脆弱性の検出結果

Security Health Analytics と Web Security Scanner 検出器によって、Security Command Center で利用可能な脆弱性の検出結果が生成されます。 VM Manager などの統合サービスでも、Security Command Center で有効にすると脆弱性の検出結果が生成されます。

検出結果を表示および編集できるかどうかは、割り当てられている Identity and Access Management(IAM)のロールと権限によって決まります。Security Command Center での IAM ロールの詳細については、アクセス制御をご覧ください。

検出機能とコンプライアンス

Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。

サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。

CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。

Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。

セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。

コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。

サポートされているセキュリティ標準

Google Cloud

Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。

AWS

Security Command Center は、Amazon Web Services(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。

コンプライアンス レポートを表示およびエクスポートする手順については、Google Cloud コンソールでの Security Command Center の使用コンプライアンスのセクションをご覧ください。

修復後の検出結果の無効化

脆弱性または構成ミスの検出結果を修正した後、検出結果を検出した Security Command Center サービスは、次に検出サービスが検出結果をスキャンするときに、検出結果の状態を自動的に INACTIVE に設定します。Security Command Center で修正された検出結果を INACTIVE に設定するのに要する時間は、検出結果を検出するスキャンのスケジュールによって異なります。

検出結果に関連するリソースが削除されたことをスキャンで検出した場合も、Security Command Center サービスは脆弱性または構成ミスの検出結果の状態を INACTIVE に設定します。

スキャン間隔の詳細については、次のトピックをご覧ください。

Security Health Analytics の検出結果

Security Health Analytics の検出機能は、Cloud Asset Inventory(CAI)のリソースのサブセットをモニタリングし、リソースと Identity and Access Management(IAM)ポリシーの変更について通知を受信します。一部の検出機能では、このページの後の部分の表に示すように、Google Cloud APIs を直接呼び出してデータを取得します。

Security Health Analytics、スキャン スケジュール、組み込みとカスタムの両方のモジュール検出器の Security Health Analytics サポートの詳細については、Security Health Analytics の概要をご覧ください。

次の表に、Security Health Analytics の検出機能、サポートするアセットとコンプライアンスの基準、スキャンに使用する設定、生成する検出結果のタイプを示します。Google Cloud コンソールの Security Command Center の [脆弱性] ページでは、さまざまな属性で検出結果をフィルタリングできます。

問題を修正し、リソースを保護する手順については、Security Health Analytics の検出結果の修正をご覧ください。

API キーの脆弱性の検出

API_KEY_SCANNER 検出項目は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。

検出項目 概要 アセットのスキャン設定
API key APIs unrestricted

API のカテゴリ名: API_KEY_APIS_UNRESTRICTED

検出結果の説明: 過度に広範囲にわたって使用されている API キーが存在します。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

プロジェクト内のすべての API キーの restrictions プロパティを取得し、いずれかのプロパティが cloudapis.googleapis.com に設定されているかどうかを確認します。

  • リアルタイム スキャン: なし
API key apps unrestricted

API のカテゴリ名: API_KEY_APPS_UNRESTRICTED

検出結果の説明: 無制限に使用できる API キー(信頼できないアプリによる使用が制限されていない API キー)が存在します。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

プロジェクト内のすべての API キーの restrictions プロパティを取得し、browserKeyRestrictionsserverKeyRestrictionsandroidKeyRestrictions、または iosKeyRestrictions が設定されているかどうかを確認します。

  • リアルタイム スキャン: なし
API key exists

API のカテゴリ名: API_KEY_EXISTS

検出結果の説明: プロジェクトで標準認証ではなく API キーが使用されています。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

プロジェクトが所有するすべての API キーを取得します。

  • リアルタイム スキャン: なし
API key not rotated

API のカテゴリ名: API_KEY_NOT_ROTATED

検出結果の説明: API キーが 90 日以上ローテーションされていません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

すべての API キーの createTime プロパティに含まれるタイムスタンプを取得し、90 日間経過しているかどうかを確認します。

  • リアルタイム スキャン: なし

Cloud Asset Inventory の脆弱性の検出結果

この検出機能タイプの脆弱性はすべて Cloud Asset Inventory の構成に関連し、CLOUD_ASSET_SCANNER タイプに属します。

検出項目 概要 アセットのスキャン設定
Cloud Asset API disabled

API のカテゴリ名: CLOUD_ASSET_API_DISABLED

検出結果の説明: Cloud Asset Inventory による Google Cloud リソースと IAM ポリシーのキャプチャにより、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります。 すべてのプロジェクトで Cloud Asset Inventory サービスを有効にすることをおすすめします。 この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
pubsub.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Cloud Asset Inventory サービスが有効になっているかどうかを確認します。

  • リアルタイム スキャン: あり

Compute イメージの脆弱性の検出

COMPUTE_IMAGE_SCANNER 検出項目は、Google Cloud イメージ構成に関連する脆弱性を特定します。

検出項目 概要 アセットのスキャン設定
Public Compute image

API のカテゴリ名: PUBLIC_COMPUTE_IMAGE

検出結果の説明: Compute Engine イメージは一般公開されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Image

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル allUsers または allAuthenticatedUsers を確認します。

  • リアルタイム スキャン: あり

Compute インスタンスの脆弱性の検出

COMPUTE_INSTANCE_SCANNER 検出項目は、Compute Engine インスタンスの構成に関連する脆弱性を識別します。

COMPUTE_INSTANCE_SCANNER 検出項目は、GKE によって作成された Compute Engine インスタンスに関する検出結果を報告しません。このようなインスタンスの名前は「gke-」で始まり、ユーザーは編集できません。このインスタンスを保護するには、「コンテナの脆弱性の検出結果」をご覧ください。

検出項目 概要 アセットのスキャン設定
Confidential Computing disabled

API のカテゴリ名: CONFIDENTIAL_COMPUTING_DISABLED

検出結果の説明: Compute Engine インスタンスで Confidential Computing が無効になっています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

インスタンス メタデータの confidentialInstanceConfig プロパティで Key-Value ペア "enableConfidentialCompute":true を確認します。

  • スキャン対象外のアセット:
    • GKE インスタンス
    • サーバーレス VPC アクセス
    • Dataflow ジョブに関連するインスタンス
    • N2D 以外のタイプの Compute Engine インスタンス
  • リアルタイム スキャン: あり
Compute project wide SSH keys allowed

API のカテゴリ名: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

検出結果の説明: プロジェクト全体を対象とする SSH 認証鍵が使用されており、プロジェクト内のすべてのインスタンスへのログインが許可されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

インスタンス メタデータの metadata.items[] オブジェクトで Key-Value ペア "key": "block-project-ssh-keys", "value": TRUE を確認します。

  • スキャン対象から除外されたアセット: GKE インスタンス、Dataflow ジョブ、Windows インスタンス
  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からメタデータを読み取る
  • リアルタイム スキャン: なし
Compute Secure Boot disabled

API のカテゴリ名: COMPUTE_SECURE_BOOT_DISABLED

検出結果の説明: この Shielded VM でセキュアブートが有効になっていません。セキュアブートの使用は、ルートキットやブートキットなどの高度な脅威に対して仮想マシン インスタンスを保護するうえで有効です。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Compute Engine インスタンスの shieldedInstanceConfig プロパティをチェックして、enableSecureBoottrue に設定されているかどうかを確認します。この検出機能は、アタッチされたディスクがセキュアブートと互換性があり、セキュアブートが有効になっていることを確認します。

  • スキャン対象外のアセット: GKE インスタンス、GPU アクセラレータを備え Container-Optimized OS を使用しない Compute Engine ディスク、サーバーレス VPC アクセス
  • リアルタイム スキャン: あり
Compute serial ports enabled

API のカテゴリ名: COMPUTE_SERIAL_PORTS_ENABLED

検出結果の説明: インスタンスでシリアルポートが有効になっているため、インスタンスのシリアル コンソールへの接続が許可されます。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

インスタンス メタデータの metadata.items[] オブジェクトで Key-Value ペア "key": "serial-port-enable", "value": TRUE を確認します。

  • スキャン対象から除外されたアセット: GKE インスタンス
  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からメタデータを読み取る
  • リアルタイム スキャン: あり
Default service account used

API のカテゴリ名: DEFAULT_SERVICE_ACCOUNT_USED

検出結果の説明: デフォルトのサービス アカウントを使用するようにインスタンスが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

インスタンス メタデータの serviceAccounts プロパティで、Google が作成したデフォルトのサービス アカウントを示す PROJECT_NUMBER-compute@developer.gserviceaccount.com という接頭辞付きのサービス アカウントのメールアドレスを確認します。

  • スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブ
  • リアルタイム スキャン: あり
Disk CMEK disabled

API のカテゴリ名: DISK_CMEK_DISABLED

検出結果の説明: この VM のディスクは顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Disk

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

ディスク メタデータ内の diskEncryptionKey オブジェクトの kmsKeyName フィールドで、CMEK のリソース名を確認します。

  • スキャンから除外されたアセット: Cloud Composer 環境、Dataflow ジョブ、GKE インスタンスに関連するディスク
  • リアルタイム スキャン: あり
Disk CSEK disabled

API のカテゴリ名: DISK_CSEK_DISABLED

検出結果の説明: この VM のディスクは顧客指定の暗号鍵(CSEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、特殊なケースの検出項目をご覧ください。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Disk

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

diskEncryptionKey オブジェクトの kmsKeyName フィールドで、CSEK のリソース名を確認します。

  • スキャン対象外のアセット:
    enforce_customer_supplied_disk_encryption_keys セキュリティ マークが true に設定されていない Compute Engine ディスク
  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からメタデータを読み取る
  • リアルタイム スキャン: あり
Full API access

API のカテゴリ名: FULL_API_ACCESS

検出結果の説明: すべての Google Cloud APIs に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するようにインスタンスが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

serviceAccounts プロパティの scopes フィールドを取得し、デフォルトのサービス アカウントが使用されているかどうかと、cloud-platform スコープが割り当てられているかどうかを確認します。

  • スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブ
  • リアルタイム スキャン: あり
HTTP load balancer

API のカテゴリ名: HTTP_LOAD_BALANCER

検出結果の説明: インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/TargetHttpProxy

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 2.3

targetHttpProxy リソースの selfLink プロパティが転送ルールの target 属性と一致しているかどうかと、転送ルールに External に設定された loadBalancingScheme フィールドが含まれているかどうかを確認します。

  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からターゲット HTTP プロキシの転送ルールを読み取り、外部ルールをチェックします。
  • リアルタイム スキャン: あり
Instance OS Login disabled

API のカテゴリ名: INSTANCE_OS_LOGIN_DISABLED

検出結果の説明: このインスタンスで OS Login が無効になっています。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

インスタンスの Custom metadataenable-oslogin プロパティが TRUE に設定されているかどうかを確認します。

  • スキャンから除外されたアセット: GKE インスタンス、Dataflow ジョブに関連するインスタンス、サーバーレス VPC アクセス
  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からメタデータを読み取る。
  • リアルタイム スキャン: なし
IP forwarding enabled

API のカテゴリ名: IP_FORWARDING_ENABLED

検出結果の説明: インスタンスで IP 転送が有効になっています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

インスタンスの canIpForward プロパティが true に設定されているかどうかを確認します。

  • スキャン対象外のアセット: GKE インスタンス、サーバーレス VPC アクセス
  • リアルタイム スキャン: あり
OS login disabled

API のカテゴリ名: OS_LOGIN_DISABLED

検出結果の説明: このインスタンスで OS Login が無効になっています。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

プロジェクト メタデータの commonInstanceMetadata.items[] オブジェクトで Key-Value ペア "key": "enable-oslogin""value": TRUE を確認します。この検出機能は、Compute Engine プロジェクト内のすべてのインスタンスをチェックし、各インスタンスで OS Login が無効になっているかどうか確認します。

  • スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブに関連するインスタンス
  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: Compute Engine からメタデータを読み取るこの検出機能は、プロジェクト内の Compute Engine インスタンスも検査します。
  • リアルタイム スキャン: なし
Public IP address

API のカテゴリ名: PUBLIC_IP_ADDRESS

検出結果の説明: インスタンスにパブリック IP アドレスが割り振られています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

networkInterfaces プロパティに、パブリック IP アドレスを使用するように構成されていることを示す accessConfigs フィールドが存在するかどうかを確認します。

  • スキャン対象外のアセット: GKE インスタンス、Dataflow ジョブに関連するインスタンス
  • リアルタイム スキャン: あり
Shielded VM disabled

API のカテゴリ名: SHIELDED_VM_DISABLED

検出結果の説明: このインスタンスで Shielded VM が無効になっています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Compute Engine インスタンスの shieldedInstanceConfig プロパティをチェックして、enableIntegrityMonitoring フィールドと enableVtpm フィールドが true に設定されているかどうかを確認します。このフィールドは、Shielded VM がオンになっているかどうかを示します。

  • スキャン対象外のアセット: GKE インスタンスとサーバーレス VPC アクセス
  • リアルタイム スキャン: あり
Weak SSL policy

API のカテゴリ名: WEAK_SSL_POLICY

検出結果の説明: インスタンスに脆弱な SSL ポリシーが設定されています。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

アセット メタデータ内の sslPolicy が空かどうか、Google Cloud のデフォルト ポリシーを使用しているかどうかを確認します。また、接続された sslPolicies リソースについて profileRestricted または Modern に設定されているかどうか、minTlsVersionTLS 1.2 に設定されているかどうか、 customFeatures が空かどうか、TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA の暗号を含んでいないかを確認します。

  • 追加の IAM 権限: roles/compute.Viewer
  • 追加入力: 脆弱なポリシーを確認するため、ターゲット プロキシ ストレージの SSL ポリシーを読み取ります。
  • リアルタイム スキャン: あり。ただし、TargetSslProxy の TargetHttpsProxy が更新された場合のみ(SSL ポリシーが更新された場合を除く)

コンテナの脆弱性の検出

これらの検出タイプはすべて GKE コンテナ構成に関連し、CONTAINER_SCANNER 検出項目タイプに属します。

検出項目 概要 アセットのスキャン設定
Alpha cluster enabled

API のカテゴリ名: ALPHA_CLUSTER_ENABLED

検出結果の説明: GKE クラスタでアルファ版のクラスタ機能が有効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.10.2

クラスタの enableKubernetesAlpha プロパティが true に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
Auto repair disabled

API のカテゴリ名: AUTO_REPAIR_DISABLED

検出結果の説明: ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

ノードプールの management プロパティで Key-Value ペア "key":"autoRepair""value":true を確認します。

  • リアルタイム スキャン: あり
Auto upgrade disabled

API のカテゴリ名: AUTO_UPGRADE_DISABLED

検出結果の説明: GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

ノードプールの management プロパティで Key-Value ペア "key":"autoUpgrade""value":true を確認します。

  • リアルタイム スキャン: あり
Binary authorization disabled

API のカテゴリ名: BINARY_AUTHORIZATION_DISABLED

検出結果の説明: Binary Authorization が GKE クラスタで無効になっているか、Binary Authorization ポリシーがすべてのイメージのデプロイを許可するように構成されています。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

以下を確認してください。

  • binaryAuthorization プロパティに次のいずれかの Key-Value ペアが含まれているかを確認します。
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • defaultAdmissionRule ポリシー プロパティに Key-Value ペア evaluationMode: ALWAYS_ALLOW が含まれていないかどうかを確認します。

  • リアルタイム スキャン: あり
Cluster logging disabled

API のカテゴリ名: CLUSTER_LOGGING_DISABLED

検出結果の説明: GKE クラスタに対して Logging が有効になっていません。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

クラスタの loggingService プロパティに、Cloud Logging がログの書き込みに使用する場所が含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Cluster monitoring disabled

API のカテゴリ名: CLUSTER_MONITORING_DISABLED

検出結果の説明: GKE クラスタで Monitoring が無効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

クラスタの monitoringService プロパティに、Cloud Monitoring が指標の書き込みに使用する場所が含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Cluster private Google access disabled

API のカテゴリ名: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

検出結果の説明: クラスタのホストは、Google API にアクセスする際にプライベート内部 IP アドレスのみを使用するように構成されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

