このページでは、Security Command Center で利用可能な Google Cloud のセキュリティ ソースのリストを示します。セキュリティ ソースを有効にすると、Security Command Center のダッシュボードに脆弱性と脅威に関するデータが表示されます。
Security Command Center では、特定の検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法で脆弱性と脅威の検出結果をフィルタして表示できます。セキュリティ ソースによって、組織の検出結果の整理に役立つフィルタが追加されることがあります。
Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
脆弱性
脆弱性の検出機能は、Google Cloud リソースに存在する潜在的な弱点の特定に役立ちます。
Rapid Vulnerability Detection
Rapid Vulnerability Detection は、いわゆる「N 日間」の脆弱性を検出するマネージド スキャンを実行します。この既知の脆弱性は、データへの任意のアクセスやリモートコード実行を許します。脆弱な認証情報、不完全なソフトウェア インストール、公開された管理者ユーザー インターフェースなどを含みます。
Rapid Vulnerability Detection が検出する脆弱性の完全な一覧については、Rapid Vulnerability Detection の検出結果と修正をご覧ください。
Security Health Analytics の脆弱性タイプ
Google Cloud の Security Health Analytics マネージド脆弱性評価スキャンでは、次のような一般的な脆弱性と構成ミスを自動的に検出できます。
- Cloud Monitoring と Cloud Logging
- Compute Engine
- Google Kubernetes Engine コンテナとネットワーク
- Cloud Storage
- Cloud SQL
- Identity and Access Management(IAM)
- Cloud Key Management Service(Cloud KMS)
- Cloud DNS
Security Command Center のスタンダード ティアまたはプレミアム ティアを選択すると、Security Health Analytics が自動的に有効になります。Security Health Analytics の検出機能は、Cloud Asset Inventory(CAI)のリソースのサブセットをモニタリングし、次の 3 つのスキャンモードを使用して脆弱性を検出します。
バッチスキャン: 登録済みのすべての組織に対して 1 日に 2 回以上、すべての検出機能を実行するようにスケジュールが設定されます。特定のサービスレベル目標(SLO)を満たすため、検出機能は異なるスケジュールで実行されます。12 時間と 24 時間の SLO を満たすため、検出機能はそれぞれ 6 時間または 12 時間おきにバッチスキャンを実行します。バッチスキャンの実行中に発生したリソースまたはポリシーの変更はすぐに取得されず、次のバッチスキャンでチェックされます。注: バッチスキャンのスケジュールは、サービス保証目標ではなく、パフォーマンスの目標です。
リアルタイム スキャン: CAI からアセット構成の変更が報告されるたびに、サポートされている検出機能がスキャンを開始します。検出結果は直ちに Security Command Center に書き込まれます。
混合モード: リアルタイム スキャンをサポートする一部の検出機能では、サポートされているすべてのアセットの変更をリアルタイムで検出できない場合があります。その場合、一部のアセット構成の変更は直ちにキャプチャされ、その他のアセット構成の変更はバッチスキャンでキャプチャされます。
Security Health Analytics の検出機能と検出結果の完全なリストを表示するには、Security Health Analytics の検出ページを確認するか、次のセクションを開いてださい。
Security Health Analytics の検出機能
このセクションでは、検出機能のタイプ、サポートされているアセット、コンプライアンス標準、Security Health Analytics で生成される脆弱性検出結果のタイプについて説明します。Google Cloud Console で Security Command Center の [脆弱性] タブでは、検出機能の名前と検出結果のタイプで検出結果をフィルタリングできます。利用可能な検出結果のカテゴリは次のとおりです。
- API キーの脆弱性の検出
- Compute イメージの脆弱性の検出
- Compute インスタンスの脆弱性の検出
- コンテナの脆弱性の検出
- Dataproc の脆弱性の検出
- データセットの脆弱性の検出
- DNS の脆弱性の検出
- ファイアウォールの脆弱性の検出
- IAM の脆弱性の検出
- KMS の脆弱性の検出
- ロギングの脆弱性の検出
- モニタリングの脆弱性の検出
- 多要素認証の脆弱性の検出
- ネットワークの脆弱性の検出
- 組織のポリシーの脆弱性の検出
- Pub/Sub の脆弱性の検出
- SQL の脆弱性の検出
- ストレージの脆弱性の検出
- サブネットワークの脆弱性の検出
検出機能とコンプライアンス
このセクションでは、サポートされている検出機能のマッピングと、関連するコンプライアンス標準へのベスト エフォートのマッピングについて説明します。
CIS ベンチマーク
Security Command Center では、次のバージョンの Google Cloud Platform Foundation の CIS ベンチマークがサポートされています。
- CIS Google Cloud Computing Foundations Benchmark v1.2.0(CIS Google Cloud Foundation 1.2)
- CIS Google Cloud Computing Foundations Benchmark v1.1.0(CIS Google Cloud Foundation 1.1)
- CIS Google Cloud Computing Foundations Benchmark v1.0.0(CIS Google Cloud Foundation 1.0)
CIS Google Cloud Foundation 1.2、1.1、1.0 のマッピングは、CIS Google Cloud Computing Foundations Benchmark v1.2.0、v1.1.0、v1.0.0 との整合のために、Center for Internet Security によって審査され、認定されています。
CIS 1.0 と CIS 1.1 は引き続きサポートされますが、最終的には非推奨となります。最新のベンチマークである CIS 1.2 を使用するか、移行することをおすすめします。
一部の検出機能は、CIS Google Kubernetes Engine(GKE)ベンチマーク v1.0.0(CIS GKE 1.0)にマッピングされています。このベンチマークのサポートは限定されているため、監査や報告書のコンプライアンス基準としては使用しないでください。
その他の標準
その他のコンプライアンス マッピングは参照用として含まれていますが、これらは Payment Card Industry Data Security Standard や OWASP Foundation から提供されたものではなく、審査も行われていません。これらの標準に対する違反を手動で確認する場合は、Payment Card Industry Data Security Standard 3.2.1(PCI-DSS v3.2.1)、OWASP Top Ten、National Institute of Standards and Technology 800-53(NIST 800-53)、International Organization for Standardization 27001(ISO 27001)をご覧ください。
この機能は、コンプライアンス制御違反をモニタリングするためのものです。このマッピングは、規制、業界ベンチマーク、標準に準拠した製品またはサービスの監査、認定、コンプライアンス報告の基礎として使用できるものでも、これらの代用として使用できるものでもありません。
API キーの脆弱性の検出
API_KEY_SCANNER
検出機能は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
API key APIs unrestricted
API のカテゴリ名: |
検出結果の説明: 過度に広範囲にわたって使用されている API キーが存在します。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。 料金ティア: プレミアム
サポートされているアセット |
プロジェクト内のすべての API キーの
|
CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14 |
API key apps unrestricted
