セキュリティソース

このページでは、Security Command Center で利用可能な Google Cloud のセキュリティソースのリストを示します。セキュリティソースを有効にすると、Security Command Center のダッシュボードに脆弱性と脅威に関するデータが表示されます。

Security Command Center では、特定の検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法で脆弱性と脅威の検出結果をフィルタして表示できます。セキュリティソースによって、組織の検出結果の整理に役立つフィルタが追加されることがあります。

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクトレベルで付与できます。検出結果、アセット、セキュリティソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

脆弱性

脆弱性の検出機能は、Google Cloud リソースに存在する潜在的な弱点の特定に役立ちます。

Rapid Vulnerability Detection

Rapid Vulnerability Detection は、いわゆる「N 日間」の脆弱性を検出するマネージドスキャンを実行します。この既知の脆弱性は、データへの任意のアクセスやリモートコード実行を許します。脆弱な認証情報、不完全なソフトウェアインストール、公開された管理者ユーザーインターフェースなどを含みます。

Rapid Vulnerability Detection が検出する脆弱性の完全な一覧については、Rapid Vulnerability Detection の検出結果と修正をご覧ください。

Security Health Analytics の脆弱性タイプ

Google Cloud の Security Health Analytics マネージド脆弱性評価スキャンでは、次のような一般的な脆弱性と構成ミスを自動的に検出できます。

Cloud Monitoring と Cloud Logging
Compute Engine
Google Kubernetes Engine コンテナとネットワーク
Cloud Storage
Cloud SQL
Identity and Access Management（IAM）
Cloud Key Management Service（Cloud KMS）
Cloud DNS

Security Command Center のスタンダードティアまたはプレミアムティアを選択すると、Security Health Analytics が自動的に有効になります。Security Health Analytics の検出機能は、Cloud Asset Inventory（CAI）のリソースのサブセットをモニタリングし、次の 3 つのスキャンモードを使用して脆弱性を検出します。

バッチスキャン: 登録済みのすべての組織に対して 1 日に 2 回以上、すべての検出機能を実行するようにスケジュールが設定されます。特定のサービスレベル目標（SLO）を満たすため、検出機能は異なるスケジュールで実行されます。12 時間と 24 時間の SLO を満たすため、検出機能はそれぞれ 6 時間または 12 時間おきにバッチスキャンを実行します。バッチスキャンの実行中に発生したリソースまたはポリシーの変更はすぐに取得されず、次のバッチスキャンでチェックされます。注: バッチスキャンのスケジュールは、サービス保証目標ではなく、パフォーマンスの目標です。
リアルタイムスキャン: CAI からアセット構成の変更が報告されるたびに、サポートされている検出機能がスキャンを開始します。検出結果は直ちに Security Command Center に書き込まれます。
混合モード: リアルタイムスキャンをサポートする一部の検出機能では、サポートされているすべてのアセットの変更をリアルタイムで検出できない場合があります。その場合、一部のアセット構成の変更は直ちにキャプチャされ、その他のアセット構成の変更はバッチスキャンでキャプチャされます。

Security Health Analytics の検出機能と検出結果の完全なリストを表示するには、Security Health Analytics の検出ページを確認するか、次のセクションを開いてださい。

Security Health Analytics の検出機能

このセクションでは、検出機能のタイプ、サポートされているアセット、コンプライアンス標準、Security Health Analytics で生成される脆弱性検出結果のタイプについて説明します。Google Cloud Console で Security Command Center の [脆弱性] タブでは、検出機能の名前と検出結果のタイプで検出結果をフィルタリングできます。利用可能な検出結果のカテゴリは次のとおりです。

API キーの脆弱性の検出
Compute イメージの脆弱性の検出
Compute インスタンスの脆弱性の検出
コンテナの脆弱性の検出
Dataproc の脆弱性の検出
データセットの脆弱性の検出
DNS の脆弱性の検出
ファイアウォールの脆弱性の検出
IAM の脆弱性の検出
KMS の脆弱性の検出
ロギングの脆弱性の検出
モニタリングの脆弱性の検出
多要素認証の脆弱性の検出
ネットワークの脆弱性の検出
組織のポリシーの脆弱性の検出
Pub/Sub の脆弱性の検出
SQL の脆弱性の検出
ストレージの脆弱性の検出
サブネットワークの脆弱性の検出

検出機能とコンプライアンス

このセクションでは、サポートされている検出機能のマッピングと、関連するコンプライアンス標準へのベストエフォートのマッピングについて説明します。

CIS ベンチマーク

Security Command Center では、次のバージョンの Google Cloud Platform Foundation の CIS ベンチマークがサポートされています。

CIS Google Cloud Computing Foundations Benchmark v1.2.0（CIS Google Cloud Foundation 1.2）
CIS Google Cloud Computing Foundations Benchmark v1.1.0（CIS Google Cloud Foundation 1.1）
CIS Google Cloud Computing Foundations Benchmark v1.0.0（CIS Google Cloud Foundation 1.0）

CIS Google Cloud Foundation 1.2、1.1、1.0 のマッピングは、CIS Google Cloud Computing Foundations Benchmark v1.2.0、v1.1.0、v1.0.0 との整合のために、Center for Internet Security によって審査され、認定されています。

CIS 1.0 と CIS 1.1 は引き続きサポートされますが、最終的には非推奨となります。最新のベンチマークである CIS 1.2 を使用するか、移行することをおすすめします。

一部の検出機能は、CIS Google Kubernetes Engine（GKE）ベンチマーク v1.0.0（CIS GKE 1.0）にマッピングされています。このベンチマークのサポートは限定されているため、監査や報告書のコンプライアンス基準としては使用しないでください。

その他の標準

その他のコンプライアンスマッピングは参照用として含まれていますが、これらは Payment Card Industry Data Security Standard や OWASP Foundation から提供されたものではなく、審査も行われていません。これらの標準に対する違反を手動で確認する場合は、Payment Card Industry Data Security Standard 3.2.1（PCI-DSS v3.2.1）、OWASP Top Ten、National Institute of Standards and Technology 800-53（NIST 800-53）、International Organization for Standardization 27001（ISO 27001）をご覧ください。

この機能は、コンプライアンス制御違反をモニタリングするためのものです。このマッピングは、規制、業界ベンチマーク、標準に準拠した製品またはサービスの監査、認定、コンプライアンス報告の基礎として使用できるものでも、これらの代用として使用できるものでもありません。

API キーの脆弱性の検出

API_KEY_SCANNER 検出機能は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。

**表 1.** API キーのスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`API key APIs unrestricted` API のカテゴリ名: `API_KEY_APIS_UNRESTRICTED`	検出結果の説明: 過度に広範囲にわたって使用されている API キーが存在します。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクト内のすべての API キーの `restrictions` プロパティを取得し、いずれかのプロパティが `cloudapis.googleapis.com` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14
`API key apps unrestricted` API のカテゴリ名: `API_KEY_APPS_UNRESTRICTED`	検出結果の説明: 無制限に使用できる API キー（信頼できないアプリによる使用が制限されていない API キー）が存在します。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクト内のすべての API キーの `restrictions` プロパティを取得し、`browserKeyRestrictions`、`serverKeyRestrictions`、`androidKeyRestrictions`、または `iosKeyRestrictions` が設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13
`API key exists` API のカテゴリ名: `API_KEY_EXISTS`	検出結果の説明: プロジェクトで標準認証ではなく API キーが使用されています。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトが所有するすべての API キーを取得します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12
`API key not rotated` API のカテゴリ名: `API_KEY_NOT_ROTATED`	検出結果の説明: API キーが 90 日以上ローテーションされていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	すべての API キーの `createTime` プロパティに含まれるタイムスタンプを取得し、90 日間経過しているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15

Compute イメージの脆弱性の検出

COMPUTE_IMAGE_SCANNER 検出機能は、Google Cloud イメージ構成に関連する脆弱性を特定します。

**表 2.** Compute イメージのスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Public Compute image` API のカテゴリ名: `PUBLIC_COMPUTE_IMAGE`	検出結果の説明: Compute Engine イメージは一般公開されています。料金ティア: プレミアムまたはスタンダードサポートされているアセット compute.googleapis.com/Image この問題を修正する	リソースメタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル `allUsers` または `allAuthenticatedUsers` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり

Compute インスタンスの脆弱性の検出

COMPUTE_INSTANCE_SCANNER 検出機能は、Compute Engine インスタンスの構成に関連する脆弱性を識別します。

COMPUTE_INSTANCE_SCANNER 検出機能は、GKE によって作成された Compute Engine インスタンスに関する検出結果を報告しません。このようなインスタンスの名前は「gke-」で始まり、ユーザーは編集できません。このインスタンスを保護するには、「コンテナの脆弱性の検出結果」をご覧ください。