サブネットワークの privateIpGoogleAccess プロパティが false に設定されているかどうかを確認します。

  • 追加入力: ストレージからサブネットワークを読み取り、サブネットワークのあるクラスタの検出結果のみを報告します。
  • リアルタイム スキャン: あり。ただし、クラスタが更新された場合のみ(サブネットワークの更新は対象外)
Cluster secrets encryption disabled

API のカテゴリ名: CLUSTER_SECRETS_ENCRYPTION_DISABLED

検出結果の説明: アプリケーション レイヤでのシークレットの暗号化が GKE クラスタで無効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.3.1

databaseEncryption オブジェクトの keyName プロパティで、Key-Value ペア "state": ENCRYPTED を確認します。

  • リアルタイム スキャン: あり
Cluster shielded nodes disabled

API のカテゴリ名: CLUSTER_SHIELDED_NODES_DISABLED

検出結果の説明: シールドされた GKE ノードがクラスタで有効になっていません。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.5.5

shieldedNodes プロパティで Key-Value ペア "enabled": true を確認します。

  • リアルタイム スキャン: あり
COS not used

API のカテゴリ名: COS_NOT_USED

検出結果の説明: Compute Engine VM は、Google Cloud で Docker コンテナを安全に実行するための Container-Optimized OS を使用していません。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

ノードプールの config プロパティで Key-Value ペア "imageType": "COS" を確認します。

  • リアルタイム スキャン: あり
Integrity monitoring disabled

API のカテゴリ名: INTEGRITY_MONITORING_DISABLED

検出結果の説明: GKE クラスタの整合性モニタリングが無効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.5.6

nodeConfig オブジェクトの shieldedInstanceConfig プロパティで、Key-Value ペア "enableIntegrityMonitoring": true を確認します。

  • リアルタイム スキャン: あり
Intranode visibility disabled

API のカテゴリ名: INTRANODE_VISIBILITY_DISABLED

検出結果の説明: GKE クラスタで、ノード内の可視化が無効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.6.1

networkConfig プロパティで Key-Value ペア "enableIntraNodeVisibility": true を確認します。

  • リアルタイム スキャン: あり
IP alias disabled

API のカテゴリ名: IP_ALIAS_DISABLED

検出結果の説明: GKE クラスタが、エイリアス IP 範囲を無効にして作成されています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

クラスタ内の ipAllocationPolicyuseIPAliases フィールドが false に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
Legacy authorization enabled

API のカテゴリ名: LEGACY_AUTHORIZATION_ENABLED

検出結果の説明: 以前の承認が GKE クラスタで有効になっています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

クラスタの legacyAbac プロパティで Key-Value ペア "enabled": true を確認します。

  • リアルタイム スキャン: あり
Legacy metadata enabled

API のカテゴリ名: LEGACY_METADATA_ENABLED

検出結果の説明: 従来のメタデータが GKE クラスタで有効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.4.1

ノードプールの config プロパティで Key-Value ペア "disable-legacy-endpoints": "false" を確認します。

  • リアルタイム スキャン: あり
Master authorized networks disabled

API のカテゴリ名: MASTER_AUTHORIZED_NETWORKS_DISABLED

検出結果の説明: コントロール プレーンの承認済みネットワークが GKE クラスタで有効になっていません。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

クラスタの masterAuthorizedNetworksConfig プロパティで Key-Value ペア "enabled": false を確認します。

  • リアルタイム スキャン: あり
Network policy disabled

API のカテゴリ名: NETWORK_POLICY_DISABLED

検出結果の説明: GKE クラスタでネットワーク ポリシーが無効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

addonsConfig プロパティの networkPolicy フィールドで Key-Value ペア "disabled": true を確認します。

  • リアルタイム スキャン: あり
Nodepool boot CMEK disabled

API のカテゴリ名: NODEPOOL_BOOT_CMEK_DISABLED

検出結果の説明: このノードプール内のブートディスクは、顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

CMEK のリソース名についてノードプールの bootDiskKmsKey プロパティを確認します。

  • リアルタイム スキャン: あり
Nodepool secure boot disabled

API のカテゴリ名: NODEPOOL_SECURE_BOOT_DISABLED

検出結果の説明: GKE クラスタでセキュアブートが無効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.5.7

nodeConfig オブジェクトの shieldedInstanceConfig プロパティで、Key-Value ペア "enableSecureBoot": true を確認します。

  • リアルタイム スキャン: あり
Over privileged account

API のカテゴリ名: OVER_PRIVILEGED_ACCOUNT

検出結果の説明: サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

ノードプールの config プロパティを評価し、サービス アカウントが指定されていないかどうか、またはデフォルトのサービス アカウントが使用されているかどうかを確認します。

  • リアルタイム スキャン: あり
Over privileged scopes

API のカテゴリ名: OVER_PRIVILEGED_SCOPES

検出結果の説明: ノードのサービス アカウントに、広範なアクセス スコープが設定されています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
ノードプールの config.oauthScopes プロパティに表示されているアクセス スコープが、制限付きのサービス アカウント アクセス スコープ https://www.googleapis.com/auth/devstorage.read_onlyhttps://www.googleapis.com/auth/logging.write、または https://www.googleapis.com/auth/monitoring であるかどうかを確認します。
  • リアルタイム スキャン: あり
Pod security policy disabled

API のカテゴリ名: POD_SECURITY_POLICY_DISABLED

検出結果の説明: GKE クラスタで PodSecurityPolicy が無効になっています。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

クラスタの podSecurityPolicyConfig プロパティで Key-Value ペア "enabled": false を確認します。

  • 追加の IAM 権限: roles/container.clusterViewer
  • 追加入力: Pod セキュリティ ポリシーはベータ版の機能であるため、GKE からクラスタ情報を読み取ります。Kubernetes は、バージョン 1.21 の PodSecurityPolicy のサポートを終了しました。PodSecurityPolicy は、バージョン 1.25 をもって提供を終了する予定です。代替手段については、PodSecurityPolicy のサポートの終了をご覧ください。
  • リアルタイム スキャン: なし
Private cluster disabled

API のカテゴリ名: PRIVATE_CLUSTER_DISABLED

検出結果の説明: GKE クラスタで無効になっている限定公開クラスタが存在します。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

privateClusterConfig プロパティの enablePrivateNodes フィールドが false に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
Release channel disabled

API のカテゴリ名: RELEASE_CHANNEL_DISABLED

検出結果の説明: GKE クラスタはリリース チャンネルに登録されていません。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.5.4

releaseChannel プロパティで Key-Value ペア "channel": UNSPECIFIED を確認します。

  • リアルタイム スキャン: あり
Web UI enabled

API のカテゴリ名: WEB_UI_ENABLED

検出結果の説明: GKE ウェブ UI(ダッシュボード)が有効になっています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

addonsConfig プロパティの kubernetesDashboard フィールドで Key-Value ペア "disabled": false を確認します。

  • リアルタイム スキャン: あり
Workload Identity disabled

API のカテゴリ名: WORKLOAD_IDENTITY_DISABLED

検出結果の説明: Workload Identity が GKE クラスタで無効になっています。

料金階層: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GKE 1.0: 6.2.2

クラスタの workloadIdentityConfig プロパティが設定されているかどうかを確認します。また、ノードプールの workloadMetadataConfig プロパティが GKE_METADATA に設定されているかどうかも検出されます。

  • 追加の IAM 権限: roles/container.clusterViewer
  • リアルタイム スキャン: あり

Dataproc の脆弱性の検出

この検出機能の脆弱性はすべて Dataproc に関連しており、DATAPROC_SCANNER 検出機能タイプに属します。

検出項目 概要 アセットのスキャン設定
Dataproc CMEK disabled

API のカテゴリ名: DATAPROC_CMEK_DISABLED

検出結果の説明: Dataproc クラスタが暗号化構成 CMEK なしで作成されました。CMEK を使用すると、Cloud Key Management Service で作成、管理する鍵は、Google Cloud がデータの暗号化に使用する鍵をラップするため、データへのアクセスをより細かく制御できます。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
dataproc.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

encryptionConfiguration プロパティの kmsKeyName フィールドが空かどうかを確認します。

  • リアルタイム スキャン: あり
Dataproc image outdated

API のカテゴリ名: DATAPROC_IMAGE_OUTDATED

検出の説明: Dataproc クラスタは、Apache Log4j 2 ユーティリティのセキュリティ脆弱性(CVE-2021-44228 および CVE-2021-45046)の影響を受ける Dataproc イメージ バージョンで作成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
dataproc.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Clusterconfig プロパティの softwareConfig.imageVersion フィールドが 1.3.95 より前かどうかを確認します。また、1.4.77、1.5.53、2.0.27 より前のサブマイナー イメージ バージョンかどうかを確認します。

  • リアルタイム スキャン: あり

データセットの脆弱性の検出

この検出機能タイプの脆弱性はすべて BigQuery データセットの構成に関連し、DATASET_SCANNER 検出機能タイプに属します。

検出項目 概要 アセットのスキャン設定
BigQuery table CMEK disabled

API のカテゴリ名: BIGQUERY_TABLE_CMEK_DISABLED

検出結果の説明: BigQuery テーブルが、顧客管理の暗号鍵(CMEK)を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
bigquery.googleapis.com/Table

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

encryptionConfiguration プロパティの kmsKeyName フィールドが空かどうかを確認します。

  • リアルタイム スキャン: あり
Dataset CMEK disabled

API のカテゴリ名: DATASET_CMEK_DISABLED

検出結果の説明: BigQuery データセットが、デフォルトの CMEK を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。

料金階層: プレミアム

サポートされているアセット
bigquery.googleapis.com/Dataset

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

defaultEncryptionConfiguration プロパティの kmsKeyName フィールドが空かどうかを確認します。

  • リアルタイム スキャン: なし
Public dataset

API のカテゴリ名: PUBLIC_DATASET

検出結果の説明: データセットが公開アクセスを許可するように構成されています。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
bigquery.googleapis.com/Dataset

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル allUsers または allAuthenticatedUsers を確認します。

  • リアルタイム スキャン: あり

DNS の脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud DNS 構成に関連し、DNS_SCANNER 検出機能タイプに属します。

検出項目 概要 アセットのスキャン設定
DNSSEC disabled

API のカテゴリ名: DNSSEC_DISABLED

検出結果の説明: Cloud DNS ゾーンで DNSSEC が無効になっています。

料金階層: プレミアム

サポートされているアセット
dns.googleapis.com/ManagedZone

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

dnssecConfig プロパティの state フィールドが off に設定されているかどうかを確認します。

  • スキャン対象外のアセット: 一般公開されていない Cloud DNS ゾーン
  • リアルタイム スキャン: あり
RSASHA1 for signing

API のカテゴリ名: RSASHA1_FOR_SIGNING

検出結果の説明: RSASHA1 が Cloud DNS ゾーンの鍵署名に使用されています。

料金階層: プレミアム

サポートされているアセット
dns.googleapis.com/ManagedZone

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

dnssecConfig プロパティの defaultKeySpecs.algorithm オブジェクトが rsasha1 に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり

ファイアウォールの脆弱性の検出

この検出機能タイプの脆弱性はすべてファイアウォール構成に関連し、FIREWALL_SCANNER 検出機能タイプに属します。

検出項目 概要 アセットのスキャン設定
Egress deny rule not set

API のカテゴリ名: EGRESS_DENY_RULE_NOT_SET

検出結果の説明: ファイアウォールに下り(外向き)拒否ルールが設定されていません。不要なアウトバウンド トラフィックをブロックするには、下り(外向き)拒否ルールを設定する必要があります。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 7.2

ファイアウォールの destinationRanges プロパティが 0.0.0.0/0 に設定されているかどうかと、denied プロパティに Key-Value ペア "IPProtocol": "all" が含まれているかどうかを確認します。

  • 追加入力: ストレージからプロジェクトの下り(外向き)ファイアウォールを読み取ります。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(ファイアウォール ルールの変更は対象外)。
Firewall rule logging disabled

API のカテゴリ名: FIREWALL_RULE_LOGGING_DISABLED

検出結果の説明: ファイアウォール ルールのロギングが無効になっています。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの logConfig プロパティが空か、Key-Value ペア "enable": false が含まれているかどうかを確認します。

Open Cassandra port

API のカテゴリ名: OPEN_CASSANDRA_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン Cassandra ポートが構成されています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open ciscosecure websm port

API のカテゴリ名: OPEN_CISCOSECURE_WEBSM_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン CISCOSECURE_WEBSM ポートが構成されています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:9090 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open directory services port

API のカテゴリ名: OPEN_DIRECTORY_SERVICES_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DIRECTORY_SERVICES ポートが構成されています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:445UDP:445)を確認します。

  • リアルタイム スキャン: あり
Open DNS port

API のカテゴリ名: OPEN_DNS_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DNS ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:53UDP:53)を確認します。

  • リアルタイム スキャン: あり
Open elasticsearch port

API のカテゴリ名: OPEN_ELASTICSEARCH_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ELASTICSEARCH ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:9200, 9300 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open firewall

API のカテゴリ名: OPEN_FIREWALL

検出結果の説明: ファイアウォールが公開のアクセスを許可するように構成されています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 1.2.1

sourceRanges プロパティと allowed プロパティに、次のいずれかの構成が含まれていることを確認します。

  • sourceRanges プロパティには 0.0.0.0/0 が含まれ、allowed プロパティに protocol または protocol:port を含むルールの組み合わせが含まれます。ただし、次のものは除きます。
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • sourceRanges プロパティには、パブリック IP アドレスを含む IP 範囲の組み合わせが含まれます。allowed プロパティには、すべての tcp ポートまたはすべての udp ポートを許可するルールの組み合わせが含まれます。
Open FTP port

API のカテゴリ名: OPEN_FTP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン FTP ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:21 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open HTTP port

API のカテゴリ名: OPEN_HTTP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン HTTP ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:80 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open LDAP port

API のカテゴリ名: OPEN_LDAP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン LDAP ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:389, 636UDP:389)を確認します。

  • リアルタイム スキャン: あり
Open Memcached port

API のカテゴリ名: OPEN_MEMCACHED_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MEMCACHED ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:11211, 11214-11215UDP:11211, 11214-11215)を確認します。

  • リアルタイム スキャン: あり
Open MongoDB port

API のカテゴリ名: OPEN_MONGODB_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MONGODB ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:27017-27019 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open MySQL port

API のカテゴリ名: OPEN_MYSQL_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MYSQL ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:3306 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open NetBIOS port

API のカテゴリ名: OPEN_NETBIOS_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン NETBIOS ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:137-139UDP:137-139)を確認します。

  • リアルタイム スキャン: あり
Open OracleDB port

API のカテゴリ名: OPEN_ORACLEDB_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ORACLEDB ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:1521, 2483-2484UDP:2483-2484)を確認します。

  • リアルタイム スキャン: あり
Open pop3 port

API のカテゴリ名: OPEN_POP3_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン POP3 ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティで、TCP:110 のプロトコルとポートを確認します。

  • リアルタイム スキャン: あり
Open PostgreSQL port

API のカテゴリ名: OPEN_POSTGRESQL_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン PostgreSQL ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:5432UDP:5432)を確認します。

  • リアルタイム スキャン: あり
Open RDP port

API のカテゴリ名: OPEN_RDP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン RDP ポートが構成されています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

ファイアウォール メタデータで allowed プロパティで、プロトコルとポート(TCP:3389UDP:3389)を確認します。

  • リアルタイム スキャン: あり
Open Redis port

API のカテゴリ名: OPEN_REDIS_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン REDIS ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティに、TCP:6379 のプロトコルとポートが含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Open SMTP port

API のカテゴリ名: OPEN_SMTP_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SMTP ポートが構成されています。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティに、TCP:25 のプロトコルとポートが含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Open SSH port

API のカテゴリ名: OPEN_SSH_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SSH ポートが構成されています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

ファイアウォール メタデータの allowed プロパティに、プロトコルとポート(TCP:22SCTP:22)が含まれているかどうかを確認します。

  • リアルタイム スキャン: あり
Open Telnet port

API のカテゴリ名: OPEN_TELNET_PORT

検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン TELNET ポートが構成されています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
compute.googleapis.com/Firewall