API のカテゴリ名: |
検出結果の説明: 無制限に使用できる API キー(信頼できないアプリによる使用が制限されていない API キー)が存在します。 料金ティア: プレミアム サポートされているアセット |
プロジェクト内のすべての API キーの
|
CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13 |
API key exists
API のカテゴリ名: |
検出結果の説明: プロジェクトで標準認証ではなく API キーが使用されています。 料金ティア: プレミアム
サポートされているアセット |
プロジェクトが所有するすべての API キーを取得します。
|
CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12 |
API key not rotated
API のカテゴリ名: |
検出結果の説明: API キーが 90 日以上ローテーションされていません。 料金ティア: プレミアム サポートされているアセット |
すべての API キーの
|
CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15 |
Compute イメージの脆弱性の検出
COMPUTE_IMAGE_SCANNER
検出機能は、Google Cloud イメージ構成に関連する脆弱性を特定します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Public Compute image
API のカテゴリ名: |
検出結果の説明: Compute Engine イメージは一般公開されています。 料金ティア: プレミアムまたはスタンダード サポートされているアセット |
リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
Compute インスタンスの脆弱性の検出
COMPUTE_INSTANCE_SCANNER
検出機能は、Compute Engine インスタンスの構成に関連する脆弱性を識別します。
COMPUTE_INSTANCE_SCANNER
検出機能は、GKE によって作成された Compute Engine インスタンスに関する検出結果を報告しません。このようなインスタンスの名前は「gke-」で始まり、ユーザーは編集できません。このインスタンスを保護するには、「コンテナの脆弱性の検出結果」をご覧ください。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Confidential Computing disabled
API のカテゴリ名: |
検出結果の説明: Compute Engine インスタンスで Confidential Computing が無効になっています。 料金ティア: プレミアム サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.2: 4.11 |
Compute project wide SSH keys allowed
API のカテゴリ名: |
検出結果の説明: プロジェクト全体を対象とする SSH 認証鍵が使用されており、プロジェクト内のすべてのインスタンスへのログインが許可されています。 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.0: 4.2 CIS GCP Foundation 1.1: 4.3 CIS GCP Foundation 1.2: 4.3 |
Compute Secure Boot disabled
API のカテゴリ名: |
検出結果の説明: この Shielded VM でセキュアブートが有効になっていません。セキュアブートの使用は、ルートキットやブートキットなどの高度な脅威から仮想マシン インスタンスを保護するうえで有効です。 料金ティア: プレミアム サポートされているアセット |
Compute Engine インスタンスの
|
|
Compute serial ports enabled
API のカテゴリ名: |
検出結果の説明: インスタンスでシリアルポートが有効になっているため、インスタンスのシリアル コンソールへの接続が許可されます。 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.0: 4.4 CIS GCP Foundation 1.1: 4.5 CIS GCP Foundation 1.2: 4.5 |
Default service account used
API のカテゴリ名: |
検出結果の説明: デフォルトのサービス アカウントを使用するようにインスタンスが構成されています。 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 4.1 CIS GCP Foundation 1.2: 4.1 |
Disk CMEK disabled
API のカテゴリ名: |
検出結果の説明: この VM のディスクは顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット |
ディスク メタデータ内の
|
|
Disk CSEK disabled
API のカテゴリ名: |
検出結果の説明: この VM のディスクは顧客指定の暗号鍵(CSEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、特殊なケースの検出機能をご覧ください。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.0: 4.6 CIS GCP Foundation 1.1: 4.7 CIS GCP Foundation 1.2: 4.7 |
Full API access
API のカテゴリ名: |
検出結果の説明: すべての Google Cloud APIs に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するようにインスタンスが構成されています。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.0: 4.1 CIS GCP Foundation 1.1: 4.2 CIS GCP Foundation 1.2: 4.2 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3 |
HTTP load balancer
API のカテゴリ名: |
検出結果の説明: インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。 料金ティア: プレミアム
サポートされているアセット |
|
PCI-DSS v3.2.1: 2.3 |
IP forwarding enabled
API のカテゴリ名: |
検出結果の説明: インスタンスで IP 転送が有効になっています。 料金ティア: プレミアム
サポートされているアセット |
インスタンスの
|
CIS GCP Foundation 1.0: 4.5 CIS GCP Foundation 1.1: 4.6 CIS GCP Foundation 1.2: 4.6 |
OS login disabled
API のカテゴリ名: |
検出結果の説明: このインスタンスで OS Login が無効になっています。 料金ティア: プレミアム
サポートされているアセット |
プロジェクト メタデータの
|
CIS GCP Foundation 1.0: 4.3 CIS GCP Foundation 1.1: 4.4 CIS GCP Foundation 1.2: 4.4 |
Public IP address
API のカテゴリ名: |
検出結果の説明: インスタンスにパブリック IP アドレスが割り振られています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
|
CIS GCP Foundation 1.1: 4.9 CIS GCP Foundation 1.2: 4.9 PCI-DSS v3.2.1: 1.2.1、1.3.5 NIST 800-53: CA-3, SC-7 |
Shielded VM disabled
API のカテゴリ名: |
検出結果の説明: このインスタンスで Shielded VM が無効になっています。 料金ティア: プレミアム
サポートされているアセット |
Compute Engine インスタンスの
|
CIS GCP Foundation 1.1: 4.8 CIS GCP Foundation 1.2: 4.8 |
Weak SSL policy
API のカテゴリ名: |
検出結果の説明: インスタンスに脆弱な SSL ポリシーが設定されています。 料金ティア: プレミアム サポートされているアセット |
アセット メタデータ内の
|
CIS GCP Foundation 1.1: 3.9 CIS GCP Foundation 1.2: 3.9 PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.14.1.3 |
コンテナの脆弱性の検出
この検出タイプはすべて GKE コンテナ構成に関連し、CONTAINER_SCANNER