**表 3.** Compute インスタンススキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Confidential Computing disabled` API のカテゴリ名: `CONFIDENTIAL_COMPUTING_DISABLED`	検出結果の説明: Compute Engine インスタンスで Confidential Computing が無効になっています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `confidentialInstanceConfig` プロパティで Key-Value ペア `"enableConfidentialCompute":true` を確認します。スキャンから除外されるアセット: GKE インスタンス、サーバーレス VPC アクセス、N2D 以外のタイプの Compute Engine インスタンス。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 4.11
`Compute project wide SSH keys allowed` API のカテゴリ名: `COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	検出結果の説明: プロジェクト全体を対象とする SSH 認証鍵が使用されており、プロジェクト内のすべてのインスタンスへのログインが許可されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `metadata.items[]` オブジェクトで Key-Value ペア `"key": "block-project-ssh-keys", "value": TRUE` を確認します。スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブ、Windows インスタンス追加の IAM 権限: `roles/compute.Viewer` 追加入力: Compute Engine からメタデータを読み取るバッチスキャン: 12 時間ごとリアルタイムスキャン: なし	CIS GCP Foundation 1.0: 4.2 CIS GCP Foundation 1.1: 4.3 CIS GCP Foundation 1.2: 4.3
`Compute Secure Boot disabled` API のカテゴリ名: `COMPUTE_SECURE_BOOT_DISABLED`	検出結果の説明: この Shielded VM でセキュアブートが有効になっていません。セキュアブートの使用は、ルートキットやブートキットなどの高度な脅威から仮想マシンインスタンスを保護するうえで有効です。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Instance この問題を修正する	Compute Engine インスタンスの `shieldedInstanceConfig` プロパティをチェックして、`enableIntegrityMonitoring`、`enableSecureBoot`、`enableVtpm` がすべて `true` に設定されているかどうかを確認します。このフィールドは、アタッチされたディスクがセキュアブートと互換性があるかどうか、Shielded VM がオンになっているかどうかを示します。スキャン対象外のアセット: GKE インスタンス、GPU アクセラレータを備え Container-Optimized OS を使用しない Compute Engine ディスク、サーバーレス VPC アクセスバッチスキャン: 6 時間ごとリアルタイムスキャン: あり
`Compute serial ports enabled` API のカテゴリ名: `COMPUTE_SERIAL_PORTS_ENABLED`	検出結果の説明: インスタンスでシリアルポートが有効になっているため、インスタンスのシリアルコンソールへの接続が許可されます。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `metadata.items[]` オブジェクトで Key-Value ペア `"key": "serial-port-enable", "value": TRUE` を確認します。スキャン対象外のアセット: GKE インスタンス追加の IAM 権限: `roles/compute.Viewer` 追加入力: Compute Engine からメタデータを読み取るバッチスキャン: 12 時間ごとリアルタイムスキャン: なし	CIS GCP Foundation 1.0: 4.4 CIS GCP Foundation 1.1: 4.5 CIS GCP Foundation 1.2: 4.5
`Default service account used` API のカテゴリ名: `DEFAULT_SERVICE_ACCOUNT_USED`	検出結果の説明: デフォルトのサービスアカウントを使用するようにインスタンスが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `serviceAccounts` プロパティで、Google が作成したデフォルトのサービスアカウントを示す `PROJECT_NUMBER-compute@developer.gserviceaccount.com` という接頭辞付きのサービスアカウントのメールアドレスを確認します。スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 4.1 CIS GCP Foundation 1.2: 4.1
`Disk CMEK disabled` API のカテゴリ名: `DISK_CMEK_DISABLED`	検出結果の説明: この VM のディスクは顧客管理の暗号鍵（CMEK）を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Disk この問題を修正する	ディスクメタデータ内の `diskEncryptionKey` オブジェクトの `kmsKeyName` フィールドで、CMEK のリソース名を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり
`Disk CSEK disabled` API のカテゴリ名: `DISK_CSEK_DISABLED`	検出結果の説明: この VM のディスクは顧客指定の暗号鍵（CSEK）を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、特殊なケースの検出機能をご覧ください。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Disk この問題を修正する	`diskEncryptionKey` オブジェクトの `kmsKeyName` フィールドで、CSEK のリソース名を確認します。スキャン対象外のアセット: enforce_customer_supplied_disk_encryption_keys セキュリティマークが `true` に設定されていない Compute Engine ディスク追加の IAM 権限: `roles/compute.Viewer` 追加入力: Compute Engine からメタデータを読み取るバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 4.6 CIS GCP Foundation 1.1: 4.7 CIS GCP Foundation 1.2: 4.7
`Full API access` API のカテゴリ名: `FULL_API_ACCESS`	検出結果の説明: すべての Google Cloud APIs に対する完全アクセス権を持つデフォルトのサービスアカウントを使用するようにインスタンスが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Instance この問題を修正する	`serviceAccounts` プロパティの `scopes` フィールドを取得し、デフォルトのサービスアカウントが使用されているかどうかと、`cloud-platform` スコープが割り当てられているかどうかを確認します。スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 4.1 CIS GCP Foundation 1.1: 4.2 CIS GCP Foundation 1.2: 4.2 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`HTTP load balancer` API のカテゴリ名: `HTTP_LOAD_BALANCER`	検出結果の説明: インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/TargetHttpProxy この問題を修正する	`targetHttpProxy` リソースの `selfLink` プロパティが転送ルールの `target` 属性と一致しているかどうかと、転送ルールに `External` に設定された `loadBalancingScheme` フィールドが含まれているかどうかを確認します。追加の IAM 権限: `roles/compute.Viewer` 追加入力: Compute Engine からターゲット HTTP プロキシの転送ルールを読み取り、外部ルールをチェックします。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 2.3
`IP forwarding enabled` API のカテゴリ名: `IP_FORWARDING_ENABLED`	検出結果の説明: インスタンスで IP 転送が有効になっています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Instance この問題を修正する	インスタンスの `canIpForward` プロパティが `true` に設定されているかどうかを確認します。スキャン対象外のアセット: GKE インスタンス、サーバーレス VPC アクセスバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 4.5 CIS GCP Foundation 1.1: 4.6 CIS GCP Foundation 1.2: 4.6
`OS login disabled` API のカテゴリ名: `OS_LOGIN_DISABLED`	検出結果の説明: このインスタンスで OS Login が無効になっています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Project この問題を修正する	プロジェクトメタデータの `commonInstanceMetadata.items[]` オブジェクトで Key-Value ペア `"key"`: `"enable-oslogin"`、`"value"`: `TRUE` を確認します。この検出機能は、Compute Engine プロジェクト内のすべてのインスタンスをチェックし、各インスタンスで OS Login が無効になっているかどうか確認します。スキャン対象外のアセット: GKE インスタンス追加の IAM 権限: `roles/compute.Viewer` 追加入力: Compute Engine からメタデータを読み取るこの検出機能は、プロジェクト内の Compute Engine インスタンスも検査します。バッチスキャン: 12 時間ごとリアルタイムスキャン: なし	CIS GCP Foundation 1.0: 4.3 CIS GCP Foundation 1.1: 4.4 CIS GCP Foundation 1.2: 4.4
`Public IP address` API のカテゴリ名: `PUBLIC_IP_ADDRESS`	検出結果の説明: インスタンスにパブリック IP アドレスが割り振られています。料金ティア: プレミアムまたはスタンダードサポートされているアセット compute.googleapis.com/Instance この問題を修正する	`networkInterfaces` プロパティに、パブリック IP アドレスを使用するように構成されていることを示す `accessConfigs` フィールドが存在するかどうかを確認します。スキャン対象外のアセット: GKE インスタンスバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 4.9 CIS GCP Foundation 1.2: 4.9 PCI-DSS v3.2.1: 1.2.1、1.3.5 NIST 800-53: CA-3, SC-7
`Shielded VM disabled` API のカテゴリ名: `SHIELDED_VM_DISABLED`	検出結果の説明: このインスタンスで Shielded VM が無効になっています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Instance この問題を修正する	Compute Engine インスタンスの `shieldedInstanceConfig` プロパティをチェックして、`enableIntegrityMonitoring`、`enableSecureBoot`、`enableVtpm` の各フィールドがすべて `true` に設定されているかどうかを確認します。このフィールドは、アタッチされたディスクがセキュアブートと互換性があるかどうか、Shielded VM がオンになっているかどうかを示します。スキャン対象外のアセット: GKE インスタンス、GPU アクセラレータを備え Container-Optimized OS を使用しない Compute Engine ディスク、サーバーレス VPC アクセスバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 4.8 CIS GCP Foundation 1.2: 4.8
`Weak SSL policy` API のカテゴリ名: `WEAK_SSL_POLICY`	検出結果の説明: インスタンスに脆弱な SSL ポリシーが設定されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/TargetHttpsProxy compute.googleapis.com/TargetSslProxy この問題を修正する	アセットメタデータ内の `sslPolicy` が空かどうか、および接続された `sslPolicies` リソースについて `profile` が `Restricted` または `Modern` に設定されており、`minTlsVersion` が `TLS 1.2` に設定され、`customFeatures` が空であるか、`TLS_RSA_WITH_AES_128_GCM_SHA256`、`TLS_RSA_WITH_AES_256_GCM_SHA384`、`TLS_RSA_WITH_AES_128_CBC_SHA`、`TLS_RSA_WITH_AES_256_CBC_SHA`、`TLS_RSA_WITH_3DES_EDE_CBC_SHA` の暗号を含んでいないかどうかを確認します。追加の IAM 権限: `roles/compute.Viewer` 追加入力: 脆弱なポリシーを確認するため、ターゲットプロキシストレージの SSL ポリシーを読み取ります。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり。ただし、TargetSslProxy の TargetHttpsProxy が更新された場合のみ（SSL ポリシーが更新された場合を除く）	CIS GCP Foundation 1.1: 3.9 CIS GCP Foundation 1.2: 3.9 PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.14.1.3