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

ファイアウォール メタデータの allowed プロパティに、TCP:23 のプロトコルとポートが含まれているかどうかを確認します。

  • リアルタイム スキャン: あり

IAM の脆弱性の検出

この検出機能タイプの脆弱性はすべて Identity and Access Management(IAM)の構成に関連し、IAM_SCANNER 検出機能タイプに属します。

検出項目 概要 アセットのスキャン設定
Access Transparency disabled

API のカテゴリ名: ACCESS_TRANSPARENCY_DISABLED

検出結果の説明: 組織で Google Cloud アクセスの透明性が無効になっています。アクセスの透明性では、Google Cloud の従業員が組織内のプロジェクトにアクセスしてサポートを提供した時間が記録されます。アクセスの透明性を有効にして、Google Cloud の情報にアクセスしたユーザーと日時をログに記録します。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

組織でアクセスの透明性が有効になっているかどうかを確認します。

  • リアルタイム スキャン: なし
Admin service account

API のカテゴリ名: ADMIN_SERVICE_ACCOUNT

検出結果の説明: サービス アカウントに、管理者オーナー、または編集者の権限が付与されています。これらのロールについては、ユーザーが作成するサービス アカウントに割り当てることを回避する必要があります。

料金階層: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

リソース メタデータの IAM 許可ポリシーで、ユーザーが作成した任意のサービス アカウント(接頭辞 iam.gserviceaccount.com)が付いています)に roles/Ownerroles/Editor、または admin を含むロール ID が割り当てられているかどうか確認します。

  • スキャン対象外のアセット: Container Registry サービス アカウント(containerregistry.iam.gserviceaccount.com)と Security Command Center サービス アカウント(security-center-api.iam.gserviceaccount.com
  • リアルタイム スキャン: あり(フォルダの IAM 更新が完了している場合を除く)
Essential Contacts Not Configured

API のカテゴリ名: ESSENTIAL_CONTACTS_NOT_CONFIGURED

検出結果の説明: 組織は、Google Cloud 組織内の攻撃、脆弱性、データ インシデントなどの重要なイベントに関する通知を Google Cloud から受け取る人物またはグループを指定していません。ビジネス組織内の 1 人以上の個人またはグループを重要な連絡先として指定することをおすすめします。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

以下のエッセンシャル コンタクトのカテゴリで連絡先が指定されていることを確認します。

  • 法務
  • セキュリティ
  • 停止
  • 技術

  • リアルタイム スキャン: なし
KMS role separation

API のカテゴリ名: KMS_ROLE_SEPARATION

検出結果の説明: 職掌分散が適用されていません。暗号鍵の暗号化 / 復号暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
リソース メタデータの IAM 許可ポリシーを確認し、roles/cloudkms.cryptoKeyEncrypterDecrypterroles/cloudkms.cryptoKeyEncrypterroles/cloudkms.cryptoKeyDecrypterroles/cloudkms.signerroles/cloudkms.signerVerifierroles/cloudkms.publicKeyViewer のいずれかのロールが同時に割り当てられているプリンシパルを取得します。
  • リアルタイム スキャン: あり
Non org IAM member

API のカテゴリ名: NON_ORG_IAM_MEMBER

検出結果の説明: 組織の認証情報を使用していないユーザーが存在します。CIS GCP Foundations 1.0 では、現在、この検出項目は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

IAM の許可ポリシー メタデータの user フィールド内の @gmail.com メールアドレスと、組織の承認済み ID のリストを比較します。

  • リアルタイム スキャン: あり
Open group IAM member

API のカテゴリ名: OPEN_GROUP_IAM_MEMBER

知見の説明: 承認なしで結合できる Google グループ アカウントは、IAM 許可ポリシーのプリンシパルとして使用されます。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

リソース メタデータの IAM ポリシーで、接頭辞 group が付いているメンバー(プリンシパル)を含むバインディングを確認します。グループがオープン グループの場合、Security Health Analytics はこの検出結果を生成します。
  • 追加の入力: Google グループのメタデータを読み取り、識別されたグループがオープン グループかどうか確認します。
  • リアルタイム スキャン: なし
Over privileged service account user

API のカテゴリ名: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

検出結果の説明: ユーザーに、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを付与されています。

料金階層: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
リソース メタデータの IAM 許可ポリシーで、プロジェクト レベルの roles/iam.serviceAccountUser または roles/iam.serviceAccountTokenCreator が割り当てられているプリンシパルを確認します。
  • スキャン対象外のアセット: Cloud Build サービス アカウント
  • リアルタイム スキャン: あり
Primitive roles used

API のカテゴリ名: PRIMITIVE_ROLES_USED

検出結果の説明: ユーザーに次のいずれかの基本ロールが付与されています。

  • オーナーroles/owner
  • 編集者roles/editor
  • 閲覧者roles/viewer

これらのロールには過剰な権限が付与されるため、使用を回避する必要があります。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

リソース メタデータの IAM 許可ポリシーで、roles/ownerroles/editor、または roles/viewer のロールが割り当てられているプリンシパルを確認します。

  • リアルタイム スキャン: あり
Redis role used on org

API のカテゴリ名: REDIS_ROLE_USED_ON_ORG

検出結果の説明: Redis IAM ロールが、組織レベルまたはフォルダレベルで割り当てられます。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

リソース メタデータの IAM 許可ポリシーで、組織またはフォルダレベルで roles/redis.adminroles/redis.editorroles/redis.viewer が割り当てられているプリンシパルを確認します。

  • リアルタイム スキャン: あり
Service account role separation

API のカテゴリ名: SERVICE_ACCOUNT_ROLE_SEPARATION

検出結果の説明: ユーザーにサービス アカウント管理者サービス アカウント ユーザーのロールが割り当てられています。これは「職掌分散」の原則に違反しています。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
リソース メタデータの IAM 許可ポリシーで、roles/iam.serviceAccountUserroles/iam.serviceAccountAdmin の両方が割り当てられているプリンシパルを確認します。
  • リアルタイム スキャン: あり
Service account key not rotated

API のカテゴリ名: SERVICE_ACCOUNT_KEY_NOT_ROTATED

検出結果の説明: サービス アカウント キーは 90 日以上ローテーションされていません。

料金階層: プレミアム

サポートされているアセット
iam.googleapis.com/ServiceAccountKey

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

サービス アカウントのキーメタデータの validAfterTime プロパティで、取得された鍵作成タイムスタンプを評価します。

  • スキャン対象外のアセット: 期限切れのサービス アカウント キーとユーザーが管理しないキー
  • リアルタイム スキャン: あり
User managed service account key

API のカテゴリ名: USER_MANAGED_SERVICE_ACCOUNT_KEY

検出結果の説明: ユーザーがサービス アカウント キーを管理しています。

料金階層: プレミアム

サポートされているアセット
iam.googleapis.com/ServiceAccountKey

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

サービス アカウント キー メタデータの keyType プロパティが User_Managed に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり

KMS の脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud KMS 構成に関連し、KMS_SCANNER 検出機能タイプに属します。

検出項目 概要 アセットのスキャン設定
KMS key not rotated

API のカテゴリ名: KMS_KEY_NOT_ROTATED

検出結果の説明: Cloud KMS 暗号鍵にローテーションが構成されていません。暗号鍵は 90 日以内にローテーションする必要があります。

料金階層: プレミアム

サポートされているアセット
cloudkms.googleapis.com/CryptoKey

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

リソース メタデータで rotationPeriod プロパティまたは nextRotationTime プロパティが存在するかどうかを確認します。

  • スキャン対象外のアセット: 非対称鍵、メイン バージョンが無効化または破棄されたキー
  • リアルタイム スキャン: あり
KMS project has owner

API のカテゴリ名: KMS_PROJECT_HAS_OWNER

検出結果の説明: 暗号鍵が含まれるプロジェクトに対するオーナー権限がユーザーに付与されています。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

プロジェクト メタデータの IAM 許可ポリシーで、roles/Owner を割り当てられたプリンシパルを確認します。

  • 追加入力: ストレージからプロジェクトの暗号鍵を読み取り、暗号鍵を持つプロジェクトの検出結果のみを報告します。
  • リアルタイム スキャン: あり。ただし、IAM 許可ポリシーの変更のみが対象(KMS 鍵の変更は対象外)
KMS public key

API のカテゴリ名: KMS_PUBLIC_KEY

検出結果の説明: Cloud KMS 暗号鍵は一般公開されています。

料金階層: プレミアム

サポートされているアセット
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル allUsers または allAuthenticatedUsers を確認します。

  • リアルタイム スキャン: あり
Too many KMS users

API のカテゴリ名: TOO_MANY_KMS_USERS

検出結果の説明: 暗号鍵のユーザーが 3 人を超えています。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudkms.googleapis.com/CryptoKey

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
IAM 許可ポリシーでキーリング、プロジェクト、組織を確認し、Cloud KMS 鍵を使用してデータの暗号化、復号、または署名ができるロール(roles/ownerroles/cloudkms.cryptoKeyEncrypterDecrypterroles/cloudkms.cryptoKeyEncrypterroles/cloudkms.cryptoKeyDecrypterroles/cloudkms.signerroles/cloudkms.signerVerifier)を持つプリンシパルを取得します。
  • 追加入力: ストレージから暗号鍵の暗号鍵バージョンを読み取り、アクティブなバージョンを持つ鍵についてのみ検出結果を報告します。検出機能によって、ストレージからキーリング、プロジェクト、組織の IAM 許可ポリシーも読み取られます。
  • リアルタイム スキャン: あり

ロギングの脆弱性の検出

この検出機能タイプの脆弱性はすべてロギング構成に関連し、LOGGING_SCANNER 検出機能タイプに属します。

検出項目 概要 アセットのスキャン設定
Audit logging disabled

API のカテゴリ名: AUDIT_LOGGING_DISABLED

検出結果の説明: このリソースの監査ロギングが無効になっています。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

リソース メタデータの IAM 許可ポリシーで、auditLogConfigs オブジェクトが存在するかどうか確認します。

  • リアルタイム スキャン: あり
Bucket logging disabled

API のカテゴリ名: BUCKET_LOGGING_DISABLED

検出結果の説明: ロギングが有効になっていないストレージ バケットがあります。

料金階層: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 5.3

バケットの logging プロパティの logBucket フィールドが空かどうかを確認します。

  • リアルタイム スキャン: あり
Locked retention policy not set

API のカテゴリ名: LOCKED_RETENTION_POLICY_NOT_SET

検出結果の説明: ロックされた保持ポリシーがログに設定されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

バケットの retentionPolicy プロパティの isLocked フィールドが true に設定されているかどうかを確認します。

  • 追加入力: バケットのログシンク(ログフィルタとログの宛先)を読み取り、ログバケットであるかどうかを確認します。
  • リアルタイム スキャン: あり
Log not exported

API のカテゴリ名: LOG_NOT_EXPORTED

検出結果の説明: 適切なログシンクが構成されていないリソースがあります。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

プロジェクトの logSink オブジェクトを取得し、includeChildren フィールドが true に設定されており、destination フィールドにログの書き込み先が含まれ、filter フィールドに値が設定されていることを確認します。

  • 追加入力: バケットのログシンク(ログフィルタとログの宛先)を読み取り、ログバケットであるかどうかを確認します。
  • リアルタイム スキャン: あり。ただし、プロジェクトの変更のみが対象(フォルダまたは組織でログのエクスポートが設定されている場合を除く)
Object versioning disabled

API のカテゴリ名: OBJECT_VERSIONING_DISABLED

検出結果の説明: シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

バケットの versioning プロパティの enabled フィールドが true に設定されているかどうかを確認します。

  • スキャン対象から除外されたアセット: 保持ポリシーがロックされている Cloud Storage バケット
  • 追加入力: バケットのログシンク(ログフィルタとログの宛先)を読み取り、ログバケットであるかどうかを確認します。
  • リアルタイム スキャン: あり。ただし、オブジェクト バージョニングが変更された場合(ログバケットが作成された場合を除く)

モニタリングの脆弱性の検出

この検出項目タイプの脆弱性は、すべてモニタリング構成に関連し、MONITORING_SCANNER タイプに属します。Monitoring の検出機能による検出結果のプロパティにはすべて、以下のコードが含まれます。

  • ログ指標の作成に使用する RecommendedLogFilter
  • 推奨されるログフィルタに記載されている条件に対応する QualifiedLogMetricNames
  • プロジェクトで適格なログ指標のいずれかに対してアラート ポリシーが作成されていないかどうか、または既存のアラート ポリシーに推奨設定が存在しないかどうかを表す AlertPolicyFailureReasons
検出項目 概要 アセットのスキャン設定
Audit config not monitored

API のカテゴリ名: AUDIT_CONFIG_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* に設定されているかを確認します。resource.type が指定されている場合は値が global かどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: なし
Bucket IAM not monitored

API のカテゴリ名: BUCKET_IAM_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions" に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: なし
Custom role not monitored

API のカテゴリ名: CUSTOM_ROLE_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: なし
Firewall not monitored

API のカテゴリ名: FIREWALL_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、Virtual Private Cloud(VPC)ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: なし
Network not monitored

API のカテゴリ名: NETWORK_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: なし
Owner not monitored

API のカテゴリ名: OWNER_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、プロジェクト所有権の割り当てまたは変更をモニタリングするように構成されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
プロジェクトの LogsMetric リソースの filter プロパティが (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: なし
Route not monitored

API のカテゴリ名: ROUTE_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: なし
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

検出結果の説明: ログ指標とアラートが、Cloud SQL インスタンスの構成変更をモニタリングするように構成されていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
プロジェクトの LogsMetric リソースの filter プロパティが protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されていることを確認します。
  • 追加の IAM 権限: roles/monitoring.alertPolicyViewer
  • 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。
  • リアルタイム スキャン: なし

多要素認証の検出

MFA_SCANNER 検出機能は、ユーザーの多要素認証に関連する脆弱性を識別します。

検出項目 概要 アセットのスキャン設定
MFA not enforced

API のカテゴリ名: MFA_NOT_ENFORCED

2 段階認証プロセスを使用していないユーザーが存在します。

Google Workspace では、新規ユーザーのために 2 段階認証プロセスで登録する必要がある猶予期間を指定できます。 この検出機能は、登録猶予期間中にユーザーの検出結果を作成します。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

組織の ID 管理ポリシーと、Cloud Identity の管理対象アカウントのユーザー設定を評価します。

  • スキャン対象から除外されたアセット: ポリシーに対する例外が許可された組織部門
  • 追加入力: Google Workspace からデータを読み取ります。
  • リアルタイム スキャン: なし

ネットワークの脆弱性の検出

この検出機能タイプの脆弱性はすべて組織のネットワーク構成に関連し、NETWORK_SCANNER タイプに属します。

検出項目 概要 アセットのスキャン設定
Default network

API のカテゴリ名: DEFAULT_NETWORK

検出結果の説明: プロジェクトにデフォルト ネットワークが存在します。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Network

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

ネットワーク メタデータの name プロパティが default に設定されているかどうかを確認します。

  • スキャン対象外のアセット: Compute Engine API が無効になっており、Compute Engine リソースが使用不能な状態にあるプロジェクト
  • リアルタイム スキャン: あり
DNS logging disabled

API のカテゴリ名: DNS_LOGGING_DISABLED

検出結果の説明: VPC ネットワーク上の DNS ロギングが有効になっていません。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Network
dns.googleapis.com/Policy

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

networks[].networkUrl フィールドを使用して、VPC ネットワークに関連付けられているすべての policies をチェックし、enableLoggingtrue に設定されているポリシーを 1 つ以上探します。

  • スキャン対象外のアセット: Compute Engine API が無効になっており、Compute Engine リソースが使用不能な状態にあるプロジェクト
  • リアルタイム スキャン: あり
Legacy network

API のカテゴリ名: LEGACY_NETWORK

検出結果の説明: プロジェクトにレガシー ネットワークが存在します。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Network

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

ネットワーク メタデータで、IPv4Range プロパティの存在を確認します。

  • スキャン対象外のアセット: Compute Engine API が無効になっており、Compute Engine リソースが使用不能な状態にあるプロジェクト
  • リアルタイム スキャン: あり
Load balancer logging disabled

API のカテゴリ名: LOAD_BALANCER_LOGGING_DISABLED

検出結果についての説明: ロードバランサに対して Logging が無効になっています。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/BackendServices