検出機能タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Alpha cluster enabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタでアルファ版のクラスタ機能が有効になっています。 料金ティア: プレミアム
サポートされているアセット |
クラスタの
|
CIS GKE 1.0: 6.10.2 |
Auto repair disabled
API のカテゴリ名: |
検出結果の説明: ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。 料金ティア: プレミアム
サポートされているアセット |
ノードプールの
|
CIS GCP Foundation 1.0: 7.7 CIS GKE 1.0: 6.5.2 PCI-DSS v3.2.1: 2.2 |
Auto upgrade disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。 料金ティア: プレミアム
サポートされているアセット |
ノードプールの
|
CIS GCP Foundation 1.0: 7.8 CIS GKE 1.0: 6.5.3 PCI-DSS v3.2.1: 2.2 |
Binary authorization disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで Binary Authorization が無効になっています。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GKE 1.0: 6.10.5 |
Cluster logging disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタに対して Logging が有効になっていません。 料金ティア: プレミアム
サポートされているアセット |
クラスタの
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.2.2、10.2.7 |
Cluster monitoring disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで Monitoring が無効になっています。 料金ティア: プレミアム
サポートされているアセット |
クラスタの
|
CIS GCP Foundation 1.0: 7.2 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.1、10.2 |
Cluster private Google access disabled
API のカテゴリ名: |
検出結果の説明: クラスタのホストは、Google API にアクセスする際にプライベート内部 IP アドレスのみを使用するように構成されていません。 料金ティア: プレミアム
サポートされているアセット |
サブネットワークの
|
CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3 |
Cluster secrets encryption disabled
API のカテゴリ名: |
検出結果の説明: アプリケーション レイヤでのシークレットの暗号化が GKE クラスタで無効になっています。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GKE 1.0: 6.3.1 |
Cluster shielded nodes disabled
API のカテゴリ名: |
検出結果の説明: シールドされた GKE ノードがクラスタで有効になっていません。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GKE 1.0: 6.5.5 |
COS not used
API のカテゴリ名: |
検出結果の説明: Compute Engine VM は、Google Cloud で Docker コンテナを安全に実行するための Container-Optimized OS を使用していません。 料金ティア: プレミアム
サポートされているアセット |
ノードプールの
|
CIS GCP Foundation 1.0: 7.9 CIS GKE 1.0: 6.5.1 PCI-DSS v3.2.1: 2.2 |
Integrity monitoring disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタの整合性モニタリングが無効になっています。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GKE 1.0: 6.5.6 |
Intranode visibility disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで、ノード内の可視化が無効になっています。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GKE 1.0: 6.6.1 |
IP alias disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタが、エイリアス IP 範囲を無効にして作成されています。 料金ティア: プレミアム
サポートされているアセット |
クラスタ内の
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.2 PCI-DSS v3.2.1: 1.3.4、1.3.7 |
Legacy authorization enabled
API のカテゴリ名: |
検出結果の説明: 以前の承認が GKE クラスタで有効になっています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
クラスタの
|
CIS GCP Foundation 1.0: 7.3 CIS GKE 1.0: 6.8.3 PCI-DSS v3.2.1: 4.1 |
Legacy metadata enabled
API のカテゴリ名: |
検出結果の説明: 従来のメタデータが GKE クラスタで有効になっています。 料金ティア: プレミアム
サポートされているアセット |
ノードプールの
|
CIS GKE 1.0: 6.4.1 |
Master authorized networks disabled
API のカテゴリ名: |
検出結果の説明: コントロール プレーンの承認済みネットワークが GKE クラスタで有効になっていません。 料金ティア: プレミアム
サポートされているアセット |
クラスタの
|
CIS GCP Foundation 1.0: 7.4 CIS GKE 1.0: 6.6.3 PCI-DSS v3.2.1: 1.2.1、1.3.2 |
Network policy disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタでネットワーク ポリシーが無効になっています。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.7 PCI-DSS v3.2.1: 1.3 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Nodepool boot CMEK disabled
API のカテゴリ名: |
検出結果の説明: このノードプール内のブートディスクは、顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット |
CMEK のリソース名についてノードプールの
|
|
Nodepool secure boot disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタでセキュアブートが無効になっています。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GKE 1.0: 6.5.7 |
Over privileged account
API のカテゴリ名: |
検出結果の説明: サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。 料金ティア: プレミアム
サポートされているアセット |
ノードプールの
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1 PCI-DSS v3.2.1: 2.1, 7.1.2 NIST 800-53: AC-6、SC-7 ISO-27001: A.9.2.3 |
Over privileged scopes
API のカテゴリ名: |
検出結果の説明: ノードのサービス アカウントに、広範なアクセス スコープが設定されています。 料金ティア: プレミアム
サポートされているアセット |