コンテナの脆弱性の検出

この検出タイプはすべて GKE コンテナ構成に関連し、CONTAINER_SCANNER 検出機能タイプに属します。

**表 4.** コンテナのスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Alpha cluster enabled` API のカテゴリ名: `ALPHA_CLUSTER_ENABLED`	検出結果の説明: GKE クラスタでアルファ版のクラスタ機能が有効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	クラスタの `enableKubernetesAlpha` プロパティが `true` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.10.2
`Auto repair disabled` API のカテゴリ名: `AUTO_REPAIR_DISABLED`	検出結果の説明: ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	ノードプールの `management` プロパティで Key-Value ペア `"key":`、`"autoRepair"`、`"value":`、`true` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.7 CIS GKE 1.0: 6.5.2 PCI-DSS v3.2.1: 2.2
`Auto upgrade disabled` API のカテゴリ名: `AUTO_UPGRADE_DISABLED`	検出結果の説明: GKE クラスタの自動アップグレード機能（最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能）が無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	ノードプールの `management` プロパティで Key-Value ペア `"key":`、`"autoUpgrade"`、`"value":`、`true` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.8 CIS GKE 1.0: 6.5.3 PCI-DSS v3.2.1: 2.2
`Binary authorization disabled` API のカテゴリ名: `BINARY_AUTHORIZATION_DISABLED`	検出結果の説明: GKE クラスタで Binary Authorization が無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`binaryAuthorization` プロパティに Key-Value ペア `"enabled": true` が含まれ、`defaultAdmissionRule` に Key-Value ペア `evaluationMode: ALWAYS_ALLOW` が含まれているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.10.5
`Cluster logging disabled` API のカテゴリ名: `CLUSTER_LOGGING_DISABLED`	検出結果の説明: GKE クラスタに対して Logging が有効になっていません。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	クラスタの `loggingService` プロパティに、Cloud Logging がログの書き込みに使用する場所が含まれているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.2.2、10.2.7
`Cluster monitoring disabled` API のカテゴリ名: `CLUSTER_MONITORING_DISABLED`	検出結果の説明: GKE クラスタで Monitoring が無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	クラスタの `monitoringService` プロパティに、Cloud Monitoring が指標の書き込みに使用する場所が含まれているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.2 CIS GKE 1.0: 6.7.1 PCI-DSS v3.2.1: 10.1、10.2
`Cluster private Google access disabled` API のカテゴリ名: `CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	検出結果の説明: クラスタのホストは、Google API にアクセスする際にプライベート内部 IP アドレスのみを使用するように構成されていません。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	サブネットワークの `privateIpGoogleAccess` プロパティが `false` に設定されているかどうかを確認します。追加入力: ストレージからサブネットワークを読み取り、サブネットワークのあるクラスタの検出結果のみを報告します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり。ただし、クラスタが更新された場合のみ（サブネットワークの更新は対象外）	CIS GCP Foundation 1.0: 7.1 PCI-DSS v3.2.1: 1.3
`Cluster secrets encryption disabled` API のカテゴリ名: `CLUSTER_SECRETS_ENCRYPTION_DISABLED`	検出結果の説明: アプリケーションレイヤでのシークレットの暗号化が GKE クラスタで無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`databaseEncryption` オブジェクトの `keyName` プロパティで、Key-Value ペア `"state": ENCRYPTED` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.3.1
`Cluster shielded nodes disabled` API のカテゴリ名: `CLUSTER_SHIELDED_NODES_DISABLED`	検出結果の説明: シールドされた GKE ノードがクラスタで有効になっていません。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`shieldedNodes` プロパティで Key-Value ペア `"enabled": true` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.5.5
`COS not used` API のカテゴリ名: `COS_NOT_USED`	検出結果の説明: Compute Engine VM は、Google Cloud で Docker コンテナを安全に実行するための Container-Optimized OS を使用していません。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	ノードプールの `config` プロパティで Key-Value ペア `"imageType":` `"COS"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.9 CIS GKE 1.0: 6.5.1 PCI-DSS v3.2.1: 2.2
`Integrity monitoring disabled` API のカテゴリ名: `INTEGRITY_MONITORING_DISABLED`	検出結果の説明: GKE クラスタの整合性モニタリングが無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`nodeConfig` オブジェクトの `shieldedInstanceConfig` プロパティで、Key-Value ペア `"enableIntegrityMonitoring": true` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.5.6
`Intranode visibility disabled` API のカテゴリ名: `INTRANODE_VISIBILITY_DISABLED`	検出結果の説明: GKE クラスタで、ノード内の可視化が無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`networkConfig` プロパティで Key-Value ペア `"enableIntraNodeVisibility": true` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.6.1
`IP alias disabled` API のカテゴリ名: `IP_ALIAS_DISABLED`	検出結果の説明: GKE クラスタが、エイリアス IP 範囲を無効にして作成されています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	クラスタ内の `ipAllocationPolicy` の `useIPAliases` フィールドが `false` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.2 PCI-DSS v3.2.1: 1.3.4、1.3.7
`Legacy authorization enabled` API のカテゴリ名: `LEGACY_AUTHORIZATION_ENABLED`	検出結果の説明: 以前の承認が GKE クラスタで有効になっています。料金ティア: プレミアムまたはスタンダードサポートされているアセット container.googleapis.com/Cluster この問題を修正する	クラスタの `legacyAbac` プロパティで Key-Value ペア `"enabled"`: `true` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.3 CIS GKE 1.0: 6.8.3 PCI-DSS v3.2.1: 4.1
`Legacy metadata enabled` API のカテゴリ名: `LEGACY_METADATA_ENABLED`	検出結果の説明: 従来のメタデータが GKE クラスタで有効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	ノードプールの `config` プロパティで Key-Value ペア `"disable-legacy-endpoints"`: `"false"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.4.1
`Master authorized networks disabled` API のカテゴリ名: `MASTER_AUTHORIZED_NETWORKS_DISABLED`	検出結果の説明: コントロールプレーンの承認済みネットワークが GKE クラスタで有効になっていません。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	クラスタの `masterAuthorizedNetworksConfig` プロパティで Key-Value ペア `"enabled"`: `false` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.4 CIS GKE 1.0: 6.6.3 PCI-DSS v3.2.1: 1.2.1、1.3.2
`Network policy disabled` API のカテゴリ名: `NETWORK_POLICY_DISABLED`	検出結果の説明: GKE クラスタでネットワークポリシーが無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`addonsConfig` プロパティの `networkPolicy` フィールドで Key-Value ペア `"disabled"`: `true` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.7 PCI-DSS v3.2.1: 1.3 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Nodepool boot CMEK disabled` API のカテゴリ名: `NODEPOOL_BOOT_CMEK_DISABLED`	検出結果の説明: このノードプール内のブートディスクは、顧客管理の暗号鍵（CMEK）を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	CMEK のリソース名についてノードプールの `bootDiskKmsKey` プロパティを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり
`Nodepool secure boot disabled` API のカテゴリ名: `NODEPOOL_SECURE_BOOT_DISABLED`	検出結果の説明: GKE クラスタでセキュアブートが無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`nodeConfig` オブジェクトの `shieldedInstanceConfig` プロパティで、Key-Value ペア `"enableSecureBoot": true` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.5.7
`Over privileged account` API のカテゴリ名: `OVER_PRIVILEGED_ACCOUNT`	検出結果の説明: サービスアカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	ノードプールの `config` プロパティを評価し、サービスアカウントが指定されていないかどうか、またはデフォルトのサービスアカウントが使用されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1 PCI-DSS v3.2.1: 2.1, 7.1.2 NIST 800-53: AC-6、SC-7 ISO-27001: A.9.2.3
`Over privileged scopes` API のカテゴリ名: `OVER_PRIVILEGED_SCOPES`	検出結果の説明: ノードのサービスアカウントに、広範なアクセススコープが設定されています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	ノードプールの `config.oauthScopes` プロパティに表示されているアクセススコープが、制限付きのサービスアカウントアクセススコープ `https://www.googleapis.com/auth/devstorage.read_only`、`https://www.googleapis.com/auth/logging.write`、または `https://www.googleapis.com/auth/monitoring` であるかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.2.1
`Pod security policy disabled` API のカテゴリ名: `POD_SECURITY_POLICY_DISABLED`	検出結果の説明: GKE クラスタで PodSecurityPolicy が無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	クラスタの `podSecurityPolicyConfig` プロパティで Key-Value ペア `"enabled"`: `false` を確認します。追加の IAM 権限: `roles/container.clusterViewer` 追加入力: Pod セキュリティポリシーはベータ版の機能であるため、GKE からクラスタ情報を読み取ります。Kubernetes は、バージョン 1.21 の PodSecurityPolicy のサポートを終了しました。PodSecurityPolicy は、バージョン 1.25 をもって提供を終了する予定です。代替手段については、PodSecurityPolicy のサポートの終了をご覧ください。バッチスキャン: 12 時間ごとリアルタイムスキャン: なし	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.10.3
`Private cluster disabled` API のカテゴリ名: `PRIVATE_CLUSTER_DISABLED`	検出結果の説明: GKE クラスタで無効になっている限定公開クラスタが存在します。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`privateClusterConfig` プロパティの `enablePrivateNodes` フィールドが `false` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.1 CIS GKE 1.0: 6.6.5 PCI-DSS v3.2.1: 1.3.2
`Release channel disabled` API のカテゴリ名: `RELEASE_CHANNEL_DISABLED`	検出結果の説明: GKE クラスタはリリースチャンネルに登録されていません。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`releaseChannel` プロパティで Key-Value ペア `"channel": UNSPECIFIED` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.5.4
`Web UI enabled` API のカテゴリ名: `WEB_UI_ENABLED`	検出結果の説明: GKE ウェブ UI（ダッシュボード）が有効になっています。料金ティア: プレミアムまたはスタンダードサポートされているアセット container.googleapis.com/Cluster この問題を修正する	`addonsConfig` プロパティの `kubernetesDashboard` フィールドで Key-Value ペア `"disabled": false` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 7.6 CIS GKE 1.0: 6.10.1 PCI-DSS v3.2.1: 6.6
`Workload Identity disabled` API のカテゴリ名: `WORKLOAD_IDENTITY_DISABLED`	検出結果の説明: Workload Identity が GKE クラスタで無効になっています。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster この問題を修正する	クラスタの `workloadIdentityConfig` プロパティが設定されているかどうかを確認します。また、ノードプールの `workloadMetadataConfig` プロパティが `GKE_METADATA` に設定されているかどうかも確認します。追加の IAM 権限: `roles/container.clusterViewer` バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GKE 1.0: 6.2.2