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

ロードバランサのバックエンド サービスの enableLogging プロパティが true に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり

組織のポリシーの脆弱性の検出

この検出機能タイプの脆弱性はすべて組織のポリシーの制約の構成に関連し、ORG_POLICY タイプに属します。

検出項目 概要 アセットのスキャン設定
Org policy Confidential VM policy

API のカテゴリ名: ORG_POLICY_CONFIDENTIAL_VM_POLICY

検出結果の説明: Compute Engine リソースが constraints/compute.restrictNonConfidentialComputing 組織ポリシーを遵守していません。この組織ポリシーの制約の詳細については、Confidential VMs での組織ポリシーの制約の適用をご覧ください。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Compute Engine インスタンスの enableConfidentialCompute プロパティが true に設定されているかどうかを確認します。

  • スキャン対象から除外されたアセット: GKE インスタンス
  • 追加の IAM 権限: permissions/orgpolicy.policy.get
  • 追加入力: 組織ポリシー サービスから有効な組織ポリシーを読み取ります。
  • リアルタイム スキャン: なし
Org policy location restriction

API のカテゴリ名: ORG_POLICY_LOCATION_RESTRICTION

検出結果の説明: Compute Engine リソースが constraints/gcp.resourceLocations 制約を遵守していません。この組織ポリシーの制約の詳細については、組織ポリシーの制約の適用をご覧ください。

Security Command Center プレミアム ティアをプロジェクト レベルで有効にする場合は、親組織でスタンダード ティアが有効になっている場合に限りこの検出結果を利用できます。

料金ティア: プレミアム

サポートされているアセット
次の行の ORG_POLICY_LOCATION_RESTRICTION 用にサポートされているアセットをご覧ください。

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

サポートされているリソースのメタデータの listPolicy プロパティで、許可または拒否されているロケーションのリストを確認します。

  • 追加の IAM 権限: permissions/orgpolicy.policy.get
  • 追加入力: 組織ポリシー サービスから有効な組織ポリシーを読み取ります。
  • リアルタイム スキャン: なし

ORG_POLICY_LOCATION_RESTRICTION でサポートされているアセット

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Cloud KMS アセットが削除できないためにアセットのデータが破棄された場合、対象のアセットはリージョン外に存在するとみなされません。

2 Cloud KMS インポート ジョブに制御対象のライフサイクルが設定され、早期に終了できないため、ジョブが期限切れになっており鍵のインポートに使用できなくなった場合に、ImportJob がリージョン外に存在するとはみなされません。

3 Dataflow ジョブのライフサイクルは管理できないため、ジョブは終了状態(停止、または破棄された状態)に達しており、データの処理に使用できなくなった場合にリージョン外に存在するとはみなされません。

Pub/Sub の脆弱性の検出

この検出機能タイプの脆弱性はすべて Pub/Sub 構成に関連し、PUBSUB_SCANNER タイプに属します。

検出項目 概要 アセットのスキャン設定
Pubsub CMEK disabled

API のカテゴリ名: PUBSUB_CMEK_DISABLED

検出結果の説明: Pub/Sub トピックが顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。

料金階層: プレミアム

サポートされているアセット
pubsub.googleapis.com/Topic

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

kmsKeyName フィールドで CMEK のリソース名を確認します。

  • リアルタイム スキャン: あり

SQL の脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud SQL の構成に関連し、SQL_SCANNER タイプに属します。

検出項目 概要 アセットのスキャン設定
AlloyDB auto backup disabled

API のカテゴリ名: ALLOYDB_AUTO_BACKUP_DISABLED

検出結果の説明: AlloyDB for PostgreSQL クラスタで自動バックアップが有効になっていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

AlloyDB for PostgreSQL クラスタのメタデータ内の automated_backup_policy.enabled プロパティが true に設定されているかどうかを確認します。

  • スキャンから除外されたアセット: AlloyDB for PostgreSQL セカンダリ クラスタ
  • リアルタイム スキャン: あり
AlloyDB backups disabled

API のカテゴリ名: ALLOYDB_BACKUPS_DISABLED

検出結果の説明: AlloyDB for PostgreSQL クラスタで自動バックアップが有効になっていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

AlloyDB for PostgreSQL クラスタのメタデータ内の automated_backup_policy.enabled プロパティまたは continuous_backup_policy.enabled プロパティが true に設定されているかどうかを確認します。

  • スキャンから除外されたアセット: AlloyDB for PostgreSQL セカンダリ クラスタ
  • リアルタイム スキャン: あり
AlloyDB CMEK disabled

API のカテゴリ名: ALLOYDB_CMEK_DISABLED

検出結果の説明: AlloyDB クラスタは、顧客管理の暗号鍵(CMEK)で暗号化されていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Cluster

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

クラスタ メタデータの encryption_type フィールドをチェックし、CMEK が有効かどうかを確認します。

  • リアルタイム スキャン: あり
AlloyDB log min error statement severity

API のカテゴリ名: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

検出結果の説明: AlloyDB for PostgreSQL インスタンスの log_min_error_statement データベース フラグが、error または別の推奨値に設定されていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Instances

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

ログ内のメッセージ タイプが網羅されるように、databaseFlags プロパティの log_min_error_statement フィールドが debug5debug4debug3debug2debug1infonoticewarning、またはデフォルト値 error のいずれかの値に設定されていない場合は、検出結果を生成してください。

  • リアルタイム スキャン: あり
AlloyDB log min messages

API のカテゴリ名: ALLOYDB_LOG_MIN_MESSAGES

検出結果の説明: AlloyDB for PostgreSQL インスタンスの log_min_messages データベース フラグが、warning または別の推奨値に設定されていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Instances

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

ログ内のメッセージ タイプが網羅されるように、databaseFlags プロパティの log_min_messages フィールドが debug5debug4debug3debug2debug1infonotice、またはデフォルト値 warning のいずれかの値に設定されていない場合は、検出結果を生成してください。

  • リアルタイム スキャン: あり
AlloyDB log error verbosity

API のカテゴリ名: ALLOYDB_LOG_ERROR_VERBOSITY

検出結果の説明: AlloyDB for PostgreSQL インスタンスの log_error_verbosity データベース フラグが、default または別の推奨値に設定されていません。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Instances

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

ログ内のメッセージ タイプが網羅されるように、databaseFlags プロパティの log_error_verbosity フィールドが verbose またはデフォルト値 default のいずれかに設定されていない場合は、検出結果を生成してください。

  • リアルタイム スキャン: あり
AlloyDB public IP

API のカテゴリ名: ALLOYDB_PUBLIC_IP

検出結果の説明: AlloyDB for PostgreSQL データベース インスタンスにパブリック IP アドレスが割り振られています。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Instances

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

instanceNetworkConfig プロパティの enablePublicIp フィールドが、パブリック IP アドレスを許可するように構成されているかどうかを確認します。

  • リアルタイム スキャン: あり
AlloyDB SSL not enforced

API のカテゴリ名: ALLOYDB_SSL_NOT_ENFORCED

検出結果の説明: AlloyDB for PostgreSQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていない。

料金ティア: プレミアム

サポートされているアセット
alloydb.googleapis.com/Instances

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

AlloyDB for PostgreSQL インスタンスの sslMode プロパティが ENCRYPTED_ONLY に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
Auto backup disabled

API のカテゴリ名: AUTO_BACKUP_DISABLED

検出結果の説明: Cloud SQL データベースで自動バックアップが有効になっていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Cloud SQL データの backupConfiguration.enabled プロパティが true に設定されているかどうかを確認します。

  • スキャン対象外のアセット: Cloud SQL のレプリカ
  • 追加入力: Security Health Analytics アセット ストレージから祖先の IAM 許可ポリシーを読み取ります。
  • リアルタイム スキャン: あり
Public SQL instance

API のカテゴリ名: PUBLIC_SQL_INSTANCE

検出結果の説明: Cloud SQL データベース インスタンスは、すべての IP アドレスからの接続を受け入れます。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Cloud SQL インスタンスの authorizedNetworks プロパティが単一の IP アドレスまたは IP アドレス範囲に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SSL not enforced

API のカテゴリ名: SSL_NOT_ENFORCED

検出結果の説明: Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていません。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Cloud SQL インスタンスの sslMode プロパティが、承認済みの SSL モード(ENCRYPTED_ONLY または TRUSTED_CLIENT_CERTIFICATE_REQUIRED)に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL CMEK disabled

API のカテゴリ名: SQL_CMEK_DISABLED

検出結果の説明: SQL データベース インスタンスが、顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

インスタンス メタデータの diskEncryptionKey オブジェクトの kmsKeyName フィールドで、CMEK のリソース名を確認します。

  • リアルタイム スキャン: あり
SQL contained database authentication

API のカテゴリ名: SQL_CONTAINED_DATABASE_AUTHENTICATION

検出結果の説明: Cloud SQL for SQL Server インスタンスの contained database authentication データベース フラグが off に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "contained database authentication""value": "on" を確認します。または、このプロパティがデフォルトで有効になっているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL cross DB ownership chaining

API のカテゴリ名: SQL_CROSS_DB_OWNERSHIP_CHAINING

検出結果の説明: Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "cross_db_ownership_chaining""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL external scripts enabled

API のカテゴリ名: SQL_EXTERNAL_SCRIPTS_ENABLED

検出結果の説明: Cloud SQL for SQL Server インスタンスの external scripts enabled データベース フラグが、off に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "external scripts enabled""value": "off" を確認します。

  • リアルタイム スキャン: あり
SQL local infile

API のカテゴリ名: SQL_LOCAL_INFILE

検出結果の説明: Cloud SQL for MySQL インスタンスの local_infile データベース フラグが、off に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "local_infile""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log checkpoints disabled

API のカテゴリ名: SQL_LOG_CHECKPOINTS_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_checkpoints データベース フラグが、on に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_checkpoints""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log connections disabled

API のカテゴリ名: SQL_LOG_CONNECTIONS_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_connections データベース フラグが、on に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_connections""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log disconnections disabled

API のカテゴリ名: SQL_LOG_DISCONNECTIONS_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_disconnections データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_disconnections""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log duration disabled

API のカテゴリ名: SQL_LOG_DURATION_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_duration データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.5

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_duration""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log error verbosity

API のカテゴリ名: SQL_LOG_ERROR_VERBOSITY

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_error_verbosity データベース フラグが default またはverbose に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

log_error_verbosity フィールドのインスタンス メタデータの databaseFlags プロパティが、default または verbose に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log lock waits disabled

API のカテゴリ名: SQL_LOG_LOCK_WAITS_DISABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_lock_waits データベース フラグが、on に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_lock_waits""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL log min duration statement enabled

API のカテゴリ名: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_min_duration_statement データベース フラグが「-1」に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_min_duration_statement""value": "-1" を確認します。

  • リアルタイム スキャン: あり
SQL log min error statement

API のカテゴリ名: SQL_LOG_MIN_ERROR_STATEMENT

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグが適切に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.5

databaseFlags プロパティの log_min_error_statement フィールドが、debug5debug4debug3debug2debug1infonoticewarning、またはデフォルト値 error のいずれかに設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log min error statement severity

API のカテゴリ名: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベース フラグに適切な重大度レベルが設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

databaseFlags プロパティの log_min_error_statement フィールドが、errorlogfatalpanic のいずれかの値に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log min messages

API のカテゴリ名: SQL_LOG_MIN_MESSAGES

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_min_messages データベース フラグが、warning または別の推奨値に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

ログ内のメッセージ タイプが網羅されるように、databaseFlags プロパティの log_min_messages フィールドが debug5debug4debug3debug2debug1infonotice、またはデフォルト値 warning のいずれかの値に設定されていない場合は、検出結果を生成してください。

  • リアルタイム スキャン: あり
SQL log executor stats enabled

API のカテゴリ名: SQL_LOG_EXECUTOR_STATS_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_executor_stats データベース フラグが、off に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.11

log_executor_stats フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log hostname enabled

API のカテゴリ名: SQL_LOG_HOSTNAME_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_hostname データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.8

log_hostname フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log parser stats enabled

API のカテゴリ名: SQL_LOG_PARSER_STATS_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_parser_stats データベース フラグが、off に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.9

log_parser_stats フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log planner stats enabled

API のカテゴリ名: SQL_LOG_PLANNER_STATS_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_planner_stats データベース フラグが、off に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.10

log_planner_stats フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log statement

API のカテゴリ名: SQL_LOG_STATEMENT

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_statement データベース フラグが ddl(すべてのデータ定義ステートメント)に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

log_statement フィールドのインスタンス メタデータの databaseFlags プロパティが、ddl に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log statement stats enabled

API のカテゴリ名: SQL_LOG_STATEMENT_STATS_ENABLED

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_statement_stats データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.2.12

log_statement_stats フィールドのインスタンス メタデータの databaseFlags プロパティが、on に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL log temp files

API のカテゴリ名: SQL_LOG_TEMP_FILES

検出結果の説明: Cloud SQL for PostgreSQL インスタンスの log_temp_files データベース フラグが「0」に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "log_temp_files""value": "0" を確認します。

  • リアルタイム スキャン: あり
SQL no root password

API のカテゴリ名: SQL_NO_ROOT_PASSWORD

検出結果の説明: パブリック IP アドレスを持つ Cloud SQL データベースで、ルート アカウントのパスワードが構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

ルート アカウントの rootPassword プロパティが空かどうかを確認します。

  • 追加の IAM 権限: roles/cloudsql.client
  • 追加入力: ライブ インスタンスにクエリを実行します。
  • リアルタイム スキャン: なし
SQL public IP

API のカテゴリ名: SQL_PUBLIC_IP

検出結果の説明: Cloud SQL データベースにパブリック IP アドレスが割り振られています。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Cloud SQL データベースの IP アドレスタイプがパブリックであることを示す Primary に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
SQL remote access enabled

API のカテゴリ名: SQL_REMOTE_ACCESS_ENABLED

検出結果の説明: Cloud SQL for SQL Server インスタンスの remote access データベース フラグが、off に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "remote access""value": "off" を確認します。

  • リアルタイム スキャン: あり
SQL skip show database disabled

API のカテゴリ名: SQL_SKIP_SHOW_DATABASE_DISABLED

検出結果の説明: Cloud SQL for MySQL インスタンスの skip_show_database データベース フラグが、on に設定されていません。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "skip_show_database""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL trace flag 3625

API のカテゴリ名: SQL_TRACE_FLAG_3625

検出結果の説明: Cloud SQL for SQL Server インスタンスの 3625 (trace flag) データベース フラグが、on に設定されていません。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "3625 (trace flag)""value": "on" を確認します。

  • リアルタイム スキャン: あり
SQL user connections configured

API のカテゴリ名: SQL_USER_CONNECTIONS_CONFIGURED

検出結果の説明: Cloud SQL for SQL Server インスタンスの user connections データベース フラグが構成されています。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "user connections""value": "0" を確認します。

  • リアルタイム スキャン: あり
SQL user options configured

API のカテゴリ名: SQL_USER_OPTIONS_CONFIGURED

検出結果の説明: Cloud SQL for SQL Server インスタンスの user options データベース フラグが構成されています。

料金ティア: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

インスタンス メタデータの databaseFlags プロパティで Key-Value ペア "name": "user options""value": ""(空)を確認します。

  • リアルタイム スキャン: あり
SQL weak root password

API のカテゴリ名: SQL_WEAK_ROOT_PASSWORD

検出結果の説明: パブリック IP アドレスを持つ Cloud SQL データベースで、ルート アカウントに脆弱なパスワードが構成されています。この検出機能を有効にするには、追加の構成が必要です。手順については、検出項目を有効または無効にするをご覧ください。

料金階層: プレミアム

サポートされているアセット
sqladmin.googleapis.com/Instance

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Cloud SQL データベースのルート アカウントのパスワードを共通のパスワード リストと比較します。

  • 追加の IAM 権限: roles/cloudsql.client
  • 追加入力: ライブ インスタンスにクエリを実行します。
  • リアルタイム スキャン: なし

