脆弱性と脅威のセキュリティ ソース

>

Security Command Center で利用可能な Google Cloud のセキュリティ ソースのリスト。セキュリティ ソースを有効にすると、Security Command Center のダッシュボードに脆弱性と脅威のデータが表示されます。

Security Command Center では、特定の検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法で脆弱性や脅威の検出結果をフィルタして表示できます。各セキュリティ ソースによって、組織の検出結果の整理に役立つフィルタが追加されることがあります。

詳しくは、Security Command Center のダッシュボードの使用をご覧ください。

脆弱性

脆弱性検出器は、潜在的な脆弱性を見つけるのに役立ちます。

Security Health Analytics の脆弱性タイプ

Google Cloud の Security Health Analytics のマネージド脆弱性評価スキャンでは、次のような場合に一般的な脆弱性と構成ミスを自動的に検出できます。

• Cloud Monitoring と Cloud Logging
• Compute Engine
• Google Kubernetes Engine コンテナとネットワーク
• クラウド ストレージ
• Cloud SQL
• Identity and Access Management（IAM）
• Cloud Key Management Service（Cloud KMS）
• Cloud DNS

Security Health Analytics は、Security Command Center のスタンダード ティアまたはプレミアム ティアを選択すると自動的に有効になります。Security Health Analytics を有効にすると、スキャンは 1 日 2 回、12 時間おきに自動的に実行されます。

Security Health Analytics では、多くの脆弱性タイプをスキャンします。検出結果を検出項目の種類別にグループ化できます。Security Health Analytics の検出項目名を使用して、検出の対象となるリソースタイプで検出結果をフィルタします。

Security Health Analytics の検出項目と検出結果の完全なリストを表示するには、Security Health Analytics の検出ページを確認するか、次のセクションを展開してください。

Security Health Analytics の検出項目

次の表に、Security Health Analytics で生成できる検出項目タイプと特定の脆弱性検出タイプを示します。Google Cloud Console の [Security Command Center Vulnerabilities] タブを使用して、検出項目名と検出タイプで検出結果をフィルタできます。利用可能な検出カテゴリは次のとおりです。

• 2 段階認証プロセスの脆弱性の検出
• API キーの脆弱性の検出
• Compute イメージの脆弱性の検出
• Compute インスタンスの脆弱性の検出
• コンテナの脆弱性の検出
• データセットの脆弱性の検出
• DNS の脆弱性の検出
• ファイアウォールの脆弱性の検出
• IAM の脆弱性の検出
• KMS の脆弱性の検出
• Logging の脆弱性の検出
• Monitoring の脆弱性の検出
• ネットワークの脆弱性の検出
• ORG ポリシーの脆弱性の検出
• SQL の脆弱性の検出
• ストレージの脆弱性の検出
• サブネットワークの脆弱性の検出

以下の表は、サポートされている検出器間のマッピングと、関連するコンプライアンス制度へのベスト エフォートのマッピングを示しています。

CIS Google Cloud Foundation 1.0 のマッピングは、CIS Google Cloud Computing Foundations Benchmark v1.0.0 への整合のために、Center for Internet Security によって審査され、認定されています。その他のコンプライアンスのマッピングは参照用として含まれ、Payment Card Industry Data Security Standard または OWASP Foundation による提供や審査は行われません。これらの違反の手動での確認方法については、CIS Google Cloud Computing Foundations Benchmark v1.0.0（CIS Google Cloud Foundation 1.0）、Payment Card Industry Data Security Standard 3.2.1（PCI-DSS v3.2.1）、OWASP Top 10、National Institute of Standards and Technology 800-53（NIST 800-53）、International Organization for Standardization 27001（ISO 27001）をご覧ください。

この機能は、コンプライアンス制御違反をモニタリングするためのだけのものです。このマッピングは、規制、業界ベンチマーク、基準に準拠した製品またはサービスの、監査、認定、コンプライアンスの報告に基づいて、または代わりとして使用するために提供されるものではありません。

2 段階認証プロセスの検出

2SV_SCANNER 検出項目は、ユーザーの 2 段階認証プロセスに関連する脆弱性を識別します。

表 1.2 段階認証プロセスのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
2SV_NOT_ENFORCED	2 段階認証プロセスを使用していないユーザーがいる。	プレミアム階層またはスタンダード階層	1.2	8.3		IA-2	A.9.4.2