Dataproc の脆弱性の検出

この検出機能の脆弱性はすべて Dataproc に関連しており、DATAPROC_SCANNER 検出機能タイプに属します。

**表 5.** Dataproc スキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Dataproc image outdated` API のカテゴリ名: `DATAPROC_IMAGE_OUTDATED`	検出結果の説明: Dataproc クラスタは、Apache Log4j 2 ユーティリティのセキュリティ脆弱性（CVE-2021-44228 および CVE-2021-45046）の影響を受ける Dataproc イメージバージョンで作成されています。料金ティア: プレミアムまたはスタンダードサポートされているアセット dataproc.googleapis.com/Cluster この問題を修正する	`Cluster` の `config` プロパティの `softwareConfig.imageVersion` フィールドが 1.3.95 より前かどうかを確認します。また、1.4.77、1.5.53、2.0.27 より前のサブマイナーイメージバージョンかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり

データセットの脆弱性の検出

この検出機能タイプの脆弱性はすべて BigQuery データセットの構成に関連し、DATASET_SCANNER 検出機能タイプに属します。

**表 6.** データセットのスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`BigQuery table CMEK disabled` API のカテゴリ名: `BIGQUERY_TABLE_CMEK_DISABLED`	検出結果の説明: BigQuery テーブルが、顧客管理の暗号鍵（CMEK）を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。料金ティア: プレミアムサポートされているアセット bigquery.googleapis.com/Table この問題を修正する	`encryptionConfiguration` プロパティの `kmsKeyName` フィールドが空かどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 7.2
`Dataset CMEK disabled` API のカテゴリ名: `DATASET_CMEK_DISABLED`	検出結果の説明: BigQuery データセットが、デフォルトの CMEK を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。料金ティア: プレミアムサポートされているアセット bigquery.googleapis.com/Dataset この問題を修正する	`defaultEncryptionConfiguration` プロパティの `kmsKeyName` フィールドが空かどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: なし
`Public dataset` API のカテゴリ名: `PUBLIC_DATASET`	検出結果の説明: データセットが公開アクセスを許可するように構成されています。料金ティア: プレミアムまたはスタンダードサポートされているアセット bigquery.googleapis.com/Dataset この問題を修正する	リソースメタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル `allUsers` または `allAuthenticatedUsers` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 7.1 CIS GCP Foundation 1.2: 7.1 PCI-DSS v3.2.1: 7.1 NIST 800-53: AC-2 ISO-27001: A.8.2.3、A.14.1.3

DNS の脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud DNS 構成に関連し、DNS_SCANNER 検出機能タイプに属します。

**表 7.** DNS のスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`DNSSEC disabled` API のカテゴリ名: `DNSSEC_DISABLED`	検出結果の説明: Cloud DNS ゾーンで DNSSEC が無効になっています。料金ティア: プレミアムサポートされているアセット dns.googleapis.com/ManagedZone この問題を修正する	`dnssecConfig` プロパティの `state` フィールドが `off` に設定されているかどうかを確認します。スキャン対象外のアセット: 一般公開されていない Cloud DNS ゾーンバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 3.3 CIS GCP Foundation 1.1: 3.3 CIS GCP Foundation 1.2: 3.3 ISO-27001: A.8.2.3
`RSASHA1 for signing` API のカテゴリ名: `RSASHA1_FOR_SIGNING`	検出結果の説明: RSASHA1 が Cloud DNS ゾーンの鍵署名に使用されています。料金ティア: プレミアムサポートされているアセット dns.googleapis.com/ManagedZone この問題を修正する	`dnssecConfig` プロパティの `defaultKeySpecs.algorithm` オブジェクトが `rsasha1` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 3.4、3.5 CIS GCP Foundation 1.1: 3.4、3.5 CIS GCP Foundation 1.2: 3.4、3.5

ファイアウォールの脆弱性の検出

この検出機能タイプの脆弱性はすべてファイアウォール構成に関連し、FIREWALL_SCANNER 検出機能タイプに属します。

**表 8.** ファイアウォールのスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Egress deny rule not set` API のカテゴリ名: `EGRESS_DENY_RULE_NOT_SET`	検出結果の説明: ファイアウォールに下り（外向き）拒否ルールが設定されていません。不要な送信トラフィックをブロックするには、下り（外向き）拒否ルールを設定する必要があります。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールの `destinationRanges` プロパティが `0.0.0.0/0` に設定されているかどうかと、`denied` プロパティに Key-Value ペア `"IPProtocol"`: `"all"` が含まれているかどうかを確認します。追加入力: ストレージからプロジェクトの下り（外向き）ファイアウォールを読み取ります。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり。ただし、プロジェクトの変更のみが対象（ファイアウォールルールの変更は対象外）。	PCI-DSS v3.2.1: 7.2
`Firewall rule logging disabled` API のカテゴリ名: `FIREWALL_RULE_LOGGING_DISABLED`	検出結果の説明: ファイアウォールルールのロギングが無効になっています。ネットワークアクセスを監査できるように、ファイアウォールルールロギングを有効にする必要があります。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `logConfig` プロパティが空か、Key-Value ペア `"enable"`: `false` が含まれているかどうかを確認します。スキャン対象外のアセット: GKE インスタンス、GKE によって作成されたファイアウォールルール、サーバーレス VPC アクセスバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 10.1、10.2 NIST 800-53: SI-4 ISO-27001: A.13.1.1
`Open Cassandra port` API のカテゴリ名: `OPEN_CASSANDRA_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン Cassandra ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティで、`TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621` のプロトコルとポートを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open ciscosecure websm port` API のカテゴリ名: `OPEN_CISCOSECURE_WEBSM_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン CISCOSECURE_WEBSM ポートが構成されています。料金ティア: プレミアムまたはスタンダードサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティで、`TCP:9090` のプロトコルとポートを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open directory services port` API のカテゴリ名: `OPEN_DIRECTORY_SERVICES_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DIRECTORY_SERVICES ポートが構成されています。料金ティア: プレミアムまたはスタンダードサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータで `allowed` プロパティで、プロトコルとポート（`TCP:445` と `UDP:445`）を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open DNS port` API のカテゴリ名: `OPEN_DNS_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DNS ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータで `allowed` プロパティで、プロトコルとポート（`TCP:53` と `UDP:53`）を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open elasticsearch port` API のカテゴリ名: `OPEN_ELASTICSEARCH_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ELASTICSEARCH ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティで、`TCP:9200, 9300` のプロトコルとポートを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open firewall` API のカテゴリ名: `OPEN_FIREWALL`	検出結果の説明: ファイアウォールが公開のアクセスを許可するように構成されています。料金ティア: プレミアムまたはスタンダードサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	`sourceRanges` プロパティと `allowed` プロパティに、次のいずれかの構成が含まれていることを確認します。 `sourceRanges` プロパティには `0.0.0.0/0` が含まれ、`allowed` プロパティに `protocol` または `protocol:port` を含むルールの組み合わせが含まれます。ただし、次のものは除きます。 icmp tcp:22 tcp:443 tcp:3389 udp:3389 sctp:22 `sourceRanges` プロパティには、パブリック IP アドレスを含む IP 範囲の組み合わせが含まれます。`allowed` プロパティには、すべての tcp ポートまたはすべての udp ポートを許可するルールの組み合わせが含まれます。スキャン対象外のアセット: GKE によって作成されたファイアウォールルールバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1
`Open FTP port` API のカテゴリ名: `OPEN_FTP_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン FTP ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティで、`TCP:21` のプロトコルとポートを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open HTTP port` API のカテゴリ名: `OPEN_HTTP_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン HTTP ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティで、`TCP:80` のプロトコルとポートを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open LDAP port` API のカテゴリ名: `OPEN_LDAP_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン LDAP ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータで `allowed` プロパティで、プロトコルとポート（`TCP:389, 636` と `UDP:389`）を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open Memcached port` API のカテゴリ名: `OPEN_MEMCACHED_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MEMCACHED ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータで `allowed` プロパティで、プロトコルとポート（`TCP:11211, 11214-11215` と `UDP:11211, 11214-11215`）を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open MongoDB port` API のカテゴリ名: `OPEN_MONGODB_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MONGODB ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティで、`TCP:27017-27019` のプロトコルとポートを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open MySQL port` API のカテゴリ名: `OPEN_MYSQL_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MYSQL ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティで、`TCP:3306` のプロトコルとポートを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open NetBIOS port` API のカテゴリ名: `OPEN_NETBIOS_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン NETBIOS ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータで `allowed` プロパティで、プロトコルとポート（`TCP:137-139` と `UDP:137-139`）を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open OracleDB port` API のカテゴリ名: `OPEN_ORACLEDB_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ORACLEDB ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータで `allowed` プロパティで、プロトコルとポート（`TCP:1521, 2483-2484` と `UDP:2483-2484`）を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open pop3 port` API のカテゴリ名: `OPEN_POP3_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン POP3 ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティで、`TCP:110` のプロトコルとポートを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open PostgreSQL port` API のカテゴリ名: `OPEN_POSTGRESQL_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン PostgreSQL ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータで `allowed` プロパティで、プロトコルとポート（`TCP:5432` と `UDP:5432`）を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open RDP port` API のカテゴリ名: `OPEN_RDP_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン RDP ポートが構成されています。料金ティア: プレミアムまたはスタンダードサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータで `allowed` プロパティで、プロトコルとポート（`TCP:3389` と `UDP:3389`）を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 3.7 CIS GCP Foundation 1.1: 3.7 CIS GCP Foundation 1.2: 3.7 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open Redis port` API のカテゴリ名: `OPEN_REDIS_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン REDIS ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティに、`TCP:6379` のプロトコルとポートが含まれているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open SMTP port` API のカテゴリ名: `OPEN_SMTP_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SMTP ポートが構成されています。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティに、`TCP:25` のプロトコルとポートが含まれているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open SSH port` API のカテゴリ名: `OPEN_SSH_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SSH ポートが構成されています。料金ティア: プレミアムまたはスタンダードサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティに、プロトコルとポート（`TCP:22` と `SCTP:22`）が含まれているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 3.6 CIS GCP Foundation 1.1: 3.6 CIS GCP Foundation 1.2: 3.6 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1
`Open Telnet port` API のカテゴリ名: `OPEN_TELNET_PORT`	検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン TELNET ポートが構成されています。料金ティア: プレミアムまたはスタンダードサポートされているアセット compute.googleapis.com/Firewall この問題を修正する	ファイアウォールメタデータの `allowed` プロパティに、`TCP:23` のプロトコルとポートが含まれているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 1.2.1 NIST 800-53: SC-7 ISO-27001: A.13.1.1