ストレージの脆弱性の検出

この検出機能タイプの脆弱性はすべて Cloud Storage バケットの構成に関連し、STORAGE_SCANNER タイプに属します。

検出項目 概要 アセットのスキャン設定
Bucket CMEK disabled

API のカテゴリ名: BUCKET_CMEK_DISABLED

検出結果の説明: バケットは顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出器を有効または無効にするをご覧ください。

料金階層: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

バケットのメタデータに含まれる encryption フィールドで、CMEK のリソース名を確認します。

  • リアルタイム スキャン: あり
Bucket policy only disabled

API のカテゴリ名: BUCKET_POLICY_ONLY_DISABLED

検出結果の説明: 均一なバケットレベルのアクセス(旧称「バケット ポリシーのみ」)は構成されていません。

料金階層: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

バケットの uniformBucketLevelAccess プロパティが "enabled":false に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり
Public bucket ACL

API のカテゴリ名: PUBLIC_BUCKET_ACL

検出結果の説明: Cloud Storage バケットが一般公開されています。

料金階層: プレミアムまたはスタンダード

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

バケットの IAM 許可ポリシーで、allUsers または allAuthenticatedUsers の公開ロールを確認します。

  • リアルタイム スキャン: あり
Public log bucket

API のカテゴリ名: PUBLIC_LOG_BUCKET

検出結果の説明: ログシンクとして使用されるストレージ バケットが一般公開されています。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
storage.googleapis.com/Bucket

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

バケットの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル allUsers または allAuthenticatedUsers を確認します。

  • 追加入力: バケットのログシンク(ログフィルタとログの宛先)を読み取り、ログバケットであるかどうかを確認します。
  • リアルタイム スキャン: あり。ただし、バケットの IAM ポリシーが変更された場合のみ(ログシンクが変更された場合を除く)

サブネットワークの脆弱性の検出

この検出機能タイプの脆弱性はすべて、組織のサブネットワークの構成に関連し、SUBNETWORK_SCANNER タイプに属します。

検出項目 概要 アセットのスキャン設定
Flow logs disabled

API のカテゴリ名: FLOW_LOGS_DISABLED

検出結果の説明: フローログが無効になっている VPC サブネットワークがあります。

料金階層: プレミアム

サポートされているアセット
compute.googleapis.com/Subnetwork

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Compute Engine サブネットワークの enableFlowLogs プロパティが存在しないか、false に設定されているかを確認します。

  • スキャン対象外のアセット: サーバーレス VPC アクセス、ロードバランサのサブネットワーク
  • リアルタイム スキャン: あり

検出結果の説明: VPC サブネットワークで、VPC フローログがオフになっているか、CIS ベンチマーク 1.3 の推奨事項に従って構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Subnetwork

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

VPC サブネットワークの enableFlowLogs プロパティが存在しないか、false に設定されているかを確認します。VPC フローログが有効になっている場合、Aggregation Interval プロパティが 5 SEC に、Include metadatatrue に、Sample rate100% に設定されていることを確認します。

  • スキャン対象外のアセット: サーバーレス VPC アクセス、ロードバランサのサブネットワーク
  • リアルタイム スキャン: あり
Private Google access disabled

API のカテゴリ名: PRIVATE_GOOGLE_ACCESS_DISABLED

検出結果の説明: Google Public API にアクセスできないプライベート サブネットワークがあります。

料金階層: プレミアム

サポートされているアセット
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

この問題を修正する

コンプライアンス標準:

  • CIS GCP Foundation 1.0: 3.8

Compute Engine サブネットワークの privateIpGoogleAccess プロパティが false に設定されているかどうかを確認します。

  • リアルタイム スキャン: あり

AWS の検出結果

検出項目 概要 アセットのスキャン設定

AWS Cloud Shell Full Access Restricted

API のカテゴリ名: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

検出結果の説明:

AWS CloudShell は、AWS サービスに対して CLI コマンドを実行するための便利な方法です。マネージド IAM ポリシー(「AWSCloudShellFullAccess」)は、CloudShell への完全アクセス権を提供し、ユーザーのローカル システムと CloudShell 環境の間でファイルのアップロードとダウンロードを可能にします。CloudShell 環境内ではユーザーに sudo 権限が付与され、インターネットにアクセスできます。そのため、たとえばファイル転送ソフトウェアをインストールして、CloudShell から外部インターネット サーバーにデータを移動できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 1.22

AWSCloudShellFullAccess へのアクセスが制限されていることを確認してください

  • リアルタイム スキャン: なし

Access Keys Rotated Every 90 Days or Less

API のカテゴリ名: ACCESS_KEYS_ROTATED_90_DAYS_LESS

検出結果の説明:

アクセスキーは、アクセスキー ID とシークレット アクセスキーで構成されます。これらは、AWS に対するプログラムによるリクエストに署名するために使用されます。AWS ユーザーは、AWS コマンドライン インターフェース(AWS CLI)、Tools for Windows PowerShell、AWS SDK から AWS へのプログラムでの呼び出し、または個々の AWS サービスの API を使用して直接 HTTP 呼び出しを実行するために、独自のアクセスキーが必要です。すべてのアクセスキーを定期的にローテーションすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

アクセスキーが 90 日以内のサイクルでローテーションされていることを確認してください

  • リアルタイム スキャン: なし

All Expired Ssl Tls Certificates Stored Aws Iam Removed

API のカテゴリ名: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

検出結果の説明:

AWS でウェブサイトまたはアプリケーションへの HTTPS 接続を有効にするには、SSL / TLS サーバー証明書が必要です。ACM または IAM を使用して、サーバー証明書の格納とデプロイを行うことができます。
IAM を証明書マネージャーとして使用するのは、ACM でサポートされていないリージョンで HTTPS 接続をサポートする必要がある場合のみです。IAM は秘密鍵を安全に暗号化し、暗号化されたバージョンを IAM SSL 証明書ストレージに保存します。IAM は、すべてのリージョンでサーバー証明書のデプロイをサポートしていますが、AWS で使用する証明書は外部プロバイダから取得する必要があります。ACM 証明書は IAM にアップロードできません。また、IAM コンソールから証明書を管理することはできません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

AWS IAM に保存されていた期限切れの SSL / TLS 証明書がすべて削除されていることを確認してください

  • リアルタイム スキャン: なし

Autoscaling Group Elb Healthcheck Required

API のカテゴリ名: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

検出結果の説明:

これにより、ロードバランサに関連付けられた自動スケーリング グループが Elastic Load Balancing のヘルスチェックを使用しているかどうかを確認します。

これにより、ロードバランサによって提供される追加テストに基づいて、グループがインスタンスの健全性を判断できるようになります。Elastic Load Balancing ヘルスチェックを使用すると、EC2 自動スケーリング グループを使用するアプリケーションの可用性をサポートできます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2

ロードバランサに関連付けられているすべての自動スケーリング グループがヘルスチェックを使用していることを確認してください

  • リアルタイム スキャン: なし

Auto Minor Version Upgrade Feature Enabled Rds Instances

API のカテゴリ名: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

検出結果の説明:

指定したメンテナンスの時間枠内にマイナー エンジン アップグレードを自動的に受け取るために、RDS データベース インスタンスでマイナー バージョン アップグレード フラグが有効になっていることを確認します。これにより、RDS インスタンスは、データベース エンジンの新機能、バグ修正、セキュリティ パッチを取得できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

RDS インスタンスで、マイナー バージョンの自動アップグレード機能が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Aws Config Enabled All Regions

API のカテゴリ名: AWS_CONFIG_ENABLED_ALL_REGIONS

検出結果の説明:

AWS Config は、アカウント内でサポートされている AWS リソースの構成管理を行い、ログファイルを配信するウェブサービスです。記録される情報には、構成項目(AWS リソース)、構成項目(AWS リソース)間の関係、リソース間の構成変更が含まれます。AWS Config をすべてのリージョンで有効にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

すべてのリージョンで AWS Config が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Aws Security Hub Enabled

API のカテゴリ名: AWS_SECURITY_HUB_ENABLED

検出結果の説明:

Security Hub は、AWS アカウント、サービス、サポートされているパートナー事業者のプロダクトからセキュリティ データを収集して、セキュリティの傾向を分析し、優先度が最も高いセキュリティ問題を特定するのに役立ちます。Security Hub を有効にすると、有効にした AWS サービス(Amazon GuardDuty、Amazon Inspector、Amazon Macie など)の検出結果の使用、集計、整理、優先付けが開始されます。AWS のパートナー セキュリティ プロダクトとのインテグレーションを有効にすることもできます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

AWS Security Hub が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Cloudtrail Logs Encrypted Rest Using Kms Cmks

API のカテゴリ名: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

検出結果の説明:

AWS CloudTrail は、アカウントの AWS API 呼び出しを記録し、IAM ポリシーに従ってユーザーとリソースがこれらのログを利用できるようにするウェブサービスです。AWS 鍵管理サービス(KMS)は、アカウント データの暗号化に使用する暗号鍵の作成と制御を支援するマネージド サービスで、ハードウェア セキュリティ モジュール(HSM)を使用して暗号鍵のセキュリティを保護します。CloudTrailログは、サーバー側での暗号化(SSE)と KMS のお客様が作成したマスターキー(CMK)を活用して、CloudTrail ログをさらに保護するように構成できます。SSE-KMS を使用するように CloudTrail を構成することをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

CloudTrail ログが保存時に KMS CMK で暗号化されていることを確認してください

  • リアルタイム スキャン: なし

Cloudtrail Log File Validation Enabled

API のカテゴリ名: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

検出結果の説明:

CloudTrail ログファイルの検証では、CloudTrail が S3 に書き込む各ログのハッシュを含むデジタル署名されたダイジェスト ファイルが作成されます。これらのダイジェスト ファイルを使用すると、CloudTrail がログを配信した後にログファイルが変更されたか、削除されたか、変更されていないかを判断できます。すべての CloudTrail でファイル検証を有効にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

CloudTrail ログファイルの検証が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Cloudtrail Trails Integrated Cloudwatch Logs

API のカテゴリ名: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

検出結果の説明:

AWS CloudTrail は、特定の AWS アカウントで行われた AWS API 呼び出しを記録するウェブサービスです。記録される情報には、API 呼び出し元の ID、API 呼び出しの時刻、API 呼び出し元のソース IP アドレス、リクエスト パラメータ、AWS サービスから返されるレスポンス要素が含まれます。CloudTrail は、ログファイルの保存と配信に Amazon S3 を使用するため、ログファイルは永続的に保存されます。長期分析のために指定した S3 バケット内の CloudTrail ログをキャプチャするだけでなく、CloudWatch Logs にログを送信するように CloudTrail を構成することでリアルタイム分析を実行できます。アカウント内のすべてのリージョンで有効になっている証跡の場合、CloudTrail はすべてのリージョンのログファイルを CloudWatch Logs ロググループに送信します。CloudTrail ログを CloudWatch Logs に送信することをおすすめします。

注: この推奨事項の目的は、AWS アカウントのアクティビティキャプチャされ、監視され、適切に警告されるようにすることです。CloudWatch Logs は、AWS サービスを使用してこれを行うネイティブな方法ですが、代替ソリューションの使用が排除されるわけではありません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

CloudTrail トレイルが CloudWatch Logs に統合されていることを確認してください

  • リアルタイム スキャン: なし

Cloudwatch Alarm Action Check

API のカテゴリ名: CLOUDWATCH_ALARM_ACTION_CHECK

検出結果の説明:

これにより、Amazon Cloudwatch で、アラームが「OK」、「ALARM」、「INSUFFICIENT_DATA」の状態の間で遷移したときのアクションが定義されているかどうかがチェックされます。

Amazon CloudWatch のアラームで ALARM 状態に対するアクションを構成することは、モニタリング対象指標のしきい値に達したときに即時に応答するために非常に重要です。
これにより、問題を迅速に解決し、ダウンタイムを低減できます。また、自動修正やシステムの健全性の維持、システム停止の防止を実現できます。

アラームには少なくとも 1 つのアクションがあります。
アラームが他の状態から「INSUFFICIENT_DATA」状態に移行するとき、アラームには少なくとも 1 つのアクションがあります。
(省略可)アラームが他の状態から「OK」状態に移行すると、アラームには少なくとも 1 つのアクションがあります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-20

CloudWatch アラームで、少なくとも 1 つのアラーム アクション、1 つの INSUFFICIENT_DATA アクション、1 つの OK アクションのいずれかが有効になっているかどうかを確認してください。

  • リアルタイム スキャン: なし

Cloudwatch Log Group Encrypted

API のカテゴリ名: CLOUDWATCH_LOG_GROUP_ENCRYPTED

検出結果の説明:

このチェックにより、CloudWatch ログが KMS で構成されていることを確認できます。

ロググループのデータは、CloudWatch Logging で常に暗号化されます。デフォルトでは、CloudWatch Logs は保存ログデータにサーバーサイド暗号化を使用します。この暗号化には、代わりに AWS 鍵管理サービスを使用できます。暗号化が必要な場合は、AWS KMS 鍵を使用して暗号化が行われます。AWS KMS を使用した暗号化は、ロググループの作成時または作成後に KMS 鍵をロググループに関連付けることで、ロググループ レベルで有効になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 3.4

Amazon CloudWatch Logs のすべてのロググループが KMS を使用して暗号化されていることを確認してください

  • リアルタイム スキャン: なし

CloudTrail CloudWatch Logs Enabled

API のカテゴリ名: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

検出結果の説明:

このコントロールは、CloudWatch Logs にログを送信するように CloudTrail の証跡が構成されているかどうかを確認します。証跡の CloudWatchLogsLogGroupArn プロパティが空の場合、コントロールは失敗します。

CloudTrail は、特定のアカウントで行われた AWS API 呼び出しを記録します。記録される情報には次のようなものがあります。

  • API 呼び出し元の ID
  • API 呼び出しの時間
  • API 呼び出し元の送信元 IP アドレス
  • リクエストのパラメータ
  • AWS サービスから返されたレスポンス要素

CloudTrail は、ログファイルの保存と配信に Amazon S3 を使用します。長期的な分析のために、指定した S3 バケット内の CloudTrail ログをキャプチャできます。リアルタイム分析を実行するには、CloudWatch Logs にログを送信するように CloudTrail を構成します。

アカウント内のすべてのリージョンで有効になっている証跡の場合、CloudTrail はすべてのリージョンから CloudWatch Logs ロググループにログファイルを送信します。

Security Hub では、CloudTrail ログを CloudWatch Logs に送信することをおすすめします。この推奨事項は、アカウント アクティビティを確実にキャプチャ、モニタリングし、適切に警告することを目的としています。CloudWatch Logs を使用して、AWS サービスでこれを設定できます。この推奨事項は、別のソリューションの使用を排除するものではありません。

CloudTrail のログを CloudWatch Logs に送信すると、ユーザー、API、リソース、IP アドレスに基づいたリアルタイムと過去のアクティビティ ロギングが容易になります。この方法を使用すると、異常なアカウント アクティビティや機密性の高いアカウント アクティビティに対するアラームと通知を設定できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

すべての CloudTrail トレイルが AWS CloudWatch にログを送信するように構成されていることを確認してください

  • リアルタイム スキャン: なし

No AWS Credentials in CodeBuild Project Environment Variables

API のカテゴリ名: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

検出結果の説明:

これにより、プロジェクトに環境変数 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY が含まれているかどうかをチェックします。

認証情報 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY は、意図しないデータ漏洩や不正アクセスにつながる可能性があるため、クリアテキストで保存しないでください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5, SA-3

環境変数 AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY を含むすべてのプロジェクトが平文でないことを確認してください

  • リアルタイム スキャン: なし

Codebuild Project Source Repo Url Check

API のカテゴリ名: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

検出結果の説明:

これにより、AWS CodeBuild プロジェクトの Bitbucket ソース リポジトリ URL に個人用アクセス トークンが含まれているか、ユーザー名とパスワードが含まれているかをチェックします。Bitbucket ソース リポジトリの URL に個人用アクセス トークンまたはユーザー名とパスワードが含まれている場合、コントロールは失敗します。