API キーの脆弱性の検出

API_KEY_SCANNER 検出項目は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。

表 2.API キーのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
API_KEY_APIS_UNRESTRICTED	API キーが広すぎる範囲で使用されている。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。	高品質な	1.12
API_KEY_APPS_UNRESTRICTED	API キーが無制限に使用され、信頼できないアプリによる使用も許可されている。	高品質な	1.11
API_KEY_EXISTS	プロジェクトが標準認証ではなく API キーを使用している。	高品質な	1.10
API_KEY_NOT_ROTATED	API キーが 90 日以上ローテーションされていない。	高品質な	1.13

Compute イメージの脆弱性の検出

COMPUTE_IMAGE_SCANNER 検出項目は、Google Cloud イメージ構成に関連する脆弱性を特定します。

表 3.Compute イメージのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
PUBLIC_COMPUTE_IMAGE	Compute Engine イメージが一般公開されている。	プレミアム階層またはスタンダード階層

Compute インスタンスの脆弱性の検出

COMPUTE_INSTANCE_SCANNER 検出項目は、Compute Engine インスタンスの構成に関連する脆弱性を識別します。

なお、COMPUTE_INSTANCE_SCANNER 検出項目は、GKE によって作成された Compute Engine インスタンス上の検出結果を報告しません。このようなインスタンスは「gke-」で始まる名前で、ユーザーは直接編集できません。このようなインスタンスを保護するには、コンテナの脆弱性の検出セクションをご覧ください。

表 4.Compute インスタンスのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED	プロジェクト全体の SSH 認証鍵が使用され、プロジェクト内のすべてのインスタンスにログインできる。	高品質な	4.2
COMPUTE_SECURE_BOOT_DISABLED	この Shielded VM では、セキュアブートが有効になっていない。セキュアブートを使用すると、ルートキットやブートキットなどの高度な脅威に対する仮想マシンのインスタンス保護に有効です。	高品質な
COMPUTE_SERIAL_PORTS_ENABLED	インスタンスのシリアルポートが有効になっているため、インスタンスのシリアル コンソールへ接続できる。	高品質な	4.4
DISK_CSEK_DISABLED	この VM のディスクは顧客指定の暗号鍵（CSEK）で暗号化されていない。この検出項目を有効にするには、追加の構成が必要です。この検出項目を有効にするには、モニタリングするアセットに、true の値を指定したセキュリティ マーク enforce_customer_supplied_disk_encryption_keys を適用します。	高品質な	4.6
FULL_API_ACCESS	インスタンスが、すべての Google Cloud API に対する完全アクセス権を持つデフォルトのサービス アカウントを使用して構成されている。	高品質な	4.1	7.1.2		AC-6	A.9.2.3
HTTP_LOAD_BALANCER	インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。	高品質な		2.3
IP_FORWARDING_ENABLED	インスタンスで IP 転送が有効になっている。	高品質な	4.5
OS_LOGIN_DISABLED	このインスタンスでは OS Login が無効になっている。	高品質な	4.3
PUBLIC_IP_ADDRESS	インスタンスにパブリック IP アドレスがある。	プレミアム階層またはスタンダード階層		1.2.1 1.3.5		CA-3 SC-7
WEAK_SSL_POLICY	インスタンスに弱い SSL ポリシーがある。	高品質な		4.1		SC-7	A.14.1.3