IAM の脆弱性の検出

この検出機能タイプの脆弱性はすべて Identity and Access Management（IAM）の構成に関連し、IAM_SCANNER 検出機能タイプに属します。

**表 9.** IAM のスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Admin service account` API のカテゴリ名: `ADMIN_SERVICE_ACCOUNT`	検出結果の説明: サービスアカウントに、管理者、オーナー、または編集者の権限が付与されています。これらのロールは、ユーザーが作成するサービスアカウントに割り当てないでください。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project この問題を修正する	リソースメタデータの IAM 許可ポリシーで、ユーザーが作成した任意のサービスアカウント（接頭辞 *iam.gserviceaccount.com* が付いています）に `roles/Owner`、`roles/Editor`、または `admin` を含むロール ID が割り当てられているかどうか確認します。スキャン対象外のアセット: Container Registry サービスアカウント（*containerregistry.iam.gserviceaccount.com）と Security Command Center サービスアカウント（security-center-api.iam.gserviceaccount.com）バッチスキャン: 6 時間ごとリアルタイムスキャン*: あり（フォルダの IAM 更新が完了している場合を除く）	CIS GCP Foundation 1.0: 1.4 CIS GCP Foundation 1.1: 1.5 CIS GCP Foundation 1.2: 1.5
`KMS role separation` API のカテゴリ名: `KMS_ROLE_SEPARATION`	検出結果の説明: 職掌分散が適用されていません。暗号鍵の暗号化 / 復号、暗号化、または復号のいずれかの Cloud Key Management Service（Cloud KMS）ロールが同時に割り当てられているユーザーが存在します。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project この問題を修正する	リソースメタデータの IAM 許可ポリシーを確認し、`roles/cloudkms.cryptoKeyEncrypterDecrypter`、`roles/cloudkms.cryptoKeyEncrypter`、`roles/cloudkms.cryptoKeyDecrypter`、`roles/cloudkms.signer`、`roles/cloudkms.signerVerifier`、`roles/cloudkms.publicKeyViewer` のいずれかのロールが同時に割り当てられているプリンシパルを取得します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.9 CIS GCP Foundation 1.1: 1.11 NIST 800-53: AC-5 ISO-27001: A.9.2.3、A.10.1.2
`Non org IAM member` API のカテゴリ名: `NON_ORG_IAM_MEMBER`	検出結果の説明: 組織の認証情報を使用していないユーザーが存在します。現在 CIS GCP Foundations 1.0 では、この検出機能は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。料金ティア: プレミアムまたはスタンダードサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project この問題を修正する	IAM の許可ポリシーメタデータの `user` フィールド内の @gmail.com メールアドレスと、組織の承認済み ID のリストを比較します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.1 CIS GCP Foundation 1.1: 1.1 CIS GCP Foundation 1.2: 1.1 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-3 ISO-27001: A.9.2.3
`Open group IAM member` API のカテゴリ名: `OPEN_GROUP_IAM_MEMBER`	検出結果の説明: 承認なしで結合できる Google グループアカウントは、IAM 許可ポリシーのプリンシパルとして使用されます。料金ティア: プレミアムまたはスタンダードサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project この問題を修正する	リソースメタデータの IAM ポリシーで、接頭辞 `group` が付いているメンバー（プリンシパル）を含むバインディングを確認します。グループがオープングループの場合、Security Health Analytics はこの検出結果を生成します。追加の入力: Google グループのメタデータを読み取り、識別されたグループがオープングループかどうか確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: なし
`Over privileged service account user` API のカテゴリ名: `OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	検出結果の説明: ユーザーに、特定のサービスアカウントではなく、プロジェクトレベルのサービスアカウントユーザーまたはサービスアカウントトークン作成者のロールを付与されています。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project この問題を修正する	リソースメタデータの IAM 許可ポリシーで、プロジェクトレベルの `roles/iam.serviceAccountUser` または `roles/iam.serviceAccountTokenCreator` が割り当てられているプリンシパルを確認します。スキャン対象外のアセット: Cloud Build サービスアカウントバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.5 CIS GCP Foundation 1.1: 1.6 CIS GCP Foundation 1.2: 1.6 PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`Primitive roles used` API のカテゴリ名: `PRIMITIVE_ROLES_USED`	検出結果の説明: ユーザーに基本ロールのオーナー、書き込み、読み取りが割り当てられています。これらのロールには過剰な権限が付与されるため、使用を回避する必要があります。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project この問題を修正する	リソースメタデータの IAM 許可ポリシーで、`roles/Owner`、`roles/Writer` または `roles/Reader` が割り当てられているプリンシパルを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 7.1.2 NIST 800-53: AC-6 ISO-27001: A.9.2.3
`Redis role used on org` API のカテゴリ名: `REDIS_ROLE_USED_ON_ORG`	検出結果の説明: Redis IAM ロールが、組織レベルまたはフォルダレベルで割り当てられます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organization この問題を修正する	リソースメタデータの IAM 許可ポリシーで、組織またはフォルダレベルで `roles/redis.admin`、`roles/redis.editor`、`roles/redis.viewer` が割り当てられているプリンシパルを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 7.1.2 ISO-27001: A.9.2.3
`Service account role separation` API のカテゴリ名: `SERVICE_ACCOUNT_ROLE_SEPARATION`	検出結果の説明: ユーザーにサービスアカウント管理者とサービスアカウントユーザーのロールが割り当てられています。これは「職掌分散」の原則に違反しています。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project この問題を修正する	リソースメタデータの IAM 許可ポリシーで、`roles/iam.serviceAccountUser` と `roles/iam.serviceAccountAdmin` の両方が割り当てられているプリンシパルを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.7 CIS GCP Foundation 1.1: 1.8 CIS GCP Foundation 1.2: 1.8 NIST 800-53: AC-5 ISO-27001: A.9.2.3
`Service account key not rotated` API のカテゴリ名: `SERVICE_ACCOUNT_KEY_NOT_ROTATED`	検出結果の説明: サービスアカウントキーは 90 日以上ローテーションされていません。料金ティア: プレミアムサポートされているアセット iam.googleapis.com/ServiceAccountKey この問題を修正する	サービスアカウントのキーメタデータの `validAfterTime` プロパティで、取得された鍵作成タイムスタンプを評価します。スキャン対象外のアセット: 期限切れのサービスアカウントキーとユーザーが管理しないキーバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.6	CIS GCP Foundation 1.1: 1.7	CIS GCP Foundation 1.2: 1.7
`User managed service account key` API のカテゴリ名: `USER_MANAGED_SERVICE_ACCOUNT_KEY`	検出結果の説明: ユーザーがサービスアカウントキーを管理しています。料金ティア: プレミアムサポートされているアセット iam.googleapis.com/ServiceAccountKey この問題を修正する	サービスアカウントキーメタデータの `keyType` プロパティが `User_Managed` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.3	CIS GCP Foundation 1.1: 1.4	CIS GCP Foundation 1.2: 1.4

KMS の脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud KMS 構成に関連し、KMS_SCANNER 検出機能タイプに属します。

