threat Detection は、接続と他のログデータに関する VPC ログを調べることで、フィッシングを検出します。

Event Threat Detection の詳細をご覧ください

Forseti セキュリティ

Forseti セキュリティには、Google Cloud のすべてのリソースを理解するためのツールが用意されています。Forseti のコアモジュールは連動して詳細な情報を提供することで、リソースを保護し、セキュリティ リスクを最小限に抑えることができます。

Forseti 違反通知を Security Command Center に表示する場合は、Forseti の Security Command Center 通知ガイドをご覧ください。

より詳しく:

フィッシング対策

Phishing Protection は、ユーザーがフィッシング サイトにアクセスしないよう、ブランドを利用した悪意のあるコンテンツを分類し、安全でない URL を Google セーフ ブラウジングに報告します。フィッシング サイトがセーフ ブラウジングに登録されると、30 億台を超えるデバイスで警告が表示されるようになります。

Phishing Protection の使用を開始するには、Phishing Protection を有効にするのガイドをご覧ください。Phishing Protection を有効にすると、結果が [知見] の下の [フィッシング対策] カードの Security Command Center に表示されます。

次のステップ