ノードプールの config.oauthScopes プロパティに表示されているアクセス スコープが、制限付きのサービス アカウント アクセス スコープ https://www.googleapis.com/auth/devstorage.read_only 、https://www.googleapis.com/auth/logging.write 、または https://www.googleapis.com/auth/monitoring であるかどうかを確認します。
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1 |
Pod security policy disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで PodSecurityPolicy が無効になっています。 料金ティア: プレミアム
サポートされているアセット |
クラスタの
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.10.3 |
Private cluster disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで無効になっている限定公開クラスタが存在します。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.5 PCI-DSS v3.2.1: 1.3.2 |
Release channel disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタはリリース チャンネルに登録されていません。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GKE 1.0: 6.5.4 |
Web UI enabled
API のカテゴリ名: |
検出結果の説明: GKE ウェブ UI(ダッシュボード)が有効になっています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
|
CIS GCP Foundation 1.0: 7.6 CIS GKE 1.0: 6.10.1 PCI-DSS v3.2.1: 6.6 |
Workload Identity disabled
API のカテゴリ名: |
検出結果の説明: Workload Identity が GKE クラスタで無効になっています。 料金ティア: プレミアム
サポートされているアセット |
クラスタの
|
CIS GKE 1.0: 6.2.2 |
Dataproc の脆弱性の検出
この検出機能の脆弱性はすべて Dataproc に関連しており、DATAPROC_SCANNER
検出機能タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Dataproc image outdated
API のカテゴリ名: |
検出結果の説明: Dataproc クラスタは、Apache Log4j 2 ユーティリティのセキュリティ脆弱性(CVE-2021-44228 および CVE-2021-45046)の影響を受ける Dataproc イメージ バージョンで作成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
|
データセットの脆弱性の検出
この検出機能タイプの脆弱性はすべて BigQuery データセットの構成に関連し、DATASET_SCANNER
検出機能タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
BigQuery table CMEK disabled
API のカテゴリ名: |
検出結果の説明: BigQuery テーブルが、顧客管理の暗号鍵(CMEK)を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.2: 7.2 |
Dataset CMEK disabled
API のカテゴリ名: |
検出結果の説明: BigQuery データセットが、デフォルトの CMEK を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム サポートされているアセット |
|
|
Public dataset
API のカテゴリ名: |
検出結果の説明: データセットが公開アクセスを許可するように構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
CIS GCP Foundation 1.1: 7.1 CIS GCP Foundation 1.2: 7.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3、A.14.1.3 |
DNS の脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud DNS 構成に関連し、DNS_SCANNER
検出機能タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
DNSSEC disabled
API のカテゴリ名: |
検出結果の説明: Cloud DNS ゾーンで DNSSEC が無効になっています。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.0: 3.3 CIS GCP Foundation 1.1: 3.3 CIS GCP Foundation 1.2: 3.3 ISO-27001: A.8.2.3 |
RSASHA1 for signing
API のカテゴリ名: |
検出結果の説明: RSASHA1 が Cloud DNS ゾーンの鍵署名に使用されています。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.0: 3.4、3.5 CIS GCP Foundation 1.1: 3.4、3.5 CIS GCP Foundation 1.2: 3.4、3.5 |
ファイアウォールの脆弱性の検出
この検出機能タイプの脆弱性はすべてファイアウォール構成に関連し、FIREWALL_SCANNER
検出機能タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Egress deny rule not set
API のカテゴリ名: |
検出結果の説明: ファイアウォールに下り(外向き)拒否ルールが設定されていません。不要な送信トラフィックをブロックするには、下り(外向き)拒否ルールを設定する必要があります。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォールの
|
PCI-DSS v3.2.1: 7.2 |
Firewall rule logging disabled
API のカテゴリ名: |
検出結果の説明: ファイアウォール ルールのロギングが無効になっています。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 10.1、10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1 |
Open Cassandra port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン Cassandra ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open ciscosecure websm port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン CISCOSECURE_WEBSM ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open directory services port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DIRECTORY_SERVICES ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
ファイアウォール メタデータで
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open DNS port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DNS ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータで
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open elasticsearch port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ELASTICSEARCH ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open firewall
API のカテゴリ名: |
検出結果の説明: ファイアウォールが公開のアクセスを許可するように構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
| PCI-DSS v3.2.1: 1.2.1 |