**表 10.** KMS のスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`KMS key not rotated` API のカテゴリ名: `KMS_KEY_NOT_ROTATED`	検出結果の説明: Cloud KMS 暗号鍵にローテーションが構成されていません。暗号鍵は 90 日以内にローテーションする必要があります。料金ティア: プレミアムサポートされているアセット cloudkms.googleapis.com/CryptoKey この問題を修正する	リソースメタデータで `rotationPeriod` プロパティまたは `nextRotationTime` プロパティが存在するかどうかを確認します。スキャン対象外のアセット: 非対称鍵、メインバージョンが無効化または破棄されたキーバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 PCI-DSS v3.2.1: 3.5 NIST 800-53: SC-12 ISO-27001: A.10.1.2
`KMS project has owner` API のカテゴリ名: `KMS_PROJECT_HAS_OWNER`	検出結果の説明: 暗号鍵が含まれるプロジェクトに対するオーナー権限がユーザーに付与されています。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトメタデータの IAM 許可ポリシーで、`roles/Owner` を割り当てられたプリンシパルを確認します。追加入力: ストレージからプロジェクトの暗号鍵を読み取り、暗号鍵を持つプロジェクトの検出結果のみを報告します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり。ただし、IAM 許可ポリシーの変更のみが対象（KMS 鍵の変更は対象外）	CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 PCI-DSS v3.2.1: 3.5 NIST 800-53: AC-6、SC-12 ISO-27001: A.9.2.3、A.10.1.2
`KMS public key` API のカテゴリ名: `KMS_PUBLIC_KEY`	検出結果の説明: Cloud KMS 暗号鍵は一般公開されています。料金ティア: プレミアムサポートされているアセット cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing この問題を修正する	リソースメタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル `allUsers` または `allAuthenticatedUsers` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9
`Too many KMS users` API のカテゴリ名: `TOO_MANY_KMS_USERS`	検出結果の説明: 暗号鍵のユーザーが 3 人を超えています。料金ティア: プレミアムサポートされているアセット cloudkms.googleapis.com/CryptoKey この問題を修正する	IAM 許可ポリシーでキーリング、プロジェクト、組織を確認し、Cloud KMS 鍵を使用してデータの暗号化、復号、または署名ができるロール（`roles/owner`、`roles/cloudkms.cryptoKeyEncrypterDecrypter`、`roles/cloudkms.cryptoKeyEncrypter`、`roles/cloudkms.cryptoKeyDecrypter`、`roles/cloudkms.signer`、`roles/cloudkms.signerVerifier`）を持つプリンシパルを取得します。追加入力: ストレージから暗号鍵の暗号鍵バージョンを読み取り、アクティブなバージョンを持つ鍵についてのみ検出結果を報告します。検出機能によって、ストレージからキーリング、プロジェクト、組織の IAM 許可ポリシーも読み取られます。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	PCI-DSS v3.2.1: 3.5.2 ISO-27001: A.9.2.3

ロギングの脆弱性の検出

この検出機能タイプの脆弱性はすべてロギング構成に関連し、LOGGING_SCANNER 検出機能タイプに属します。

**表 11.** ロギングのスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Audit logging disabled` API のカテゴリ名: `AUDIT_LOGGING_DISABLED`	検出結果の説明: このリソースの監査ロギングが無効になっています。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Folder cloudresourcemanager.googleapis.com/Project この問題を修正する	リソースメタデータの IAM 許可ポリシーで、`auditLogConfigs` オブジェクトが存在するかどうか確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 2.1 CIS GCP Foundation 1.1: 2.1 CIS GCP Foundation 1.2: 2.1 PCI-DSS v3.2.1: 10.1、10.2 NIST 800-53: AC-2、AU-2 ISO-27001: A.12.4.1、A.16.1.7
`Bucket logging disabled` API のカテゴリ名: `BUCKET_LOGGING_DISABLED`	検出結果の説明: ロギングが有効になっていないストレージバケットがあります。料金ティア: プレミアムサポートされているアセット storage.googleapis.com/Bucket この問題を修正する	バケットの `logging` プロパティの `logBucket` フィールドが空かどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 5.3
`Locked retention policy not set` API のカテゴリ名: `LOCKED_RETENTION_POLICY_NOT_SET`	検出結果の説明: ロックされた保持ポリシーがログに設定されていません。料金ティア: プレミアムサポートされているアセット storage.googleapis.com/Bucket この問題を修正する	バケットの `retentionPolicy` プロパティの `isLocked` フィールドが `true` に設定されているかどうかを確認します。追加入力: バケットのログシンク（ログフィルタとログの宛先）を読み取り、ログバケットであるかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 2.3 CIS GCP Foundation 1.2: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2、A.18.1.3
`Log not exported` API のカテゴリ名: `LOG_NOT_EXPORTED`	検出結果の説明: 適切なログシンクが構成されていないリソースがあります。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトの `logSink` オブジェクトを取得し、`includeChildren` フィールドが `true` に設定されており、`destination` フィールドにログの書き込み先が含まれ、`filter` フィールドに値が設定されていることを確認します。追加入力: バケットのログシンク（ログフィルタとログの宛先）を読み取り、ログバケットであるかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり。ただし、プロジェクトの変更のみが対象（フォルダまたは組織でログのエクスポートが設定されている場合を除く）	CIS GCP Foundation 1.0: 2.2 CIS GCP Foundation 1.1: 2.2 CIS GCP Foundation 1.2: 2.2 ISO-27001: A.18.1.3
`Object versioning disabled` API のカテゴリ名: `OBJECT_VERSIONING_DISABLED`	検出結果の説明: シンクが構成されているストレージバケットで、オブジェクトのバージョニングが有効になっていません。料金ティア: プレミアムサポートされているアセット storage.googleapis.com/Bucket この問題を修正する	バケットの `versioning` プロパティの `enabled` フィールドが `true` に設定されているかどうかを確認します。スキャン対象外のアセット: 保持ポリシーがロックされている Cloud Storage バケット追加入力: バケットのログシンク（ログフィルタとログの宛先）を読み取り、ログバケットであるかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり。ただし、オブジェクトバージョニングが変更された場合（ログバケットが作成された場合を除く）	CIS GCP Foundation 1.0: 2.3 PCI-DSS v3.2.1: 10.5 NIST 800-53: AU-11 ISO-27001: A.12.4.2、A.18.1.3

モニタリングの脆弱性の検出

この検出機能タイプの脆弱性はすべてモニタリング構成に関連し、MONITORING_SCANNER タイプに属します。すべてのモニタリング検出機能の検出結果プロパティには、以下のものが含まれます。

ログ指標の作成に使用する RecommendedLogFilter。
推奨されるログフィルタに記述されている条件に対応する QualifiedLogMetricNames。
プロジェクトで適格なログ指標のいずれかに対してアラートポリシーが作成されていないかどうか、または既存のアラートポリシーに推奨設定が存在しないかどうかを表す AlertPolicyFailureReasons。

**表 12.** モニタリングのスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Audit config not monitored` API のカテゴリ名: `AUDIT_CONFIG_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:` に設定されているかを確認します。`resource.type` が指定されている場合は値が `global` かどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されているかどうかを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud のオペレーションスイートから Google Cloud のオペレーションスイートアカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を送信します。バッチスキャン: 12 時間ごとリアルタイムスキャン*: あり。ただし、プロジェクトの変更のみが対象（ログ指標とアラートの変更は対象外）	CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5
`Bucket IAM not monitored` API のカテゴリ名: `BUCKET_IAM_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されているかどうかを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud のオペレーションスイートから Google Cloud のオペレーションスイートアカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を送信します。バッチスキャン: 12 時間ごとリアルタイムスキャン: あり。ただし、プロジェクトの変更のみが対象（ログ指標とアラートの変更は対象外）	CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10
`Custom role not monitored` API のカテゴリ名: `CUSTOM_ROLE_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されているかどうかを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud のオペレーションスイートから Google Cloud のオペレーションスイートアカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を送信します。バッチスキャン: 12 時間ごとリアルタイムスキャン: あり。ただし、プロジェクトの変更のみが対象（ログ指標とアラートの変更は対象外）	CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6
`Firewall not monitored` API のカテゴリ名: `FIREWALL_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、Virtual Private Cloud（VPC）ネットワークファイアウォールルールの変更をモニタリングするように構成されていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されているかどうかを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud のオペレーションスイートから Google Cloud のオペレーションスイートアカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を送信します。バッチスキャン: 12 時間ごとリアルタイムスキャン: あり。ただし、プロジェクトの変更のみが対象（ログ指標とアラートの変更は対象外）	CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7
`Network not monitored` API のカテゴリ名: `NETWORK_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されているかどうかを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud のオペレーションスイートから Google Cloud のオペレーションスイートアカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を送信します。バッチスキャン: 12 時間ごとリアルタイムスキャン: あり。ただし、プロジェクトの変更のみが対象（ログ指標とアラートの変更は対象外）	CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9
`Owner not monitored` API のカテゴリ名: `OWNER_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、プロジェクト所有権の割り当てまたは変更をモニタリングするように構成されていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")` に設定されていることを確認します。`resource.type` が指定されている場合は、値が `global` であることを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されているかどうかを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud のオペレーションスイートから Google Cloud のオペレーションスイートアカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を送信します。バッチスキャン: 12 時間ごとリアルタイムスキャン: あり。ただし、プロジェクトの変更のみが対象（ログ指標とアラートの変更は対象外）	CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4
`Route not monitored` API のカテゴリ名: `ROUTE_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、VPC ネットワークルートの変更をモニタリングするように構成されていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されているかどうかを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud のオペレーションスイートから Google Cloud のオペレーションスイートアカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を送信します。バッチスキャン: 12 時間ごとリアルタイムスキャン: あり。ただし、プロジェクトの変更のみが対象（ログ指標とアラートの変更は対象外）	CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、Cloud SQL インスタンスの構成変更をモニタリングするように構成されていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正する	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"` に設定されていることを確認します。`resource.type` が指定されている場合は、値が `global` であることを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されているかどうかを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud のオペレーションスイートから Google Cloud のオペレーションスイートアカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を送信します。バッチスキャン: 12 時間ごとリアルタイムスキャン: あり。ただし、プロジェクトの変更のみが対象（ログ指標とアラートの変更は対象外）	CIS GCP Foundation 1.0: 2.11 CIS GCP Foundation 1.1: 2.11 CIS GCP Foundation 1.2: 2.11