コンテナの脆弱性の検出

これらの検出タイプはすべて GKE コンテナ構成に関連し、CONTAINER_SCANNER 検出項目タイプに属します。

表 5.コンテナのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
AUTO_REPAIR_DISABLED	GKE クラスタの自動修復機能（ノードの実行状態を正常に保つ機能）が無効になっている。	高品質な	7.7	2.2
AUTO_UPGRADE_DISABLED	GKE クラスタの自動アップグレード機能（Kubernetes の最新の安定したバージョンでクラスタとノードプールを保持する機能）が無効になっている。	高品質な	7.8	2.2
CLUSTER_LOGGING_DISABLED	GKE クラスタのロギングが有効になっていない。	高品質な	7.1	10.2.2 10.2.7
CLUSTER_MONITORING_DISABLED	GKE クラスタで Cloud Monitoring が無効になっている。	高品質な	7.2	10.1 10.2
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED	クラスタホストが、Google API にアクセスするためのプライベート内部 IP アドレスのみを使用するように構成されていない。	高品質な	7.1	1.3
COS_NOT_USED	Compute Engine VM が、Google Cloud で Docker コンテナを安全に動作させるように設計された、コンテナ用に最適化された OS を使用していない。	高品質な	7.9	2.2
IP_ALIAS_DISABLED	GKE クラスタが無効なエイリアス IP 範囲で作成された。	高品質な	7.1	1.3.4 1.3.7
LEGACY_AUTHORIZATION_ENABLED	GKE クラスタで、以前の承認が有効になっている。	高品質な	7.3	4.1
LEGACY_METADATA_ENABLED	GKE クラスタで、以前のメタデータが有効になっている。	高品質な
MASTER_AUTHORIZED_NETWORKS_DISABLED	GKE クラスタでマスター承認済みネットワークが有効になっていない。	高品質な	7.4	1.2.1 1.3.2
NETWORK_POLICY_DISABLED	GKE クラスタでネットワーク ポリシーが無効になっている。	高品質な	7.1	1.3		SC-7	A.13.1.1
OVER_PRIVILEGED_ACCOUNT	サービス アカウントが、クラスタ内で過度に広い範囲のプロジェクトのアクセス権を持っている。	高品質な	7.1	2.1 7.1.2		AC-6 SC-7	A.9.2.3
OVER_PRIVILEGED_SCOPES	ノードのサービス アカウントに、範囲の広いアクセス スコープがある。	高品質な	7.1
POD_SECURITY_POLICY_DISABLED	その PodSecurityPolicy が GKE クラスタで無効になっている。	高品質な	7.1
PRIVATE_CLUSTER_DISABLED	GKE クラスタに、無効な限定公開クラスタがある。	高品質な	7.1	1.3.2
WEB_UI_ENABLED	GKE ウェブ UI（ダッシュボード）が有効になっている。	プレミアム階層またはスタンダード階層	7.6	6.6
WORKLOAD_IDENTITY_DISABLED	Workload Identity が GKE クラスタで無効になっている。	高品質な

データセットの脆弱性の検出

この検出項目タイプの脆弱性はすべて BigQuery データセットの構成に関連し、DATASET_SCANNER 検出項目タイプに属します。

表 6.データセットのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
PUBLIC_DATASET	データセットが、一般公開のアクセスを受け入れるように構成されている。	高品質な		7.1		AC-2	A.8.2.3 A.14.1.3

DNS の脆弱性の検出

この検出項目タイプの脆弱性はすべて Cloud DNS 構成に関連し、DNS_SCANNER 検出項目タイプに属します。

表 7.DNS のスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
DNSSEC_DISABLED	Cloud DNS ゾーンで DNSSEC が無効になっている。	高品質な	3.3				A.8.2.3
RSASHA1_FOR_SIGNING	RSASHA1 が Cloud DNS ゾーンにログインする鍵に使用されている。	高品質な	3.4 3.5