Open FTP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン FTP ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open HTTP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン HTTP ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open LDAP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン LDAP ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータで
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open Memcached port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MEMCACHED ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータで
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open MongoDB port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MONGODB ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open MySQL port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MYSQL ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open NetBIOS port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン NETBIOS ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータで
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open OracleDB port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ORACLEDB ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータで
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open pop3 port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン POP3 ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open PostgreSQL port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン PostgreSQL ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータで
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open RDP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン RDP ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
ファイアウォール メタデータで
|
CIS GCP Foundation 1.0: 3.7 CIS GCP Foundation 1.1: 3.7 CIS GCP Foundation 1.2: 3.7 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open Redis port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン REDIS ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open SMTP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SMTP ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open SSH port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SSH ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
ファイアウォール メタデータの
|
CIS GCP Foundation 1.0: 3.6 CIS GCP Foundation 1.1: 3.6 CIS GCP Foundation 1.2: 3.6 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
Open Telnet port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン TELNET ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
ファイアウォール メタデータの
|
PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1 |
IAM の脆弱性の検出
この検出機能タイプの脆弱性はすべて Identity and Access Management(IAM)の構成に関連し、IAM_SCANNER
検出機能タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 | ||
---|---|---|---|---|---|
Admin service account
API のカテゴリ名: |
検出結果の説明: サービス アカウントに、管理者、オーナー、または編集者の権限が付与されています。これらのロールは、ユーザーが作成するサービス アカウントに割り当てないでください。 料金ティア: プレミアム
サポートされているアセット |
リソース メタデータの IAM 許可ポリシーで、ユーザーが作成した任意のサービス アカウント(接頭辞 iam.gserviceaccount.com が付いています)に
|
CIS GCP Foundation 1.0: 1.4 CIS GCP Foundation 1.1: 1.5 CIS GCP Foundation 1.2: 1.5 |
||
KMS role separation
API のカテゴリ名: |
検出結果の説明: 職掌分散が適用されていません。暗号鍵の暗号化 / 復号、暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。 料金ティア: プレミアム
サポートされているアセット |
リソース メタデータの IAM 許可ポリシーを確認し、roles/cloudkms.cryptoKeyEncrypterDecrypter 、roles/cloudkms.cryptoKeyEncrypter 、roles/cloudkms.cryptoKeyDecrypter 、roles/cloudkms.signer 、roles/cloudkms.signerVerifier 、roles/cloudkms.publicKeyViewer のいずれかのロールが同時に割り当てられているプリンシパルを取得します。
|
CIS GCP Foundation 1.0: 1.9 CIS GCP Foundation 1.1: 1.11 NIST 800-53: AC-5 ISO-27001: A.9.2.3、A.10.1.2 |
||
Non org IAM member
API のカテゴリ名: |
検出結果の説明: 組織の認証情報を使用していないユーザーが存在します。現在 CIS GCP Foundations 1.0 では、この検出機能は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
IAM の許可ポリシー メタデータの
|
CIS GCP Foundation 1.0: 1.1 CIS GCP Foundation 1.1: 1.1 CIS GCP Foundation 1.2: 1.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-3 ISO-27001: A.9.2.3 |
||
Open group IAM member
API のカテゴリ名: |
検出結果の説明: 承認なしで結合できる Google グループ アカウントは、IAM 許可ポリシーのプリンシパルとして使用されます。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