多要素認証の検出

MFA_SCANNER 検出機能は、ユーザーの多要素認証に関連する脆弱性を識別します。

**表 13.** 多要素認証スキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`MFA not enforced` API のカテゴリ名: `MFA_NOT_ENFORCED`	2 段階認証プロセスを使用していないユーザーが存在します。料金ティア: プレミアムまたはスタンダードサポートされているアセット cloudresourcemanager.googleapis.com/Organization この問題を修正する	組織の ID 管理ポリシーと、Cloud Identity の管理対象アカウントのユーザー設定を評価します。スキャン対象外のアセット: ポリシーに対する例外が許可された組織部門追加入力: Google Workspace からデータを読み取ります。バッチスキャン: 12 時間ごとリアルタイムスキャン: なし	CIS GCP Foundation 1.0: 1.2 CIS GCP Foundation 1.1: 1.2 CIS GCP Foundation 1.2: 1.2 PCI-DSS v3.2.1: 8.3 NIST 800-53: IA-2 ISO-27001: A.9.4.2

ネットワークの脆弱性の検出

この検出機能タイプの脆弱性はすべて組織のネットワーク構成に関連し、NETWORK_SCANNER タイプに属します。

**表 14.** ネットワークのスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Default network` API のカテゴリ名: `DEFAULT_NETWORK`	検出結果の説明: プロジェクトにデフォルトネットワークが存在します。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Network この問題を修正する	ネットワークメタデータの `name` プロパティが `default` に設定されているかどうかを確認します。スキャン対象外のアセット: Compute Engine API が無効になっており、Compute Engine リソースが使用不能な状態にあるプロジェクトバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 3.1 CIS GCP Foundation 1.1: 3.1 CIS GCP Foundation 1.2: 3.1
`DNS logging disabled` API のカテゴリ名: `DNS_LOGGING_DISABLED`	検出結果の説明: VPC ネットワーク上の DNS ロギングが有効になっていません。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Network dns.googleapis.com/Policy この問題を修正する	`networks[].networkUrl` フィールドを使用して、VPC ネットワークに関連付けられているすべての `policies` をチェックし、`enableLogging` が `true` に設定されているポリシーを 1 つ以上探します。スキャン対象外のアセット: Compute Engine API が無効になっており、Compute Engine リソースが使用不能な状態にあるプロジェクトバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 2.12
`Legacy network` API のカテゴリ名: `LEGACY_NETWORK`	検出結果の説明: プロジェクトにレガシーネットワークが存在します。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Network この問題を修正する	ネットワークメタデータで、`IPv4Range` プロパティの存在を確認します。スキャン対象外のアセット: Compute Engine API が無効になっており、Compute Engine リソースが使用不能な状態にあるプロジェクトバッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 3.2 CIS GCP Foundation 1.1: 3.2 CIS GCP Foundation 1.2: 3.2

組織のポリシーの脆弱性の検出

この検出機能タイプの脆弱性はすべて組織のポリシーの制約の構成に関連し、ORG_POLICY タイプに属します。

**表 15.** 組織ポリシーのスキャナ
検出機能	概要	アセットのスキャン設定
`Org policy Confidential VM policy` API のカテゴリ名: `ORG_POLICY_CONFIDENTIAL_VM_POLICY`	検出結果の説明: Compute Engine リソースが `constraints/compute.restrictNonConfidentialComputing` 組織ポリシーを遵守していません。この組織ポリシーの制約の詳細については、Confidential VMs での組織ポリシーの制約の適用をご覧ください。料金ティア: プレミアムサポートされているアセット compute.googleapis.com/Instance この問題を修正する	Compute Engine インスタンスの `enableConfidentialCompute` プロパティが `true` に設定されているかどうかを確認します。スキャン対象外のアセット: GKE インスタンス追加の IAM 権限: `permissions/orgpolicy.policy.get` 追加入力: 組織ポリシーサービスから有効な組織ポリシーを読み取ります。バッチスキャン: 12 時間ごとリアルタイムスキャン: なし
`Org policy location restriction` API のカテゴリ名: `ORG_POLICY_LOCATION_RESTRICTION`	検出結果の説明: Compute Engine リソースが `constraints/gcp.resourceLocations` 制約を遵守していません。この組織ポリシーの制約の詳細については、組織ポリシーの制約の適用をご覧ください。料金ティア: プレミアムサポートされているアセット以下を参照この問題を修正する	サポートされているリソースのメタデータの `listPolicy` プロパティで、許可または拒否されているロケーションのリストを確認します。追加の IAM 権限: `permissions/orgpolicy.policy.get` 追加入力: 組織ポリシーサービスから有効な組織ポリシーを読み取ります。バッチスキャン: 12 時間ごとリアルタイムスキャン: なし
ORG_POLICY_LOCATION_RESTRICTION でサポートされているアセット Compute Engine compute.googleapis.com/Autoscaler compute.googleapis.com/Address compute.googleapis.com/Commitment compute.googleapis.com/Disk compute.googleapis.com/ForwardingRule compute.googleapis.com/HealthCheck compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/InstanceGroup compute.googleapis.com/InstanceGroupManager compute.googleapis.com/InterconnectAttachment compute.googleapis.com/NetworkEndpointGroup compute.googleapis.com/NodeGroup compute.googleapis.com/NodeTemplate compute.googleapis.com/PacketMirroring compute.googleapis.com/RegionBackendService compute.googleapis.com/RegionDisk compute.googleapis.com/ResourcePolicy compute.googleapis.com/Reservation compute.googleapis.com/Router compute.googleapis.com/Snapshot compute.googleapis.com/SslCertificate compute.googleapis.com/Subnetwork compute.googleapis.com/TargetHttpProxy compute.google.apis.com/TargetHttpsProxy compute.googleapis.com/TargetInstance compute.googleapis.com/TargetPool compute.googleapis.com/TargetVpnGateway compute.googleapis.com/UrlMap compute.googleapis.com/VpnGateway compute.googleapis.com/VpnTunnel GKE container.googleapis.com/Cluster container.googleapis.com/NodePool Cloud Storage storage.googleapis.com/Bucket Cloud KMS cloudkms.googleapis.com/CryptoKey¹ cloudkms.googleapis.com/CryptoKeyVersion¹ cloudkms.googleapis.com/ImportJob² cloudkms.googleapis.com/KeyRing¹ Dataproc dataproc.googleapis.com/Cluster BigQuery bigquery.googleapis.com/Dataset Dataflow dataflow.googleapis.com/Job³ Cloud SQL sqladmin.googleapis.com/Instance Cloud Composer composer.googleapis.com/Environment Logging logging.googleapis.com/LogBucket Pub/Sub pubsub.googleapis.com/Topic Vertex AI aiplatform.googleapis.com/BatchPredictionJob aiplatform.googleapis.com/CustomJob aiplatform.googleapis.com/DataLabelingJob aiplatform.googleapis.com/Dataset aiplatform.googleapis.com/Endpoint aiplatform.googleapis.com/HyperparameterTuningJob aiplatform.googleapis.com/Model aiplatform.googleapis.com/SpecialistPool aiplatform.googleapis.com/TrainingPipeline Artifact Registry artifactregistry.googleapis.com/Repository ¹ Cloud KMS アセットが削除できないためにアセットのデータが破棄された場合、対象のアセットはリージョン外に存在するとみなされません。 ² Cloud KMS インポートジョブに制御対象のライフサイクルが設定され、早期に終了できないため、ジョブが期限切れになり、鍵のインポートに使用できなくなった場合、ImportJob はリージョン外に存在するとみなされません。 ³ Dataflow ジョブのライフサイクルは管理できないため、ジョブが終了状態（停止、または破棄された状態）に達し、データの処理に使用できなくなった場合、リージョン外に存在するとみなされません。

Pub/Sub の脆弱性の検出

この検出機能タイプの脆弱性はすべて Pub/Sub 構成に関連し、PUBSUB_SCANNER タイプに属します。

**表 16.** Pub/Sub スキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Pubsub CMEK disabled` API のカテゴリ名: `PUBSUB_CMEK_DISABLED`	検出結果の説明: Pub/Sub トピックが顧客管理の暗号鍵（CMEK）で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。料金ティア: プレミアムサポートされているアセット pubsub.googleapis.com/Topic この問題を修正する	`kmsKeyName` フィールドで CMEK のリソース名を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり

SQL の脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud SQL の構成に関連し、SQL_SCANNER タイプに属します。