ログイン認証情報を、クリアテキストで保存または送信することや、ソース リポジトリの URL に表示することはしないでください。個人用アクセス トークンまたはログイン認証情報の代わりに、CodeBuild でソース プロバイダにアクセスし、ソース リポジトリの URL を変更して Bitbucket リポジトリのロケーションへのパスのみを含める必要があります。個人用のアクセス トークンやログイン認証情報を使用すると、意図しないデータ漏洩や不正アクセスが発生する可能性があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

github または bitbucket をソースとして使用するすべてのプロジェクトが OAuth を使用していることを確認してください

  • リアルタイム スキャン: なし

Credentials Unused 45 Days Greater Disabled

API のカテゴリ名: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

検出結果の説明:

AWS IAM ユーザーは、パスワードやアクセスキーなど、さまざまな種類の認証情報を使用して AWS リソースにアクセスできます。45 日以上未使用の認証情報はすべて無効にするか削除することをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

45 日以上使用されていない認証情報が無効になっていることを確認してください

  • リアルタイム スキャン: なし

Default Security Group Vpc Restricts All Traffic

API のカテゴリ名: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

検出結果の説明:

VPC にはデフォルトのセキュリティ グループがあり、初期設定では、すべてのインバウンド トラフィックが拒否され、すべてのアウトバウンド トラフィックが許可され、セキュリティ グループに割り当てられたインスタンス間のすべてのトラフィックが許可されます。インスタンスを起動するときにセキュリティ グループを指定しない場合、インスタンスは自動的にこのデフォルト セキュリティ グループに割り当てられます。セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。デフォルト セキュリティ グループですべてのトラフィックを制限することをおすすめします。

すべてのリージョンのデフォルトの VPC では、準拠するようにデフォルトのセキュリティ グループを更新する必要があります。新しく作成された VPC には、この推奨事項に準拠する修復が必要なデフォルトのセキュリティ グループが自動的に含まれます。

注: この推奨事項を実装する際には、VPC フローロギングによって現在のセキュリティ グループで発生したすべてのパケットの受け入れと拒否をログに記録できるため、システムが正常に動作するために必要な最小権限のポートアクセスを決定するうえで、VPC フローロギングが役立ちます。これにより、環境内のシステムで必要とされる最小限のポートの検出、すなわち最小権限エンジニアリングへの主要な障壁が劇的に軽減します。このベンチマークの VPC フローロギングの推奨事項が永続的なセキュリティ対策として導入されていない場合でも、最小限の権限のセキュリティ グループの検出とエンジニアリングの実行中に使用する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

それぞれの VPC のデフォルト セキュリティ グループがすべてのトラフィックを制限することを確認してください

  • リアルタイム スキャン: なし

Dms Replication Not Public

API のカテゴリ名: DMS_REPLICATION_NOT_PUBLIC

検出結果の説明:

AWS DMS レプリケーション インスタンスがパブリックかどうかを確認します。これを行うには、PubliclyAccessible フィールドの値を調べます。

プライベート レプリケーション インスタンスにはプライベート IP アドレスがあり、レプリケーション ネットワークの外部からアクセスすることはできません。ソース データベースとターゲット データベースが同じネットワークにある場合、レプリケーション インスタンスにはプライベート IP アドレスが必要です。また、ネットワークは、VPN、AWS Direct Connect、または VPC ピアリングを使用してレプリケーション インスタンスの VPC に接続する必要があります。パブリック レプリケーション インスタンスとプライベート レプリケーション インスタンスの詳細については、AWS Database Migration Service ユーザーガイドのパブリック レプリケーション インスタンスとプライベート レプリケーション インスタンスをご覧ください。

また、AWS DMS インスタンス構成へのアクセスが、承認されたユーザーのみに制限されていることも確認する必要があります。これを行うには、AWS DMS の設定とリソースを変更するユーザーの IAM 権限を制限します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

AWS Database Migration Service レプリケーション インスタンスがパブリックかどうかを確認してください

  • リアルタイム スキャン: なし

Do Setup Access Keys During Initial User Setup All Iam Users Console

API のカテゴリ名: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

検出結果の説明:

AWS コンソールでは、新しい IAM ユーザーの作成時に、デフォルトでチェックボックスがオンになっていません。IAM ユーザー認証情報を作成するときに、必要なアクセス権の種類を決定する必要があります。

プログラムからのアクセス: IAM ユーザーは、API 呼び出し、AWS CLI の使用、または Windows PowerShell のツールの使用が必要になる場合があります。その場合は、そのユーザーのアクセスキー(アクセスキー ID とシークレット アクセスキー)を作成します。

AWS 管理コンソールへのアクセス: ユーザーが AWS 管理コンソールにアクセスする必要がある場合、ユーザーのパスワードを作成します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

コンソール パスワードを持つすべての IAM ユーザーには、初期ユーザー設定時にアクセスキーを設定しないでください

  • リアルタイム スキャン: なし

Dynamodb Autoscaling Enabled

API のカテゴリ名: DYNAMODB_AUTOSCALING_ENABLED

検出結果の説明:

これにより、Amazon DynamoDB テーブルが、必要に応じて読み取りおよび書き込み容量をスケーリングできるかどうかを確認します。このコントロールは、テーブルがオンデマンド容量モードまたは自動スケーリングが構成されたプロビジョニング モードのいずれかを使用している場合にパスします。需要に応じて容量をスケーリングすると、スロットリング例外を回避でき、アプリケーションの可用性を維持できます。

オンデマンド容量モードの DynamoDB テーブルは、DynamoDB スループットのデフォルトのテーブル割り当てによってのみ制限されます。これらの割り当てを増やすには、AWS サポートからサポート チケットを提出します。

自動スケーリングが有効なプロビジョニング モードの DynamoDB テーブルは、トラフィック パターンに応じてプロビジョニングされたスループット容量を動的に調整します。DynamoDB リクエスト スロットリングについて詳しくは、Amazon DynamoDB デベロッパー ガイドの「リクエスト スロットリングとバースト容量」をご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

DynamoDB テーブルは需要に合わせて容量を自動的にスケーリングする必要があります

  • リアルタイム スキャン: なし

Dynamodb In Backup Plan

API のカテゴリ名: DYNAMODB_IN_BACKUP_PLAN

検出結果の説明:

このコントロールは、DynamoDB テーブルがバックアップ プランの対象かどうかを評価します。DynamoDB テーブルがバックアップ プランの対象とならない場合、コントロールは失敗します。このコントロールは、アクティブ状態の DynamoDB テーブルのみを評価します。

バックアップを使用すると、セキュリティ インシデントからより速やかに復旧できます。また、システムのレジリエンスも強化されます。バックアップ プランに DynamoDB テーブルを含めると、意図しない損失や削除からデータを保護できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

DynamoDB テーブルはバックアップ プランの対象にする必要があります

  • リアルタイム スキャン: なし

Dynamodb Pitr Enabled

API のカテゴリ名: DYNAMODB_PITR_ENABLED

検出結果の説明:

ポイントインタイム リカバリ(PITR)は、DynamoDB テーブルをバックアップするためのメカニズムの 1 つです。

ポイントインタイムのバックアップは 35 日間保持されます。長期保存が必要な場合は、AWS ドキュメントの AWS Backup を使用して Amazon DynamoDB のスケジュールされたバックアップを設定するをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

すべての AWS DynamoDB テーブルでポイントインタイム リカバリ(PITR)が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Dynamodb Table Encrypted Kms

API のカテゴリ名: DYNAMODB_TABLE_ENCRYPTED_KMS

検出結果の説明:

すべての DynamoDB テーブルが、顧客管理の KMS 鍵(デフォルト以外)で暗号化されているかどうかを確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)

すべての DynamoDB テーブルが AWS Key Management Service(KMS)で暗号化されていることを確認してください

  • リアルタイム スキャン: なし

Ebs Optimized Instance

API のカテゴリ名: EBS_OPTIMIZED_INSTANCE

検出結果の説明:

EBS 用に最適化できる EC2 インスタンスで EBS の最適化が有効になっているかどうかを確認します

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-5(2)

EBS 最適化をサポートするすべてのインスタンスで EBS 最適化が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Ebs Snapshot Public Restorable Check

API のカテゴリ名: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

検出結果の説明:

Amazon Elastic Block Store スナップショットが公開されていないかどうかを確認します。Amazon EBS スナップショットが誰でも復元可能である場合、コントロールは失敗します。

EBS スナップショットは、特定の時点で EBS ボリューム上のデータを Amazon S3 へバックアップするのに使用されます。スナップショットを使用して、EBS ボリュームの以前の状態を復元できます。スナップショットを一般公開することが許容されることはほとんどありません。通常、スナップショットを一般公開する決定は誤りか、その影響を十分に理解することなく行われたものです。このチェックにより、そのような共有がすべて完全に計画され、意図されたものであることを確認できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Amazon EBS スナップショットは公的に復元可能であってはなりません

  • リアルタイム スキャン: なし

Ebs Volume Encryption Enabled All Regions

API のカテゴリ名: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

検出結果の説明:

Elastic Compute Cloud(EC2)は、Elastic Block Store(EBS)サービスを使用する場合の保存時の暗号化をサポートしています。デフォルトでは無効になっていますが、EBS ボリューム作成時の強制暗号化がサポートされています。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

すべてのリージョンで EBS ボリュームの暗号化が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Ec2 Instances In Vpc

API のカテゴリ名: EC2_INSTANCES_IN_VPC

検出結果の説明:

Amazon VPC は、EC2 Classic よりも多くのセキュリティ機能を提供します。すべてのノードを Amazon VPC に所属させることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7

すべてのインスタンスが VPC に属していることを確認してください

  • リアルタイム スキャン: なし

Ec2 Instance No Public Ip

API のカテゴリ名: EC2_INSTANCE_NO_PUBLIC_IP

検出結果の説明:

パブリック IP アドレスを持つ EC2 インスタンスは、侵害されるリスクが高くなります。EC2 インスタンスは、パブリック IP アドレスで構成しないようにすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

インスタンスにパブリック IP がないことを確認してください

  • リアルタイム スキャン: なし

Ec2 Managedinstance Association Compliance Status Check

API のカテゴリ名: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

検出結果の説明:

State Manager の関連付けは、マネージド インスタンスに割り当てられる構成です。この構成では、インスタンスで維持する状態を定義します。関連付けでは、たとえば、インスタンスにウイルス対策ソフトウェアをインストールして実行する必要があることや、特定のポートを閉じる必要があることを指定できます。AWS Systems Managerと関連付けられている EC2 インスタンスは Systems Manager の管理下にあるため、パッチの適用、構成ミスの修正、セキュリティ イベントへの対応が容易になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 6.2

AWS システム マネージャーの関連付けのコンプライアンス ステータスを確認します

  • リアルタイム スキャン: なし

Ec2 Managedinstance Patch Compliance Status Check

API のカテゴリ名: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

検出結果の説明:

このコントロールは、インスタンスで関連付けが実行された後、AWS Systems Manager の関連付けのコンプライアンス ステータスが COMPLIANT または NON_COMPLIANT かどうかを確認します。関連付けのコンプライアンス ステータスが NON_COMPLIANT の場合、コントロールは失敗します。

State Manager の関連付けは、マネージド インスタンスに割り当てられる構成です。この構成では、インスタンスで維持する状態を定義します。関連付けでは、たとえば、インスタンスにウイルス対策ソフトウェアをインストールして実行する必要があることや、特定のポートを閉じる必要があることを指定できます。

1 つ以上の State Manager の関連付けを作成すると、コンプライアンス ステータス情報を直ちに入手できます。コンプライアンス ステータスは、コンソールで、または AWS CLI コマンドや対応する Systems Manager API アクションに応答して確認できます。関連付けについては、[設定のコンプライアンス] にコンプライアンス ステータス(準拠または非準拠)が表示されます。また、関連付けに割り当てられた重大度レベル(重大、中など)も表示されます。

State Manager の関連付けのコンプライアンスの詳細については、AWS Systems Manager ユーザーガイドの State Manager の関連付けのコンプライアンスについてをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

AWS Systems Manager のパッチ コンプライアンスのステータスを確認してください

  • リアルタイム スキャン: なし

Ec2 Metadata Service Allows Imdsv2

API のカテゴリ名: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

検出結果の説明:

AWS EC2 インスタンスでメタデータ サービスを有効にする場合、ユーザーはインスタンス メタデータ サービス バージョン 1(IMDSv1、リクエスト / レスポンス メソッド)またはインスタンス メタデータ サービス バージョン 2(IMDSv2、セッション指向メソッド)のいずれかを使用できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

EC2 メタデータ サービスが IMDSv2 のみを許可するようにしてください

  • リアルタイム スキャン: なし

Ec2 Volume Inuse Check

API のカテゴリ名: EC2_VOLUME_INUSE_CHECK

検出結果の説明:

AWS の毎月の請求費用を削減するために、AWS アカウントでアタッチされていない(未使用の)Elastic Block Store(EBS)ボリュームを特定して削除します。未使用の EBS ボリュームを削除することで、機密データやセンシティブ データがプレミスから漏洩するリスクも軽減されます。さらに、このコントロールでは、EC2 インスタンスが終了時にボリュームを削除するように構成されたかどうかも確認します。

デフォルトでは、EC2 インスタンスは、インスタンスに関連付けられているすべての EBS ボリュームのデータと、インスタンスのルート EBS ボリュームを削除するように構成されています。ただし、起動時または実行中にインスタンスにアタッチされたルート以外の EBS ボリュームは、デフォルトで終了後に保持されます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: CM-2

EBS ボリュームが EC2 インスタンスにアタッチされており、インスタンスの終了時に削除されるように構成されているかどうかを確認してください

  • リアルタイム スキャン: なし

Efs Encrypted Check

API のカテゴリ名: EFS_ENCRYPTED_CHECK

検出結果の説明:

Amazon EFS では、ファイル システムの暗号化形式として、転送中のデータの暗号化と保存データの暗号化の 2 つをサポートしています。これにより、アカウントで有効なすべてのリージョンで、すべての EFS ファイル システムに保存データの暗号化が構成されていることを確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

KMS を使用してファイルデータを暗号化するように EFS が構成されているかどうかを確認してください

  • リアルタイム スキャン: なし

Efs In Backup Plan

API のカテゴリ名: EFS_IN_BACKUP_PLAN

検出結果の説明:

Amazon のベスト プラクティスでは、Elastic File System(EFS)のバックアップを構成することを推奨しています。これにより、AWS アカウントの有効なすべてのリージョンで、有効なバックアップについてすべての EFS を確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

EFS ファイル システムが AWS バックアップ プランに含まれているかどうかを確認してください

  • リアルタイム スキャン: なし

Elb Acm Certificate Required

API のカテゴリ名: ELB_ACM_CERTIFICATE_REQUIRED

検出結果の説明:

従来型ロードバランサが AWS Certificate Manager(ACM)によって提供される HTTPS/SSL 証明書を使用するかどうかを確認します。HTTPS/SSL リスナーで構成された従来型ロードバランサが ACM から提供された証明書を使用しない場合、コントロールは失敗します。

証明書を作成するには、ACM または SSL プロトコルと TLS プロトコルをサポートするツール(OpenSSL など)を使用します。Security Hub では、ACM を使用してロードバランサの証明書を作成またはインポートすることをおすすめします。

ACM は従来型ロードバランサと統合されているため、ロードバランサに証明書をデプロイできます。また、これらの証明書を自動更新する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

すべての従来型ロードバランサで AWS Certificate Manager が提供する SSL 証明書を使用していることを確認してください

  • リアルタイム スキャン: なし

Elb Deletion Protection Enabled

API のカテゴリ名: ELB_DELETION_PROTECTION_ENABLED

検出結果の説明:

アプリケーション ロードバランサで削除からの保護が有効になっているかどうかを確認します。削除保護が構成されていない場合、コントロールは失敗します。

削除保護を有効にして、アプリケーション ロードバランサを削除から保護します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-5(2)

アプリケーション ロードバランサの削除保護を有効にする必要があります

  • リアルタイム スキャン: なし

Elb Logging Enabled

API のカテゴリ名: ELB_LOGGING_ENABLED

検出結果の説明:

これにより、アプリケーション ロードバランサと従来型ロードバランサでロギングが有効になっているかどうかを確認します。access_logs.s3.enabled が false の場合、このコントロールは失敗します。