リソース メタデータの IAM ポリシーで、接頭辞 group が付いているメンバー(プリンシパル)を含むバインディングを確認します。グループがオープン グループの場合、Security Health Analytics はこの検出結果を生成します。
|
|||
Over privileged service account user
API のカテゴリ名: |
検出結果の説明: ユーザーに、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを付与されています。 料金ティア: プレミアム
サポートされているアセット |
リソース メタデータの IAM 許可ポリシーで、プロジェクト レベルの roles/iam.serviceAccountUser または roles/iam.serviceAccountTokenCreator が割り当てられているプリンシパルを確認します。
|
CIS GCP Foundation 1.0: 1.5 CIS GCP Foundation 1.1: 1.6 CIS GCP Foundation 1.2: 1.6 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3 |
||
Primitive roles used
API のカテゴリ名: |
検出結果の説明: ユーザーに基本ロールのオーナー、書き込み、読み取りが割り当てられています。これらのロールには過剰な権限が付与されるため、使用を回避する必要があります。 料金ティア: プレミアム
サポートされているアセット |
リソース メタデータの IAM 許可ポリシーで、
|
PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3 |
||
Redis role used on org
API のカテゴリ名: |
検出結果の説明: Redis IAM ロールが、組織レベルまたはフォルダレベルで割り当てられます。 料金ティア: プレミアム
サポートされているアセット
|
リソース メタデータの IAM 許可ポリシーで、組織またはフォルダレベルで
|
PCI-DSS v3.2.1: 7.1.2 ISO-27001: A.9.2.3 |
||
Service account role separation
API のカテゴリ名: |
検出結果の説明: ユーザーにサービス アカウント管理者とサービス アカウント ユーザーのロールが割り当てられています。これは「職掌分散」の原則に違反しています。 料金ティア: プレミアム
サポートされているアセット |
リソース メタデータの IAM 許可ポリシーで、roles/iam.serviceAccountUser と roles/iam.serviceAccountAdmin の両方が割り当てられているプリンシパルを確認します。
|
CIS GCP Foundation 1.0: 1.7 CIS GCP Foundation 1.1: 1.8 CIS GCP Foundation 1.2: 1.8 NIST 800-53: AC-5 ISO-27001: A.9.2.3 |
||
Service account key not rotated
API のカテゴリ名: |
検出結果の説明: サービス アカウント キーは 90 日以上ローテーションされていません。 料金ティア: プレミアム
サポートされているアセット |
サービス アカウントのキーメタデータの
|
CIS GCP Foundation 1.0: 1.6 | CIS GCP Foundation 1.1: 1.7 | CIS GCP Foundation 1.2: 1.7 |
User managed service account key
API のカテゴリ名: |
検出結果の説明: ユーザーがサービス アカウント キーを管理しています。 料金ティア: プレミアム
サポートされているアセット |
サービス アカウント キー メタデータの
|
CIS GCP Foundation 1.0: 1.3 | CIS GCP Foundation 1.1: 1.4 | CIS GCP Foundation 1.2: 1.4 |
KMS の脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud KMS 構成に関連し、KMS_SCANNER
検出機能タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
KMS key not rotated
API のカテゴリ名: |
検出結果の説明: Cloud KMS 暗号鍵にローテーションが構成されていません。暗号鍵は 90 日以内にローテーションする必要があります。 料金ティア: プレミアム
サポートされているアセット |
リソース メタデータで
|
CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 PCI-DSS v3.2.1: 3.5 NIST 800-53: SC-12 ISO-27001: A.10.1.2 |
KMS project has owner
API のカテゴリ名: |
検出結果の説明: 暗号鍵が含まれるプロジェクトに対するオーナー権限がユーザーに付与されています。 料金ティア: プレミアム
サポートされているアセット |
プロジェクト メタデータの IAM 許可ポリシーで、
|
CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 PCI-DSS v3.2.1: 3.5 NIST 800-53: AC-6、SC-12 ISO-27001: A.9.2.3、A.10.1.2 |
KMS public key
API のカテゴリ名: |
検出結果の説明: Cloud KMS 暗号鍵は一般公開されています。 料金ティア: プレミアム サポートされているアセット |
リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9 |
Too many KMS users
API のカテゴリ名: |
検出結果の説明: 暗号鍵のユーザーが 3 人を超えています。 料金ティア: プレミアム
サポートされているアセット |
IAM 許可ポリシーでキーリング、プロジェクト、組織を確認し、Cloud KMS 鍵を使用してデータの暗号化、復号、または署名ができるロール(roles/owner 、roles/cloudkms.cryptoKeyEncrypterDecrypter 、roles/cloudkms.cryptoKeyEncrypter 、roles/cloudkms.cryptoKeyDecrypter 、roles/cloudkms.signer 、roles/cloudkms.signerVerifier )を持つプリンシパルを取得します。
|
PCI-DSS v3.2.1: 3.5.2 ISO-27001: A.9.2.3 |
ロギングの脆弱性の検出
この検出機能タイプの脆弱性はすべてロギング構成に関連し、LOGGING_SCANNER
検出機能タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Audit logging disabled
API のカテゴリ名: |
検出結果の説明: このリソースの監査ロギングが無効になっています。 料金ティア: プレミアム
サポートされているアセット |
リソース メタデータの IAM 許可ポリシーで、
|
CIS GCP Foundation 1.0: 2.1 CIS GCP Foundation 1.1: 2.1 CIS GCP Foundation 1.2: 2.1 PCI-DSS v3.2.1: 10.1、10.2 NIST 800-53: AC-2、AU-2 ISO-27001: A.12.4.1、A.16.1.7 |
Bucket logging disabled
API のカテゴリ名: |
検出結果の説明: ロギングが有効になっていないストレージ バケットがあります。 料金ティア: プレミアム
サポートされているアセット |
バケットの
|
CIS GCP Foundation 1.0: 5.3 |
Locked retention policy not set
API のカテゴリ名: |
検出結果の説明: ロックされた保持ポリシーがログに設定されていません。 料金ティア: プレミアム
サポートされているアセット |
バケットの
|
CIS GCP Foundation 1.1: 2.3 CIS GCP Foundation 1.2: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2、A.18.1.3 |
Log not exported
API のカテゴリ名: |
検出結果の説明: 適切なログシンクが構成されていないリソースがあります。 料金ティア: プレミアム
サポートされているアセット
|
プロジェクトの
|
CIS GCP Foundation 1.0: 2.2 CIS GCP Foundation 1.1: 2.2 CIS GCP Foundation 1.2: 2.2 ISO-27001: A.18.1.3 |
Object versioning disabled
API のカテゴリ名: |
検出結果の説明: シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていません。 料金ティア: プレミアム