ファイアウォールの脆弱性の検出

この検出項目タイプの脆弱性はすべて、ファイアウォール構成に関連し、FIREWALL_SCANNER 検出項目タイプに属します。

表 8.ファイアウォールのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
EGRESS_DENY_RULE_NOT_SET	下り（外向き）拒否ルールがファイアウォールに設定されていない。不要な送信トラフィックをブロックするには、下り（外向き）拒否ルールを設定する必要があります。	高品質な		7.2
FIREWALL_RULE_LOGGING_DISABLED	ファイアウォール ルールのロギングが無効になっている。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります。	高品質な		10.1 10.2		SI-4	A.13.1.1
OPEN_CASSANDRA_PORT	ファイアウォールが、一般的なアクセスを許可するオープン CASSANDRA ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_CISCOSECURE_WEBSM_PORT	ファイアウォールが、一般的なアクセスを許可する CISCOSECURE_WEBSM ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_DIRECTORY_SERVICES_PORT	ファイアウォールが、一般的なアクセスを許可する DIRECTORY_SERVICES ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_DNS_PORT	ファイアウォールが、一般的なアクセスを許可するオープン DNS ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_ELASTICSEARCH_PORT	ファイアウォールが、一般的なアクセスを許可するオープン ELASTICSEARCH ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_FIREWALL	ファイアウォールが、一般公開のアクセスを受け入れるように構成されている。	プレミアム階層またはスタンダード階層		1.2.1
OPEN_FTP_PORT	ファイアウォールが、一般的なアクセスを許可するオープン FTP ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_HTTP_PORT	ファイアウォールが、一般的なアクセスを許可するオープン HTTP ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_LDAP_PORT	ファイアウォールが、一般的なアクセスを許可するオープン LDAP ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_MEMCACHED_PORT	ファイアウォールが、一般的なアクセスを許可するオープン MEMCACHED ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_MONGODB_PORT	ファイアウォールが、一般的なアクセスを許可するオープン MONGODB ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_MYSQL_PORT	ファイアウォールが、一般的なアクセスを許可するオープン MYSQL ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_NETBIOS_PORT	ファイアウォールが、一般的なアクセスを許可するオープン NETBIOS ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_ORACLEDB_PORT	ファイアウォールが、一般的なアクセスを許可するオープン ORACLEDB ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_POP3_PORT	ファイアウォールが、一般的なアクセスを許可するオープン POP3 ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_POSTGRESQL_PORT	ファイアウォールが、一般的なアクセスを許可するオープン POSTGRESQL ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_RDP_PORT	ファイアウォールが、一般的なアクセスを許可するオープン RDP ポートを持つように構成されている。	プレミアム階層またはスタンダード階層	3.7	1.2.1		SC-7	A.13.1.1
OPEN_REDIS_PORT	ファイアウォールが、一般的なアクセスを許可するオープン REDIS ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_SMTP_PORT	ファイアウォールが、一般的なアクセスを許可するオープン SMTP ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1
OPEN_SSH_PORT	ファイアウォールが、一般的なアクセスを許可するオープン SSH ポートを持つように構成されている。	プレミアム階層またはスタンダード階層	3.6	1.2.1		SC-7	A.13.1.1
OPEN_TELNET_PORT	ファイアウォールが、一般的なアクセスを許可するオープン TELNET ポートを持つように構成されている。	高品質な		1.2.1		SC-7	A.13.1.1

IAM の脆弱性の検出

この検出項目タイプの脆弱性は、すべて Identity and Access Management（IAM）の構成に関連し、IAM_SCANNER 検出項目タイプに属します。

表 9.IAM のスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
ADMIN_SERVICE_ACCOUNT	管理者ロールで構成されたサービス アカウントがある。	高品質な	1.4
KMS_ROLE_SEPARATION	職掌分散が適用されず、Cloud Key Management Service（Cloud KMS）暗号鍵の暗号化 / 復号のロール、暗号化のロール、復号のロールのいずれかを同時に持つユーザーが存在する。	高品質な	1.9			AC-5	A.9.2.3 A.10.1.2
NON_ORG_IAM_MEMBER	組織の認証情報を使用していないユーザーがいる。CIS GCP Foundations 1.0 では、現在、この検出項目は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。	プレミアム階層またはスタンダード階層	1.1	7.1.2		AC-3	A.9.2.3
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER	ユーザーが、特定のサービス アカウントではなく、プロジェクト レベルでのサービス アカウント ユーザーのロールを持っている。	高品質な	1.5	7.1.2		AC-6	A.9.2.3
PRIMITIVE_ROLES_USED	ユーザーが基本ロール（オーナー、書き込み、読み取り）を持っている。これらのロールは制限が緩すぎるため、使用しないでください。	高品質な		7.1.2		AC-6	A.9.2.3
REDIS_ROLE_USED_ON_ORG	Redis IAM ロールが組織レベルまたはフォルダレベルで割り当てられている。	高品質な		7.1.2			A.9.2.3
SERVICE_ACCOUNT_ROLE_SEPARATION	ユーザーにサービス アカウント管理者とサービス アカウント ユーザーロールが割り当てられている。これは「職掌分散」の原則に違反しています。	高品質な	1.7			AC-5	A.9.2.3
SERVICE_ACCOUNT_KEY_NOT_ROTATED	サービス アカウント キーが 90 日以上ローテーションされていない。	高品質な	1.6
USER_MANAGED_SERVICE_ACCOUNT_KEY	サービス アカウント キーがユーザーによって管理されている。	高品質な	1.3