Elastic Load Balancing には、ロードバランサに送信されたリクエストの詳細情報をキャプチャするアクセスログが用意されています。各ログには、リクエストの受信時間、クライアントの IP アドレス、レイテンシ、リクエストパス、サーバー レスポンスなどの情報が含まれます。これらのアクセスログを使用して、トラフィック パターンを分析し、問題のトラブルシューティングを行うことができます。

詳細については、従来型ロードバランサのユーザーガイドの 従来型ロードバランサのログにアクセスするをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

従来型ロードバランサとアプリケーション ロードバランサのロギングが有効になっているかどうかを確認してください

  • リアルタイム スキャン: なし

Elb Tls Https Listeners Only

API のカテゴリ名: ELB_TLS_HTTPS_LISTENERS_ONLY

検出結果の説明:

このチェックにより、すべての従来のロードバランサが安全な通信を使用するように構成されていることを確認します。

リスナーは接続リクエストを確認するプロセスです。フロントエンド(クライアントからロードバランサ)接続用のプロトコルとポート、バックエンド(ロードバランサからインスタンス)接続用のプロトコルとポートで構成されます。Elastic Load Balancing でサポートされているポート、プロトコル、リスナー構成については、従来型ロードバランサのリスナーをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)

すべての従来型ロードバランサが SSL リスナーまたは HTTPS リスナーを使用して構成されていることを確認してください

  • リアルタイム スキャン: なし

Encrypted Volumes

API のカテゴリ名: ENCRYPTED_VOLUMES

検出結果の説明:

アタッチされた状態の EBS ボリュームが暗号化されているかどうかを確認します。このチェックに合格するには、EBS ボリュームが使用されていて暗号化されている必要があります。EBS ボリュームがアタッチされていない場合、このチェックの対象ではありません。

EBS ボリューム内の機密データをさらに保護するには、EBS の保存時暗号化を有効にする必要があります。Amazon EBS の暗号化により、独自の鍵管理インフラストラクチャを構築、維持、保護しなくても、EBS リソース用の簡単な暗号化ソリューションが提供されます。暗号化されたボリュームとスナップショットを作成するときに、KMS 鍵が使用されます。

Amazon EBS の暗号化の詳細については、Linux インスタンス用の Amazon EC2 ユーザーガイドの Amazon EBS 暗号化をご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

アタッチされた Amazon EBS ボリュームは保存時に暗号化される必要があります

  • リアルタイム スキャン: なし

Encryption At Rest Enabled Rds Instances

API のカテゴリ名: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

検出結果の説明:

Amazon RDS 暗号化 DB インスタンスは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon RDS DB インスタンスをホストするサーバーでデータを暗号化します。データを暗号化した後、Amazon RDS は、パフォーマンスへの影響を最小限に抑えながら、データのアクセス認証と復号を透過的に処理します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

RDS インスタンスに対して保存データの暗号化が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Encryption Enabled Efs File Systems

API のカテゴリ名: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

検出結果の説明:

EFS データは、AWS KMS(鍵管理サービス)を使用して保存時に暗号化する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

EFS ファイル システムで暗号化が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Iam Password Policy

API のカテゴリ名: IAM_PASSWORD_POLICY

検出結果の説明:

AWS では、AWS アカウントのカスタム パスワード ポリシーで、IAM ユーザーのパスワードに複雑な要件と必須のローテーション期間を指定できます。カスタム パスワード ポリシーを設定しない場合、IAM ユーザーのパスワードはデフォルトの AWS パスワード ポリシーを満たす必要があります。AWS のセキュリティに関するベスト プラクティスでは、次のパスワードの複雑さの要件が推奨されています。

  • パスワードに大文字を 1 つ以上含めることを必須とします。
  • パスワードに小文字を 1 つ以上含めることを必須とします。
  • パスワードに記号を 1 つ以上含めることを必須とします。
  • パスワードに 1 つ以上の数字を含めることを必須とします。
  • パスワードは 14 文字以上にすることを必須とします。
  • 再利用を許可する前に 24 個以上のパスワードを必須とします。
  • パスワードの有効期限は 90 日以上を必須とします

このコントロールにより、指定されたすべてのパスワード ポリシー要件が確認されます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

IAM ユーザーのアカウント パスワード ポリシーで指定の要件が満たされているかどうかを確認してください

  • リアルタイム スキャン: なし

Iam Password Policy Prevents Password Reuse

API のカテゴリ名: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

検出結果の説明:

IAM パスワード ポリシーを使用すると、同じユーザーが特定のパスワードを再利用しないようにできます。パスワード ポリシーで、パスワードの再利用を防止することをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

IAM パスワード ポリシーでパスワードの再利用が禁止されていることを確認してください

  • リアルタイム スキャン: なし

Iam Password Policy Requires Minimum Length 14 Greater

API のカテゴリ名: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

検出結果の説明:

パスワード ポリシーの一部は、パスワードの複雑さに関する要件を適用するために使用されます。IAM パスワード ポリシーを使用すると、パスワードが特定の長さ以上であることを確認できます。パスワード ポリシーでは、最小のパスワードの長さを 14 文字にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

IAM パスワード ポリシーで 14 文字以上の長さが必須になっていることを確認してください

  • リアルタイム スキャン: なし

Iam Policies Allow Full Administrative Privileges Attached

API のカテゴリ名: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

検出結果の説明:

IAM ポリシーは、ユーザー、グループ、ロールに権限を付与する手段です。一般的なセキュリティに関するアドバイスとして「最小権限」を付与する(つまり、タスクの実行に必要な権限のみを付与する)ことが推奨されます。ユーザーが行う必要がある操作を決定し、完全な管理者権限を許可するのではなく、ユーザーがそのタスクのみを実行できるようにするポリシーを作成します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

完全な管理者権限(*:*)を許可する IAM ポリシーがアタッチされていないことを確認してください

  • リアルタイム スキャン: なし

Iam Users Receive Permissions Groups

API のカテゴリ名: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

検出結果の説明:

IAM ユーザーに、IAM ポリシーによってサービス、関数、データへのアクセス権が付与されます。ユーザーのポリシーを定義するには、次の 4 つの方法があります。1)ユーザー ポリシーを直接編集する。別名インライン ポリシー、またはユーザー、ポリシー。2)ポリシーをユーザーに直接アタッチする。3)ポリシーがアタッチされている IAM グループにユーザーを追加する。4)インライン ポリシーを持つ IAM グループにユーザーを追加する。

3 つ目の実装のみをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

IAM ユーザーがグループを介してのみ権限を取得していることを確認してください

  • リアルタイム スキャン: なし

Iam User Group Membership Check

API のカテゴリ名: IAM_USER_GROUP_MEMBERSHIP_CHECK

検出結果の説明:

IAM のセキュリティのベスト プラクティスに準拠するには、IAM ユーザーは常に IAM グループに属している必要があります。

グループにユーザーを追加することで、ユーザータイプ間でポリシーを共有できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-6

IAM ユーザーが少なくとも 1 つの IAM グループのメンバーであるかどうかを確認してください

  • リアルタイム スキャン: なし

Iam User Mfa Enabled

API のカテゴリ名: IAM_USER_MFA_ENABLED

検出結果の説明:

多要素認証(MFA)は、ユーザー名とパスワードの上に保護レイヤを追加できるベスト プラクティスです。MFA では、ユーザーが AWS 管理コンソールにログインする際に、登録済みの仮想デバイスまたは実機で提供される、時間的制約のある認証コードの入力を求められます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • PCI-DSS v3.2.1: 8.3.2

AWS IAM ユーザーが多要素認証(MFA)を有効にしていることを確認してください

  • リアルタイム スキャン: なし

Iam User Unused Credentials Check

API のカテゴリ名: IAM_USER_UNUSED_CREDENTIALS_CHECK

検出結果の説明:

これにより、過去 90 日間に使用されていない IAM パスワードまたはアクティブなアクセスキーを確認します。

ベストプラクティスでは、90 日以上使用されていないすべての認証情報を削除、無効化、またはローテーションすることをおすすめします。これにより、不正使用されたアカウントや放棄されたアカウントに関連付けられた認証情報が使用される機会が減少します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

すべての AWS IAM ユーザーが、maxCredentialUsageAge 日間使用されていないパスワードまたはアクティブなアクセスキーを持っていることを確認してください(デフォルトは 90 日)

  • リアルタイム スキャン: なし

Kms Cmk Not Scheduled For Deletion

API のカテゴリ名: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

検出結果の説明:

このコントロールでは、KMS 鍵が削除されるようにスケジュールされているかどうかを確認します。KMS 鍵の削除がスケジュールされている場合、コントロールは失敗します。

削除した KMS キーを復元することはできません。KMS 鍵で暗号化されたデータも、KMS 鍵が削除されると完全に回復不能となります。削除がスケジュールされている KMS 鍵で意味のあるデータが暗号化されている場合は、暗号消去を意図的に実行していない限り、データを復号するか、新しい KMS 鍵でデータを再暗号化することを検討してください。

KMS 鍵の削除がスケジュールされているときには、必須の待機期間が適用され、誤って削除されるようにスケジュールされていた場合に削除を元に戻すことができます。デフォルトの待機期間は 30 日間ですが、KMS 鍵の削除がスケジュールされている場合は 7 日間に短縮できます。待機期間中は、スケジュール設定された削除をキャンセルでき、KMS 鍵は削除されません。

KMS 鍵の削除の詳細については、AWS Key Management Service デベロッパー ガイドの KMS 鍵の削除をご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-12

すべての CMK で削除がスケジュールされていないことを確認してください

  • リアルタイム スキャン: なし

Lambda Concurrency Check

API のカテゴリ名: LAMBDA_CONCURRENCY_CHECK

検出結果の説明:

Lambda 関数に関数レベルの同時実行制限が構成されているかどうかを確認します。Lambda 関数が関数レベルの同時実行制限で構成されていない場合、ルールは NON_COMPLIANT になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

Lambda 関数に関数レベルの同時実行制限が構成されているかどうかを確認してください

  • リアルタイム スキャン: なし

Lambda Dlq Check

API のカテゴリ名: LAMBDA_DLQ_CHECK

検出結果の説明:

Lambda 関数にデッドレター キューで構成されているかどうかを確認します。Lambda 関数がデッドレター キューで構成されていない場合、ルールは NON_COMPLIANT です。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2

Lambda 関数にデッドレター キューが構成されていることを確認してください

  • リアルタイム スキャン: なし

Lambda Function Public Access Prohibited

API のカテゴリ名: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

検出結果の説明:

AWS のベスト プラクティスでは、Lambda 関数を公開しないことをおすすめします。このポリシーは、アカウント内のすべての有効なリージョンでデプロイされたすべての Lambda 関数を確認し、公開アクセスを許可するように構成されている場合は失敗します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Lambda 関数にアタッチされたポリシーが公開アクセスを禁止しているかどうかを確認してください

  • リアルタイム スキャン: なし

Lambda Inside Vpc

API のカテゴリ名: LAMBDA_INSIDE_VPC

検出結果の説明:

Lambda 関数が VPC 内にあるかどうかを確認します。Lambda@Edge リソースで失敗した検出結果が表示されることがあります。

VPC サブネット ルーティング構成の評価は、公開ネットワーク到達性を判断しません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Lambda 関数が VPC 内に存在することを確認してください

  • リアルタイム スキャン: なし

Mfa Delete Enabled S3 Buckets

API のカテゴリ名: MFA_DELETE_ENABLED_S3_BUCKETS

検出結果の説明:

プライベートで機密性の高い S3 バケットで MFA 削除を有効にすると、ユーザーは 2 つの形式の認証が必要になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

S3 バケットで MFA の削除が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Mfa Enabled Root User Account

API のカテゴリ名: MFA_ENABLED_ROOT_USER_ACCOUNT

検出結果の説明:

「root」ユーザー アカウントは、AWS アカウント内で最も権限のあるユーザーです。多要素認証(MFA)によって、ユーザー名とパスワードに加えてさらに保護が強化されます。MFA を有効にすると、ユーザーが AWS ウェブサイトにログインするときに、ユーザー名とパスワードおよび AWS MFA デバイスの認証コードの入力を求められます。

注:「root」アカウントに仮想 MFA を使用する場合は、個人用デバイスではなく、個人用のデバイスとは別に充電され、保護されるように管理された専用のモバイル デバイス(タブレットまたはスマートフォン)を使用することをおすすめします。(「非個人用の仮想 MFA」)これにより、デバイスの紛失、デバイスの下取り、またはデバイスを所有している個人が会社を退職した場合に MFA にアクセスできなくなるリスクを軽減できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

「root」ユーザー アカウントで MFA が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Multi Factor Authentication Mfa Enabled All Iam Users Console

API のカテゴリ名: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

検出結果の説明:

多要素認証(MFA)では、従来の認証情報に加えて、認証保証が追加されます。MFA を有効にすると、ユーザーが AWS コンソールにログインするときに、ユーザー名とパスワード、および物理または仮想の MFA トークンの認証コードの入力を求められます。コンソール パスワードを持つすべてのアカウントで MFA を有効にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

コンソール パスワードを持つすべての IAM ユーザーに対して、多要素認証(MFA)が有効になっていることを確認してください

  • リアルタイム スキャン: なし

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

API のカテゴリ名: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

検出結果の説明:

ネットワーク アクセス制御リスト(NACL)関数は、AWS リソースへの上り(内向き)と下り(外向き)のネットワーク トラフィックのステートレス フィルタリングを提供します。TDP(6)、UDP(17)、または ALL(-1)プロトコルのいずれかを使用して、リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 22 への SSH、3389 への RDP など)を NACL で許可しないことをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 5.1

0.0.0.0/0 からリモート サーバー管理ポートへの上り(内向き)を許可するネットワーク ACL がないことを確認してください

  • リアルタイム スキャン: なし

No Root User Account Access Key Exists

API のカテゴリ名: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

検出結果の説明:

「root」ユーザー アカウントは、AWS アカウント内で最も権限のあるユーザーです。AWS アクセスキーを使用すると、特定の AWS アカウントにプログラムでアクセスできます。「root」ユーザー アカウントに関連付けられているすべてのアクセスキーを削除することをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

「root」ユーザー アカウントのアクセスキーが存在しないことを確認してください

  • リアルタイム スキャン: なし

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

API のカテゴリ名: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

検出結果の説明:

セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。TDP(6)、UDP(17)、または ALL(-1)プロトコルのいずれかを使用して、リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 22 への SSH、3389 への RDP など)を セキュリティ グループで許可しないことをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 5.2

0.0.0.0/0 からリモート サーバー管理ポートへの上り(内向き)を許可するセキュリティ グループがないことを確認してください

  • リアルタイム スキャン: なし

No Security Groups Allow Ingress 0 Remote Server Administration

API のカテゴリ名: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

検出結果の説明:

セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 22 への SSH、ポート 3389 への RDP など)をセキュリティ グループで許可しないことをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 5.3

::/0 からリモート サーバー管理ポートへの上り(内向き)を許可するセキュリティ グループがないことを確認してください

  • リアルタイム スキャン: なし

One Active Access Key Available Any Single Iam User

API のカテゴリ名: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

検出結果の説明:

アクセスキーは、IAM ユーザーまたは AWS アカウントの「root」ユーザーの長期的な認証情報です。アクセスキーを使用して、AWS CLI または AWS API へのプログラムによるリクエストに署名できます(直接または AWS SDK を使用)。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

単一の IAM ユーザーが利用できるアクティブなアクセスキーが 1 つだけであることを確認してください

  • リアルタイム スキャン: なし

Public Access Given Rds Instance

API のカテゴリ名: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

検出結果の説明:

セキュリティ リスクを最小限に抑えるために、AWS アカウントでプロビジョニングされている RDS データベース インスタンスで不正アクセスが制限されていることを確認します。一般公開されている RDS データベース インスタンスへのアクセスを制限するには、データベースの Publicly Accessible フラグを無効にして、インスタンスに関連付けられた VPC セキュリティ グループを更新する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

RDS インスタンスに公開アクセスが付与されていないことを確認してください

  • リアルタイム スキャン: なし

Rds Enhanced Monitoring Enabled

API のカテゴリ名: RDS_ENHANCED_MONITORING_ENABLED

検出結果の説明:

拡張モニタリングは、インスタンスにインストールされているエージェントを介して、RDS インスタンスが実行されているオペレーティング システムに関するリアルタイム指標を提供します。