サポートされているアセット |
バケットの
|
CIS GCP Foundation 1.0: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2、A.18.1.3 |
モニタリングの脆弱性の検出
この検出機能タイプの脆弱性はすべてモニタリング構成に関連し、MONITORING_SCANNER
タイプに属します。すべてのモニタリング検出機能の検出結果プロパティには、以下のものが含まれます。
-
ログ指標の作成に使用する
RecommendedLogFilter
。 -
推奨されるログフィルタに記述されている条件に対応する
QualifiedLogMetricNames
。 -
プロジェクトで適格なログ指標のいずれかに対してアラート ポリシーが作成されていないかどうか、または既存のアラート ポリシーに推奨設定が存在しないかどうかを表す
AlertPolicyFailureReasons
。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Audit config not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。 料金ティア: プレミアム
サポートされているアセット |
プロジェクトの LogsMetric リソースの filter プロパティが protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* に設定されているかを確認します。resource.type が指定されている場合は値が global かどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5 |
Bucket IAM not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。 料金ティア: プレミアム
サポートされているアセット |
プロジェクトの LogsMetric リソースの filter プロパティが resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10 |
Custom role not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていません。 料金ティア: プレミアム
サポートされているアセット |
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6 |
Firewall not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、Virtual Private Cloud(VPC)ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていません。 料金ティア: プレミアム
サポートされているアセット |
プロジェクトの LogsMetric リソースの filter プロパティが
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7 |
Network not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていません。 料金ティア: プレミアム
サポートされているアセット |
プロジェクトの LogsMetric リソースの filter プロパティが
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9 |
Owner not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、プロジェクト所有権の割り当てまたは変更をモニタリングするように構成されていません。 料金ティア: プレミアム
サポートされているアセット |
プロジェクトの LogsMetric リソースの filter プロパティが (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4 |
Route not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていません。 料金ティア: プレミアム
サポートされているアセット |
プロジェクトの LogsMetric リソースの filter プロパティが
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 |
SQL instance not monitored
|
検出結果の説明: ログ指標とアラートが、Cloud SQL インスタンスの構成変更をモニタリングするように構成されていません。 料金ティア: プレミアム
サポートされているアセット |
プロジェクトの LogsMetric リソースの filter プロパティが
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
CIS GCP Foundation 1.0: 2.11 CIS GCP Foundation 1.1: 2.11 CIS GCP Foundation 1.2: 2.11 |
多要素認証の検出
MFA_SCANNER
検出機能は、ユーザーの多要素認証に関連する脆弱性を識別します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
MFA not enforced
API のカテゴリ名: |
2 段階認証プロセスを使用していないユーザーが存在します。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
組織の ID 管理ポリシーと、Cloud Identity の管理対象アカウントのユーザー設定を評価します。
|
CIS GCP Foundation 1.0: 1.2 CIS GCP Foundation 1.1: 1.2 CIS GCP Foundation 1.2: 1.2 PCI-DSS v3.2.1: 8.3 NIST 800-53: IA-2 ISO-27001: A.9.4.2 |
ネットワークの脆弱性の検出
この検出機能タイプの脆弱性はすべて組織のネットワーク構成に関連し、NETWORK_SCANNER
タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Default network
API のカテゴリ名: |
検出結果の説明: プロジェクトにデフォルト ネットワークが存在します。 料金ティア: プレミアム
サポートされているアセット |
ネットワーク メタデータの
|
CIS GCP Foundation 1.0: 3.1 CIS GCP Foundation 1.1: 3.1 CIS GCP Foundation 1.2: 3.1 |
DNS logging disabled
API のカテゴリ名: |
検出結果の説明: VPC ネットワーク上の DNS ロギングが有効になっていません。 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.2: 2.12 |
Legacy network
API のカテゴリ名: |
検出結果の説明: プロジェクトにレガシー ネットワークが存在します。 料金ティア: プレミアム
サポートされているアセット |
ネットワーク メタデータで、
|
CIS GCP Foundation 1.0: 3.2 CIS GCP Foundation 1.1: 3.2 CIS GCP Foundation 1.2: 3.2 |
組織のポリシーの脆弱性の検出
この検出機能タイプの脆弱性はすべて組織のポリシーの制約の構成に関連し、ORG_POLICY
タイプに属します。
Pub/Sub の脆弱性の検出
この検出機能タイプの脆弱性はすべて Pub/Sub 構成に関連し、PUBSUB_SCANNER
タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Pubsub CMEK disabled
API のカテゴリ名: |
検出結果の説明: Pub/Sub トピックが顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット |
|
SQL の脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud SQL の構成に関連し、SQL_SCANNER
タイプに属します。
検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
---|---|---|---|
Auto backup disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベースで自動バックアップが有効になっていません。 料金ティア: プレミアム
サポートされているアセット |
Cloud SQL データの
|
CIS GCP Foundation 1.1: 6.7 CIS GCP Foundation 1.2: 6.7 NIST 800-53: CP-9 ISO-27001: A.12.3.1 |
Public SQL instance