KMS の脆弱性の検出

この検出項目タイプの脆弱性はすべて Cloud KMS の構成に関連し、KMS_SCANNER 検出項目タイプに属します。

表 10.KMS のスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
KMS_KEY_NOT_ROTATED	ローテーションが Cloud KMS 暗号鍵に構成されていない。 鍵は 90 日以内にローテーションする必要があります。	高品質な	1.8	3.5		SC-12	A.10.1.2
KMS_PROJECT_HAS_OWNER	暗号鍵が含まれるプロジェクトに対する「オーナー」権限をユーザーが持っている。	高品質な		3.5		AC-6 SC-12	A.9.2.3 A.10.1.2
TOO_MANY_KMS_USERS	暗号鍵のユーザーが 3 人を超えている。	高品質な		3.5.2			A.9.2.3

Logging の脆弱性の検出

この検出項目タイプの脆弱性は、すべてロギング構成に関連し、LOGGING_SCANNER 検出項目タイプに属します。

表 11.Logging のスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
AUDIT_LOGGING_DISABLED	このリソースの監査ロギングが無効になっている。	高品質な	2.1	10.1 10.2		AC-2 AU-2	A.12.4.1 A.16.1.7
BUCKET_LOGGING_DISABLED	ロギングが有効になっていないストレージ バケットがある。	高品質な	5.3
LOG_NOT_EXPORTED	適切なログシンクが構成されていないリソースがある。	高品質な	2.2				A.18.1.3
LOCKED_RETENTION_POLICY_NOT_SET	ログにロックされた保持ポリシーが設定されていない。	高品質な		10.5		AU-11	A.12.4.2 A.18.1.3
OBJECT_VERSIONING_DISABLED	シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていない。	高品質な	2.3	10.5		AU-11	A.12.4.2 A.18.1.3

モニタリングの脆弱性の検出

この検出項目タイプの脆弱性は、すべてモニタリング構成に関連し、MONITORING_SCANNER タイプに属します。Monitoring の検出結果のプロパティはすべて、以下を含みます。

• ログ指標の作成に使用する RecommendedLogFilter。
• 推奨されるログフィルタに記載されている条件に対応する QualifiedLogMetricNames。
• プロジェクトに、該当するすべてのログ指標に対して作成されたアラート ポリシーがない、または既存のアラート ポリシーに推奨される設定がない場合を示す AlertPolicyFailureReasons。

表 12.Monitoring のスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
AUDIT_CONFIG_NOT_MONITORED	ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていない。	高品質な	2.5
BUCKET_IAM_NOT_MONITORED	ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていない。	高品質な	2.10
CUSTOM_ROLE_NOT_MONITORED	ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていない。	高品質な	2.6
FIREWALL_NOT_MONITORED	ログ指標とアラートが、VPC ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていない。	高品質な	2.7
NETWORK_NOT_MONITORED	ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていない。	高品質な	2.9
OWNER_NOT_MONITORED	ログ指標とアラートが、プロジェクト所有権の割り当て、または変更をモニタリングするように構成されていない。	高品質な	2.4
ROUTE_NOT_MONITORED	ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていない。	高品質な	2.8
SQL_INSTANCE_NOT_MONITORED	ログ指標とアラートが、Cloud SQL インスタンスの構成の変更をモニタリングするように構成されていない。	高品質な	2.11

ネットワークの脆弱性の検出

この検出項目タイプの脆弱性は、すべて組織のネットワーク構成に関連し、NETWORK_SCANNER タイプに属します。

表 13.ネットワークのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
DEFAULT_NETWORK	デフォルト ネットワークがプロジェクト内に存在する。	高品質な	3.1
LEGACY_NETWORK	以前のネットワークがプロジェクト内に存在する。	高品質な	3.2

ORG ポリシーの脆弱性の検出

この検出項目タイプの脆弱性は、すべて組織のポリシーの構成に関連しており、ORG_POLICY タイプに属します。

表 14.組織ポリシーのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
ORG_POLICY_CONFIDENTIAL_VM_POLICY	Compute Engine リソースが constraints/compute.restrictNonConfidentialComputing 組織ポリシーに準拠していない。この組織のポリシーの制約の詳細については、Confidential VMs ドキュメントの組織のポリシーの制約の適用をご覧ください。	高品質な