**表 17.** SQL のスキャナ
検出機能	概要	アセットのスキャン設定	コンプライアンス標準
`Auto backup disabled` API のカテゴリ名: `AUTO_BACKUP_DISABLED`	検出結果の説明: Cloud SQL データベースで自動バックアップが有効になっていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	Cloud SQL データの `backupConfiguration.enabled` プロパティが `true` に設定されているかどうかを確認します。スキャン対象外のアセット: Cloud SQL のレプリカ追加入力: Security Health Analytics アセットストレージから祖先の IAM 許可ポリシーを読み取ります。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.7 CIS GCP Foundation 1.2: 6.7 NIST 800-53: CP-9 ISO-27001: A.12.3.1
`Public SQL instance` API のカテゴリ名: `PUBLIC_SQL_INSTANCE`	検出結果の説明: Cloud SQL データベースインスタンスは、すべての IP アドレスからの接続を受け入れます。料金ティア: プレミアムまたはスタンダードサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	Cloud SQL インスタンスの `authorizedNetworks` プロパティが単一の IP アドレスまたは IP アドレス範囲に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 6.2 CIS GCP Foundation 1.1: 6.5 CIS GCP Foundation 1.2: 6.5 PCI-DSS v3.2.1: 1.2.1 NIST 800-53: CA-3, SC-7 ISO-27001: A.8.2.3、A.13.1.3、A.14.1.3
`SSL not enforced` API のカテゴリ名: `SSL_NOT_ENFORCED`	検出結果の説明: Cloud SQL データベースインスタンスでは、すべての受信接続で SSL を使用する必要はありません。料金ティア: プレミアムまたはスタンダードサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	Cloud SQL インスタンスの `requireSsl` プロパティが `true` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.0: 6.1 CIS GCP Foundation 1.1: 6.4 CIS GCP Foundation 1.2: 6.4 PCI-DSS v3.2.1: 4.1 NIST 800-53: SC-7 ISO-27001: A.8.2.3、A.13.2.1、A.14.1.3
`SQL CMEK disabled` API のカテゴリ名: `SQL_CMEK_DISABLED`	検出結果の説明: SQL データベースインスタンスが、顧客管理の暗号鍵（CMEK）で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `diskEncryptionKey` オブジェクトの `kmsKeyName` フィールドで、CMEK のリソース名を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり
`SQL contained database authentication` API のカテゴリ名: `SQL_CONTAINED_DATABASE_AUTHENTICATION`	検出結果の説明: Cloud SQL for SQL Server インスタンスの `contained database authentication` データベースフラグが `off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"contained database authentication"`、`"value"`: `"on"` を確認します。または、このプロパティがデフォルトで有効になっているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.3.2 CIS GCP Foundation 1.2: 6.3.7
`SQL cross DB ownership chaining` API のカテゴリ名: `SQL_CROSS_DB_OWNERSHIP_CHAINING`	検出結果の説明: Cloud SQL for SQL Server インスタンスの `cross_db_ownership_chaining` データベースフラグが、`off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"cross_db_ownership_chaining"`、`"value": "on"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.3.1 CIS GCP Foundation 1.2: 6.3.2
`SQL external scripts enabled` API のカテゴリ名: `SQL_EXTERNAL_SCRIPTS_ENABLED`	検出結果の説明: Cloud SQL for SQL Server インスタンスの `external scripts enabled` データベースフラグが、`off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"external scripts enabled"`、`"value": "off"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.3.1
`SQL local infile` API のカテゴリ名: `SQL_LOCAL_INFILE`	検出結果の説明: Cloud SQL for MySQL インスタンスの `local_infile` データベースフラグが、`off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"local_infile"`、`"value": "on"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.1.2 CIS GCP Foundation 1.2: 6.1.3
`SQL log checkpoints disabled` API のカテゴリ名: `SQL_LOG_CHECKPOINTS_DISABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_checkpoints` データベースフラグが、`on` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"log_checkpoints"`、`"value": "on"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.2.1 CIS GCP Foundation 1.2: 6.2.1
`SQL log connections disabled` API のカテゴリ名: `SQL_LOG_CONNECTIONS_DISABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_connections` データベースフラグが、`on` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"log_connections"`、`"value": "on"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.2.2 CIS GCP Foundation 1.2: 6.2.3
`SQL log disconnections disabled` API のカテゴリ名: `SQL_LOG_DISCONNECTIONS_DISABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_disconnections` データベースフラグが、`on` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"log_disconnections"`、`"value": "on"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.2.3 CIS GCP Foundation 1.2: 6.2.4
`SQL log duration disabled` API のカテゴリ名: `SQL_LOG_DURATION_DISABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_duration` データベースフラグが、`on` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"log_duration"`、`"value": "on"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.5
`SQL log error verbosity` API のカテゴリ名: `SQL_LOG_ERROR_VERBOSITY`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_error_verbosity` データベースフラグが `default` またはより厳密な値に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`log_error_verbosity` フィールドのインスタンスメタデータの `databaseFlags` プロパティが、`default` または `terse` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.2
`SQL log lock waits disabled` API のカテゴリ名: `SQL_LOG_LOCK_WAITS_DISABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_lock_waits` データベースフラグが、`on` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"log_lock_waits"`、`"value": "on"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.2.4 CIS GCP Foundation 1.2: 6.2.6
`SQL log min duration statement enabled` API のカテゴリ名: `SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_min_duration_statement` データベースフラグが「-1」に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"log_min_duration_statement"`、`"value": "-1"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.2.7 CIS GCP Foundation 1.2: 6.2.16
`SQL log min error statement` API のカテゴリ名: `SQL_LOG_MIN_ERROR_STATEMENT`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_min_error_statement` データベースフラグが適切に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`databaseFlags` プロパティの `log_min_error_statement` フィールドが、`debug5`、`debug4`、`debug3`、`debug2`、`debug1`、`info`、`notice`、`warning`、またはデフォルト値 `error` のいずれかに設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.2.5
`SQL log min error statement severity` API のカテゴリ名: `SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_min_error_statement` データベースフラグに適切な重大度レベルが設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`databaseFlags` プロパティの `log_min_error_statement` フィールドが、`error`、`log`、`fatal`、`panic` のいずれかの値に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.14
`SQL log min messages` API のカテゴリ名: `SQL_LOG_MIN_MESSAGES`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_min_messages` データベースフラグが、`warning` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`databaseFlags` プロパティの `log_min_messages` フィールドが `warning` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.13
`SQL log executor stats enabled` API のカテゴリ名: `SQL_LOG_EXECUTOR_STATS_ENABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_executor_status` データベースフラグが、`off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`log_executor_status` フィールドのインスタンスメタデータの `databaseFlags` プロパティが、`on` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.11
`SQL log hostname enabled` API のカテゴリ名: `SQL_LOG_HOSTNAME_ENABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_hostname` データベースフラグが、`off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`log_hostname` フィールドのインスタンスメタデータの `databaseFlags` プロパティが、`on` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.8
`SQL log parser stats enabled` API のカテゴリ名: `SQL_LOG_PARSER_STATS_ENABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_parser_stats` データベースフラグが、`off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`log_parser_stats` フィールドのインスタンスメタデータの `databaseFlags` プロパティが、`on` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.9
`SQL log planner stats enabled` API のカテゴリ名: `SQL_LOG_PLANNER_STATS_ENABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_planner_stats` データベースフラグが、`off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`log_planner_stats` フィールドのインスタンスメタデータの `databaseFlags` プロパティが、`on` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.10
`SQL log statement` API のカテゴリ名: `SQL_LOG_STATEMENT`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_statement` データベースフラグが `Ddl`（すべてのデータ定義ステートメント）に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`log_statement` フィールドのインスタンスメタデータの `databaseFlags` プロパティが、`Ddl` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.7
`SQL log statement stats enabled` API のカテゴリ名: `SQL_LOG_STATEMENT_STATS_ENABLED`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_statement_stats` データベースフラグが、`off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	`log_statement_stats` フィールドのインスタンスメタデータの `databaseFlags` プロパティが、`on` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.2.12
`SQL log temp files` API のカテゴリ名: `SQL_LOG_TEMP_FILES`	検出結果の説明: Cloud SQL for PostgreSQL インスタンスの `log_temp_files` データベースフラグが「0」に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"log_temp_files"`、`"value": "0"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.2.6 CIS GCP Foundation 1.2: 6.2.15
`SQL no root password` API のカテゴリ名: `SQL_NO_ROOT_PASSWORD`	検出結果の説明: Cloud SQL データベースに、ルートアカウントのパスワードが構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	ルートアカウントの `rootPassword` プロパティが空かどうかを確認します。追加の IAM 権限: `roles/cloudsql.client` 追加入力: ライブインスタンスにクエリを実行します。バッチスキャン: 6 時間ごとリアルタイムスキャン: なし	CIS GCP Foundation 1.0: 6.3 CIS GCP Foundation 1.1: 6.1.1 CIS GCP Foundation 1.2: 6.1.1 PCI-DSS v3.2.1: 2.1 NIST 800-53: AC-3 ISO-27001: A.8.2.3、A.9.4.2
`SQL public IP` API のカテゴリ名: `SQL_PUBLIC_IP`	検出結果の説明: Cloud SQL データベースにパブリック IP アドレスが割り振られています。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	Cloud SQL データベースの IP アドレスタイプがパブリックであることを示す `Primary` に設定されているかどうかを確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.1: 6.6 CIS GCP Foundation 1.2: 6.6
`SQL remote access enabled` API のカテゴリ名: `SQL_REMOTE_ACCESS_ENABLED`	検出結果の説明: Cloud SQL for SQL Server インスタンスの `remote access` データベースフラグが、`off` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"remote access"`、`"value": "off"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.3.5
`SQL skip show database disabled` API のカテゴリ名: `SQL_SKIP_SHOW_DATABASE_DISABLED`	検出結果の説明: Cloud SQL for MySQL インスタンスの `skip_show_database` データベースフラグが、`on` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"skip_show_database"`、`"value": "on"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.1.2
`SQL trace flag 3625` API のカテゴリ名: `SQL_TRACE_FLAG_3625`	検出結果の説明: Cloud SQL for SQL Server インスタンスの `3625 (trace flag)` データベースフラグが、`on` に設定されていません。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"3625 (trace flag)"`、`"value": "on"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.3.6
`SQL user connections configured` API のカテゴリ名: `SQL_USER_CONNECTIONS_CONFIGURED`	検出結果の説明: Cloud SQL for SQL Server インスタンスの `user connections` データベースフラグが構成されています。料金ティア: プレミアムサポートされているアセット sqladmin.googleapis.com/Instance この問題を修正する	インスタンスメタデータの `databaseFlags` プロパティで Key-Value ペア `"name"`: `"user connections"`、`"value": "0"` を確認します。バッチスキャン: 6 時間ごとリアルタイムスキャン: あり	CIS GCP Foundation 1.2: 6.3.3
`SQL user options configured` API のカテゴリ名: `SQL_USER_OPTIONS_CONFIGURED`