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベース インスタンスは、すべての IP アドレスからの接続を受け入れます。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
Cloud SQL インスタンスの
|
CIS GCP Foundation 1.0: 6.2 CIS GCP Foundation 1.1: 6.5 CIS GCP Foundation 1.2: 6.5 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: CA-3, SC-7 ISO-27001: A.8.2.3、A.13.1.3、A.14.1.3 |
SSL not enforced
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベース インスタンスでは、すべての受信接続で SSL を使用する必要はありません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット |
Cloud SQL インスタンスの
|
CIS GCP Foundation 1.0: 6.1 CIS GCP Foundation 1.1: 6.4 CIS GCP Foundation 1.2: 6.4 PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.8.2.3、A.13.2.1、A.14.1.3 |
SQL CMEK disabled
API のカテゴリ名: |
検出結果の説明: SQL データベース インスタンスが、顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
|
SQL contained database authentication
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 6.3.2 CIS GCP Foundation 1.2: 6.3.7 |
SQL cross DB ownership chaining
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 6.3.1 CIS GCP Foundation 1.2: 6.3.2 |
SQL external scripts enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.2: 6.3.1 |
SQL local infile
API のカテゴリ名: |
検出結果の説明: Cloud SQL for MySQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 6.1.2 CIS GCP Foundation 1.2: 6.1.3 |
SQL log checkpoints disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 6.2.1 CIS GCP Foundation 1.2: 6.2.1 |
SQL log connections disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 6.2.2 CIS GCP Foundation 1.2: 6.2.3 |
SQL log disconnections disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 6.2.3 CIS GCP Foundation 1.2: 6.2.4 |
SQL log duration disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.2: 6.2.5 |
SQL log error verbosity
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット |
|
CIS GCP Foundation 1.2: 6.2.2 |
SQL log lock waits disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 6.2.4 CIS GCP Foundation 1.2: 6.2.6 |
SQL log min duration statement enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 6.2.7 CIS GCP Foundation 1.2: 6.2.16 |
SQL log min error statement
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.1: 6.2.5 |
SQL log min error statement severity
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.2: 6.2.14 |
SQL log min messages
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.2: 6.2.13 |
SQL log executor stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.2: 6.2.11 |
SQL log hostname enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット |
|
CIS GCP Foundation 1.2: 6.2.8 |
SQL log parser stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.2: 6.2.9 |
SQL log planner stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
|
CIS GCP Foundation 1.2: 6.2.10 |
SQL log statement
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット |
|
CIS GCP Foundation 1.2: 6.2.7 |
SQL log statement stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット |
|
CIS GCP Foundation 1.2: 6.2.12 |
SQL log temp files
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.1: 6.2.6 CIS GCP Foundation 1.2: 6.2.15 |
SQL no root password
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベースに、ルート アカウントのパスワードが構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム サポートされているアセット |
ルート アカウントの
|
CIS GCP Foundation 1.0: 6.3 CIS GCP Foundation 1.1: 6.1.1 CIS GCP Foundation 1.2: 6.1.1 PCI-DSS v3.2.1: 2.1 NIST 800-53: AC-3 ISO-27001: A.8.2.3、A.9.4.2 |
SQL public IP
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベースにパブリック IP アドレスが割り振られています。 料金ティア: プレミアム サポートされているアセット |
Cloud SQL データベースの IP アドレスタイプがパブリックであることを示す
|
CIS GCP Foundation 1.1: 6.6 CIS GCP Foundation 1.2: 6.6 |
SQL remote access enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.2: 6.3.5 |
SQL skip show database disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for MySQL インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.2: 6.1.2 |
SQL trace flag 3625
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.2: 6.3.6 |
SQL user connections configured
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット |
インスタンス メタデータの
|
CIS GCP Foundation 1.2: 6.3.3 |
SQL user options configured
API のカテゴリ名: |
|