SQL の脆弱性の検出

この検出項目タイプの脆弱性は、すべて Cloud SQL の構成に関連し、SQL_SCANNER タイプに属します。

表 15.SQL のスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
AUTO_BACKUP_DISABLED	Cloud SQL データベースに、有効な自動バックアップがない。	高品質な				CP-9	A.12.3.1
PUBLIC_SQL_INSTANCE	Cloud SQL データベース インスタンスが、すべての IP アドレスからの接続を受け入れている。	プレミアム階層またはスタンダード階層	6.2	1.2.1		CA-3 SC-7	A.8.2.3 A.13.1.3 A.14.1.3
SSL_NOT_ENFORCED	Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていない。	プレミアム階層またはスタンダード階層	6.1	4.1		SC-7	A.8.2.3 A.13.2.1 A.14.1.3
SQL_NO_ROOT_PASSWORD	Cloud SQL データベースに、root アカウント用に構成されたパスワードがない。	高品質な	6.3	2.1		AC-3	A.8.2.3 A.9.4.2
SQL_PUBLIC_IP	Cloud SQL データベースに、パブリック IP アドレスがある。	高品質な
SQL_WEAK_ROOT_PASSWORD	Cloud SQL データベースに、root アカウント用に構成された弱いパスワードがある。	高品質な

ストレージの脆弱性の検出

この検出項目タイプの脆弱性は、すべて Cloud Storage バケットの構成に関連し、STORAGE_SCANNER タイプに属します。

表 16.ストレージのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
BUCKET_POLICY_ONLY_DISABLED	Uniform bucket-level access（以前の Bucket Policy Only）が構成されていない。	高品質な
PUBLIC_BUCKET_ACL	Cloud Storage バケットが一般公開になっている。	プレミアム階層またはスタンダード階層	5.1	7.1		AC-2	A.8.2.3 A.14.1.3
PUBLIC_LOG_BUCKET	ログシンクとして使用されるストレージ バケットへの一般アクセスを可能にしないでください。	プレミアム階層またはスタンダード階層		10.5		AU-9	A.8.2.3 A.12.4.2 A.18.1.3

サブネットワークの脆弱性の検出

この検出項目タイプの脆弱性はすべて、組織のサブネットワークの構成に関連し、SUBNETWORK_SCANNER タイプに属します。

表 17.サブネットワークのスキャナ

カテゴリ	検出の説明	料金階層	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
FLOW_LOGS_DISABLED	無効なフローログを持つ VPC サブネットワークがある。	高品質な	3.9	10.1 10.2		SI-4	A.13.1.1
PRIVATE_GOOGLE_ACCESS_DISABLED	Google の公開 API にアクセスできないプライベート サブネットがある。	高品質な	3.8

Web Security Scanner

Web Security Scanner は、一般公開された App Engine、GKE、Compute Engine のサービス対象ウェブ アプリケーションのマネージドおよびカスタムウェブ脆弱性スキャンを提供します。

マネージド スキャン

Web Security Scanner のマネージド スキャンは Security Command Center によって構成され、管理されます。マネージド スキャンは、週に 1 回自動的に実行され、一般公開のウェブ エンドポイントを検出してスキャンします。このスキャンは認証を使用せず、公開ウェブサイトにはフォームを送信しないので、GET のみのリクエストを送信します。

マネージド スキャンは、プロジェクト レベルで定義したカスタム スキャンとは別に実行されます。マネージド スキャンを使用すると、個々のプロジェクト チームを関与させることなく、組織内のプロジェクトのために、ウェブ アプリケーションの基本的な脆弱性の検出を一元管理できます。検出が見つかったら、それらのチームと協力してより包括的なカスタム スキャンを設定できます。

Web Security Scanner をサービスとして有効にする場合、マネージド スキャンの検出結果は、Security Command Center の [脆弱性] タブと関連レポートで自動的に利用可能になります。Web Security Scanner のマネージド スキャンを有効にする方法については、Security Command Center の構成をご覧ください。

カスタム スキャン

Web Security Scanner のカスタム スキャンは、古いライブラリ、クロスサイト スクリプティング、混合コンテンツの使用など、アプリケーションの脆弱性の検出に関する詳細な情報を提供します。Web Security Scanner のカスタム スキャンを設定するためのガイドを完了すると、Security Command Center でカスタム スキャンの検出が可能になります。

以下の表は、サポートされている検出器間のマッピングと、関連するコンプライアンス制度へのベスト エフォートのマッピングを示しています。

CIS Google Cloud Foundation 1.0 のマッピングは、CIS Google Cloud Computing Foundations Benchmark v1.0.0 への整合のために、Center for Internet Security によって審査され、認定されています。その他のコンプライアンスのマッピングは参照用として含まれ、Payment Card Industry Data Security Standard または OWASP Foundation による提供や審査は行われません。これらの違反の手動での確認方法については、CIS Google Cloud Computing Foundations Benchmark v1.0.0（CIS Google Cloud Foundation 1.0）、Payment Card Industry Data Security Standard 3.2.1（PCI-DSS v3.2.1）、OWASP Top 10、National Institute of Standards and Technology 800-53（NIST 800-53）、International Organization for Standardization 27001（ISO 27001）をご覧ください。

この機能は、コンプライアンス制御違反をモニタリングするためのだけのものです。このマッピングは、規制、業界ベンチマーク、基準に準拠した製品またはサービスの、監査、認定、コンプライアンスの報告に基づいて、または代わりとして使用するために提供されるものではありません。

Web Security Scanner のカスタム スキャンとマネージド スキャンによって特定される検出の種類は次のとおりです。スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。

表 18.Web Security Scanner の検出

カテゴリ	検出の説明	CIS GCP Foundation 1.0	PCI-DSS v3.2.1	OWASP Top 10	NIST 800-53	ISO-27001
ACCESSIBLE_GIT_REPOSITORY	GIT リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。			A3
ACCESSIBLE_SVN_REPOSITORY	SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。			A3
CLEAR_TEXT_PASSWORD	パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。			A3
INVALID_CONTENT_TYPE	レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれました。この問題を解決するには、「X-Content-Type-Options」HTTP ヘッダーに正しい値を設定します。			A6
INVALID_HEADER	セキュリティ ヘッダーに構文エラーがあるため、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。			A6
MISMATCHING_SECURITY_HEADER_VALUES	セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。			A6
MISSPELLED_SECURITY_HEADER_NAME	セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。			A6
MIXED_CONTENT	リソースが、HTTPS ページ上で HTTP を介して提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。			A6
OUTDATED_LIBRARY	既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。			A9
XSS	このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング（XSS）攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。			A7
XSS_ANGULAR_CALLBACK	ユーザー指定の文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、Angular フレームワークによって処理される、信頼されていないユーザー提供のデータを検証してエスケープします。			A7
XSS_ERROR	このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザー提供のデータを検証してエスケープします。			A7

脅威

脅威検出機能は、有害な可能性があるイベントを見つけるのに役立ちます。

異常検出

異常検出は、システムの外部からの動作シグナルを使用する組み込みサービスです。漏えいした可能性のある認証情報やコイン マイニングなど、プロジェクトと仮想マシン（VM）インスタンスで検出されたセキュリティ異常に関する詳細な情報が表示されます。Security Command Center のスタンダード ティアまたはプレミアム ティアに登録すると、異常検出が自動的に有効になります。検出結果は、Security Command Center のダッシュボードで確認できます。

異常検出結果の例には、次のようなものがあります。

表 B.異常検出結果のカテゴリ

不正使用の可能性	説明
account_has_leaked_credentials	Google Cloud サービス アカウントの認証情報がオンラインで誤って漏洩したか、不正使用されています。
resource_compromised_alert	組織内のリソースが不正使用される可能性があります。
不正使用のシナリオ	説明
resource_involved_in_coin_mining	組織内の VM に関する動作シグナルは、リソースが不正使用され、クリプトマイニングに使用される可能性があることを示します。
outgoing_intrusion_attempt	侵入の試みとポートスキャン: 組織のリソースまたは Google Cloud サービスの 1 つが、ターゲット システムの侵害や不正使用への試みなどの侵入行為に使用されています。これには、SSH ブルート フォース攻撃、ポートスキャン、FTP ブルート フォース攻撃があります。
resource_used_for_phishing	組織内のリソースまたは Google Cloud サービスの 1 つがフィッシングに使用されています。

Container Threat Detection

Container Threat Detection は一般的なコンテナ ランタイム攻撃を検出し、Security Command Center で、必要に応じて Cloud Logging でアラートを受け取ることができます。Container Threat Detection には、複数の検出機能、分析ツール、API が含まれています。

Container Threat Detection の検出インストゥルメンテーションは、ゲストカーネルで低レベルの動作を収集し、次のイベントを検出します。

• 追加されたバイナリの実行
• 追加されたライブラリの読み込み
• リバースシェル

詳しくは Container Threat Detection をご覧ください。

Cloud Data Loss Prevention

Cloud DLP データ検出を使用すると、Cloud Data Loss Prevention（Cloud DLP）のスキャン結果を Security Command Center のダッシュボードと知見のインベントリに直接表示できます。Cloud DLP を使用すると、次のような機密データと個人情報（PII）を詳細に把握し、管理するのに役立ちます。

• クレジット カード番号
• 名前
• 社会保障番号
• 米国および一部の国際識別番号
• 電話番号
• Google Cloud 資格証明

各 Cloud DLP データ検出の結果に含まれているのは、識別された PII データのカテゴリ タイプとそのデータが見つかったリソースのみです。特定の基礎となるデータは含まれません。

DLP API の結果を Security Command Center に送信するのガイドで説明される設定手順を完了すると、Cloud DLP のスキャン結果が Security Command Center に表示されます。

より詳しく:

• Cloud DLP の publishSummaryToCscc アクションを学習する。
• Cloud DLP を使用してストレージ リポジトリの機密データをスキャンする方法を学習する。

Event Threat Detection

Event Threat Detection は、システム内部のログデータを使用します。1 つ以上のプロジェクトについて組織の Cloud Logging ストリームをモニタリングし、利用可能になったときにログを使用します。脅威が検出されると、Event Threat Detection は検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。Event Threat Detection は、Security Command Center のプレミアム ティアに登録すると自動的に有効になり、検出結果を Security Command Center のダッシュボードで確認できます。

Event Threat Detection の検出結果の例は次のとおりです。

表 C.Event Threat Detection の検出タイプ

データの引き出し	Event Threat Detection は、監査ログを 2 つのシナリオで調べることで、BigQuery からのデータ漏洩を検出します。 リソースが組織外に保存されているか、VPC Service Controls によってブロックされているコピー オペレーションが試行されています。 VPC Service Controls によって保護されている BigQuery リソースへのアクセスが試行されています。
ブルート フォース SSH	Event Threat Detection では、ログインの繰り返しエラー後に成功した syslog ログを調べることで、パスワード認証 SSH のブルート フォースを検出します。
クリプトマイニング	Event Threat Detection は、マイニング プールの既知の不良ドメインへの接続に関する VPC フローログと Cloud DNS ログを調べることで、コイン マイニング マルウェアを検出します。
IAM の不正使用	IAM 異常付与検出: Event Threat Detection は、次のような異常と思われる追加の IAM 付与を検出します。 gmail.com ユーザーを、プロジェクト編集者のロールを含むポリシーに追加する。 プロジェクト オーナーとして gmail.com ユーザーを Google Cloud Console から招待する。 機密性の高い権限を付与するサービス アカウント。 機密性の高い権限を付与されたカスタムロール。 組織外から追加されたサービス アカウント。
マルウェア	Event Threat Detection は、既知のコマンド、制御ドメイン、IP への接続に関する VPC フローログと Cloud DNS ログを調べることでマルウェアを検出します。
フィッシング	Event Threat Detection は、既知のフィッシング ドメインと IP への接続に関する VPC フローログと Cloud DNS ログを調べることで、フィッシングを検出します。
送信 DoS	Event Threat Detection は VPC フローログを調べて、送信サービス拒否攻撃トラフィックを検出します。

Event Threat Detection の詳細をご覧ください。

Forseti セキュリティ

Forseti セキュリティには、Google Cloud のすべてのリソースを理解するためのツールが用意されています。Forseti のコアモジュールは連動して詳細な情報を提供することで、リソースを保護し、セキュリティ リスクを最小限に抑えることができます。

Forseti 違反通知を Security Command Center で表示するには、Forseti の Security Command Center 通知ガイドをご覧ください。

より詳しく:

• Forseti の概要を確認する。
• Forseti のサポートを利用する

フィッシング対策

Phishing Protection は、ユーザーがフィッシング サイトにアクセスしないよう、ブランドを利用した悪意のあるコンテンツを分類し、安全でない URL を Google セーフ ブラウジングに報告します。フィッシング サイトがセーフ ブラウジングに登録されると、30 億台を超えるデバイスで警告が表示されるようになります。

Phishing Protection の使用を開始するには、Phishing Protection を有効にするのガイドをご覧ください。Phishing Protection を有効にすると、結果が [知見] の下の [フィッシング対策] カードの Security Command Center に表示されます。

次のステップ

• Security Command Center と Security Command Center の概要にある使用例について学習する。
• Security Command Center の構成をして、新しいセキュリティ ソースを追加する方法を学習する。