詳細については、拡張モニタリングを使用した OS 指標のモニタリングをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2

すべての RDS DB インスタンスに対して拡張モニタリングが有効になっていることを確認してください

  • リアルタイム スキャン: なし

Rds Instance Deletion Protection Enabled

API のカテゴリ名: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

検出結果の説明:

インスタンスの削除保護を有効にすると、データベースの偶発的な削除や権限のないエンティティによる削除に対して保護レイヤを追加できます。

削除からの保護が有効になっている場合は、RDS DB インスタンスを削除できません。削除リクエストが成功するには、削除保護を無効にする必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

すべての RDS インスタンスで削除保護が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Rds In Backup Plan

API のカテゴリ名: RDS_IN_BACKUP_PLAN

検出結果の説明:

このチェックにより、Amazon RDS DB インスタンスがバックアップ プランの対象かどうかを評価します。RDS DB インスタンスがバックアップ プランでカバーされていない場合、このコントロールは失敗します。

AWS Backup は、AWS サービス間でデータのバックアップを一元化して自動化するフルマネージド バックアップ サービスです。AWS Backup では、バックアップ プランと呼ばれるバックアップ ポリシーを作成できます。これらのプランを使用して、データのバックアップ頻度やバックアップの保持期間など、バックアップ要件を定義できます。バックアップ プランに RDS DB インスタンスを含めると、意図しない損失や削除からデータを保護できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

RDS DB インスタンスをバックアップ プランの対象にする必要があります

  • リアルタイム スキャン: なし

Rds Logging Enabled

API のカテゴリ名: RDS_LOGGING_ENABLED

検出結果の説明:

これにより、次の Amazon RDS のログが有効で、CloudWatch に送信されるかどうかを確認します。

RDS データベースで関連するログが有効になっている必要があります。データベース ロギングでは、RDS に対して行われたリクエストの詳細レコードが提供されます。データベース ログは、セキュリティとアクセスの監査、可用性の問題の診断に役立ちます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(8)

エクスポートされたログがすべての RDS DB インスタンスに対して有効になっていることを確認してください

  • リアルタイム スキャン: なし

Rds Multi Az Support

API のカテゴリ名: RDS_MULTI_AZ_SUPPORT

検出結果の説明:

RDS DB インスタンスは、複数のアベイラビリティ ゾーン(AZ)用に構成する必要があります。これにより、保存されたデータの可用性が確保されます。マルチ AZ デプロイでは、アベイラビリティ ゾーンの可用性で問題が発生した場合や、RDS の定期メンテナンス中に自動フェイルオーバーが可能になります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

すべての RDS DB インスタンスに対して高可用性が有効になっていることを確認してください

  • リアルタイム スキャン: なし

Redshift Cluster Configuration Check

API のカテゴリ名: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

検出結果の説明:

これにより、Redshift クラスタの重要な要素(保存データの暗号化、ロギング、ノードタイプ)を確認。

これらの構成項目は、安全で監視可能な Redshift クラスタのメンテナンスにおいて重要です。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

すべての Redshift クラスタに保存データの暗号化、ロギング、ノードタイプがあることを確認してください

  • リアルタイム スキャン: なし

Redshift Cluster Maintenancesettings Check

API のカテゴリ名: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

検出結果の説明:

メジャー バージョンの自動アップグレードはメンテナンスの時間枠に従って行われます

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-2

すべての Redshift クラスタで allowVersionUpgrade が有効になっており、preferredMaintenanceWindow と automaticSnapshotRetentionPeriod が設定されていることを確認してください

  • リアルタイム スキャン: なし

Redshift Cluster Public Access Check

API のカテゴリ名: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

検出結果の説明:

Amazon Redshift クラスタ構成の PubliclyAccessible 属性は、クラスタが一般公開されているかどうかを示します。クラスタが PubliclyAccessible を true に設定して構成されている場合、これは一般公開された解決可能な DNS 名を持つインターネット接続インスタンスであり、パブリック IP アドレスに解決されます。

クラスタが一般公開されていない場合、それはプライベート IP アドレスに解決される DNS 名を持つ内部インスタンスです。クラスタを一般公開する場合を除き、クラスタでは PubliclyAccessible を true に設定しないでください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Redshift クラスタが公開されていてアクセス可能かどうかを確認してください

  • リアルタイム スキャン: なし

Restricted Common Ports

API のカテゴリ名: RESTRICTED_COMMON_PORTS

検出結果の説明:

これにより、セキュリティ グループへの無制限の受信トラフィックが、リスクが最も高い、指定されたポートにアクセスできるかどうかを確認します。セキュリティ グループ内のいずれかのルールでこれらのポートの「0.0.0.0/0」または「::/0」からの上り(内向き)トラフィックが許可される場合、このコントロールは失敗します。

無制限のアクセス(0.0.0.0/0)は、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティを発生させる機会を増やします。

セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。どのセキュリティ グループでも、次のポートへの無制限の上り(内向き)アクセスを許可しないでください。

  • 20、21(FTP)
  • 22(SSH)
  • 23(Telnet)
  • 25(SMTP)
  • 110(POP3)
  • 135(RPC)
  • 143(IMAP)
  • 445(CIFS)
  • 1433、1434(MSSQL)
  • 3,000(Go、Node.js、Ruby ウェブ開発フレームワーク)
  • 3306(mySQL)
  • 3389(RDP)
  • 4333(ahsp)
  • 5000(Python ウェブ開発フレームワーク)
  • 5432(postgresql)
  • 5500(fcp-addr-srvr1)
  • 5601(OpenSearch ダッシュボード)
  • 8080(プロキシ)
  • 8088(レガシー HTTP ポート)
  • 8888(代替 HTTP ポート)
  • 9200 または 9300(OpenSearch)

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

セキュリティ グループでは、リスクの高いポートへの無制限のアクセスを許可しないでください

  • リアルタイム スキャン: なし

Restricted Ssh

API のカテゴリ名: RESTRICTED_SSH

検出結果の説明:

セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。

CIS は、セキュリティ グループでポート 22 への無制限の上り(内向き)アクセスを許可しないことを推奨しています。SSH などのリモート コンソール サービスへの無制限の接続を削除することで、サーバーの露出リスクが軽減されます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

セキュリティ グループでは、0.0.0.0/0 からポート 22 への上り(内向き)を許可しないでください

  • リアルタイム スキャン: なし

Rotation Customer Created Cmks Enabled

API のカテゴリ名: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

検出結果の説明:

鍵ごとに鍵の自動ローテーションが有効になっているかどうか、顧客作成の AWS KMS 鍵の鍵 ID と一致するかどうかを確認します。リソースの AWS Config レコーダーのロールに kms:DescribeKey 権限がない場合、ルールは NON_COMPLIANT です。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

顧客作成の CMK のローテーションが有効になっていることを確認してください

  • リアルタイム スキャン: なし

Rotation Customer Created Symmetric Cmks Enabled

API のカテゴリ名: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

検出結果の説明:

AWS 鍵管理サービス(KMS)では、顧客作成の顧客マスター鍵(CMK)の鍵 ID に関連付けられた KMS に保存されている鍵のマテリアルを、顧客がローテーションできます。これは、暗号化や復号などの暗号オペレーションの実行に使用されるバックアップ鍵です。現在、鍵の自動ローテーションでは以前のバッキング鍵がすべて保持されるため、暗号化されたデータの復号は透過的に行うことができます。対称鍵の CMK 鍵のローテーションを有効にすることをおすすめします。非対称 CMK では鍵のローテーションを有効にできません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

顧客作成の対称 CMK のローテーションが有効になっていることを確認してください

  • リアルタイム スキャン: なし

Routing Tables Vpc Peering Are Least Access

API のカテゴリ名: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

検出結果の説明:

VPC ピアリングのルートテーブルが、最小権限のプリンシパルで構成されているかどうかを確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

VPC ピアリングのルーティング テーブルが「最小限のアクセス権」であることを確認してください

  • リアルタイム スキャン: なし

S3 Account Level Public Access Blocks

API のカテゴリ名: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

検出結果の説明:

Amazon S3 パブリック アクセス ブロックには、Amazon S3 リソースへの公開アクセスを管理するためのアクセス ポイント、バケット、アカウントの設定が用意されています。デフォルトでは、新しいバケット、アクセス ポイント、オブジェクトは公開アクセスを許可しません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。

必要な S3 公開アクセス ブロック設定がアカウント レベルで構成されているかどうかを確認してください

  • リアルタイム スキャン: なし

S3 Buckets Configured Block Public Access Bucket And Account Settings

API のカテゴリ名: S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

検出結果の説明:

Amazon S3 には、Amazon S3 リソースへの公開アクセスを管理するための Block public access (bucket settings)Block public access (account settings) が用意されています。デフォルトでは、S3 バケットとオブジェクトは公開アクセス無効で作成されます。ただし、十分な S3 権限を持つ AWS IAM プリンシパルは、バケットまたはオブジェクト レベルで公開アクセスを有効にできます。有効になっている場合、Block public access (bucket settings) は個々のバケットとその中に含まれるオブジェクトが一般公開されないようにします。同様に、Block public access (account settings) を使用すると、アカウント全体ですべてのバケットとその中のオブジェクトが一般公開されなくなります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

S3 バケットが Block public access (bucket settings) で構成されていることを確認します。

  • リアルタイム スキャン: なし

S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket

API のカテゴリ名: S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

検出結果の説明:

S3 バケット アクセス ロギングは、S3 バケットに対して行われた各リクエストのアクセス レコードを含むログを生成します。アクセス ログ レコードには、リクエストのタイプ、リクエストで指定されたリソース、リクエストが処理された日時などのリクエストの詳細が含まれます。CloudTrail S3 バケットでバケット アクセス ロギングを有効にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS Controls 8.0: 3.14, 8.2

CloudTrail S3 バケットで S3 バケット アクセス ロギングが有効になっていることを確認してください

  • リアルタイム スキャン: なし

S3 Bucket Logging Enabled

API のカテゴリ名: S3_BUCKET_LOGGING_ENABLED

検出結果の説明:

AWS S3 サーバー アクセス ロギング機能は、ストレージ バケットへのアクセス リクエストを記録します。これは、セキュリティ監査に役立ちます。デフォルトでは、S3 バケットではサーバー アクセス ロギングは有効になっていません。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

すべての S3 バケットでロギングが有効になっているか確認してください

  • リアルタイム スキャン: なし

S3 Bucket Policy Set Deny Http Requests

API のカテゴリ名: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

検出結果の説明:

Amazon S3 バケットレベルでは、バケット ポリシーを使用して権限を構成し、HTTPS 経由でのみオブジェクトにアクセスできるようにできます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

S3 バケット ポリシーが HTTP リクエストを拒否するように設定されていることを確認してください

  • リアルタイム スキャン: なし

S3 Bucket Replication Enabled

API のカテゴリ名: S3_BUCKET_REPLICATION_ENABLED

検出結果の説明:

このコントロールでは、Amazon S3 バケットでクロスリージョン レプリケーションが有効になっているかどうかを確認します。バケットでクロスリージョン レプリケーションが有効になっていない場合、または同一リージョン レプリケーションが有効になっている場合でも、コントロールは失敗します。

レプリケーションは、同じまたは異なる AWS リージョン内のバケット間でのオブジェクトの自動非同期コピーです。レプリケーションにより、新しく作成されたオブジェクトとオブジェクトの更新が、ソースバケットから転送先バケットにコピーされます。AWS のベスト プラクティスでは、同じ AWS アカウントが所有するソースバケットと転送先バケットのレプリケーションが推奨されています。可用性だけでなく、他のシステム強化設定も検討する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

S3 バケットでクロスリージョン レプリケーションが有効になっているか確認してください

  • リアルタイム スキャン: なし

S3 Bucket Server Side Encryption Enabled

API のカテゴリ名: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

検出結果の説明:

これにより、S3 バケットで Amazon S3 のデフォルトの暗号化が有効になっていること、またはサーバーサイドの暗号化なしで put-object リクエストが S3 バケット ポリシーで明示的に拒否されているかどうかを確認します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

すべての S3 バケットで保存データの暗号化が使用されていることを確認してください

  • リアルタイム スキャン: なし

S3 Bucket Versioning Enabled

API のカテゴリ名: S3_BUCKET_VERSIONING_ENABLED

検出結果の説明:

Amazon S3 を使用すると、1 つのオブジェクトの複数のバリアントを同じバケット内に維持できるため、意図しないユーザー操作やアプリケーションの障害から容易に復旧できます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

すべての S3 バケットでバージョニングが有効になっていることを確認してください

  • リアルタイム スキャン: なし

S3 Default Encryption Kms

API のカテゴリ名: S3_DEFAULT_ENCRYPTION_KMS

検出結果の説明:

Amazon S3 バケットが AWS 鍵管理サービス(AWS KMS)で暗号化されているかどうかを確認する

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)

すべてのバケットが KMS を使用して暗号化されていることを確認してください

  • リアルタイム スキャン: なし

Sagemaker Notebook Instance Kms Key Configured

API のカテゴリ名: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

検出結果の説明:

Amazon SageMaker ノートブック インスタンスに AWS 鍵管理サービス(AWS KMS)鍵が構成されているかどうかを確認します。SageMaker ノートブック インスタンスに「KmsKeyId」が指定されていない場合、ルールは NON_COMPLIANT です。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

すべての SageMaker ノートブック インスタンスが KMS を使用するように構成されていることを確認してください

  • リアルタイム スキャン: なし

Sagemaker Notebook No Direct Internet Access

API のカテゴリ名: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

検出結果の説明:

SageMaker ノートブック インスタンスでインターネットからの直接アクセスが無効になっているかどうかを確認します。これを行うには、ノートブック インスタンスの DirectInternetAccess フィールドが無効になっているかどうかを確認します。

VPC を使用せずに SageMaker インスタンスを構成すると、デフォルトでインスタンスで直接インターネット アクセスが有効になります。VPC を使用してインスタンスを構成し、デフォルト設定を [無効 - VPC 経由でインターネットにアクセス] に変更します。

ノートブックからモデルをトレーニングまたはホストするには、インターネット アクセスが必要です。インターネット アクセスを有効にするには、VPC に NAT ゲートウェイがあり、セキュリティ グループでアウトバウンド接続が許可されていることを確認します。ノートブック インスタンスを VPC のリソースに接続する方法の詳細については、Amazon SageMaker デベロッパー ガイドの「VPC 内のリソースにノートブック インスタンスを接続する」をご覧ください。

また、SageMaker 構成へのアクセスは、承認されたユーザーのみに制限する必要もあります。SageMaker の設定とリソースを変更するユーザーの IAM 権限を制限します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

すべての Amazon SageMaker ノートブック インスタンスでインターネットからの直接アクセスが無効になっているかどうかを確認してください

  • リアルタイム スキャン: なし

Secretsmanager Rotation Enabled Check

API のカテゴリ名: SECRETSMANAGER_ROTATION_ENABLED_CHECK

検出結果の説明:

AWS Secrets Manager に保存されているシークレットが自動ローテーションで構成されているかどうかを確認します。シークレットが自動ローテーションで構成されていない場合、コントロールは失敗します。maximumAllowedRotationFrequency パラメータにカスタム値を指定すると、指定した時間枠内にシークレットが自動的にローテーションされた場合にのみ、コントロールがパスします。

Secret Manager は、組織のセキュリティ対策の強化に役立ちます。Secret には、データベース認証情報、パスワード、サードパーティの API キーが含まれます。Secret Manager を使用すると、シークレットの一元的な保存、シークレットの自動暗号化、シークレットへのアクセスの制御、シークレットの安全かつ自動的なローテーションを行えます。

Secret Manager はシークレットをローテーションできます。ローテーションを使用すると、長期シークレットを短期シークレットに置き換えることができます。シークレットをローテーションすると、権限のないユーザーが不正使用のシークレットを使用できる期間が制限されます。そのため、シークレットのローテーションを頻繁に行う必要があります。ローテーションの詳細については、AWS Secret Manager ユーザーガイドの AWS Secret Manager シークレットのローテーションをご覧ください。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

すべての AWS Secrets Manager シークレットでローテーションが有効になっていることを確認してください

  • リアルタイム スキャン: なし

Sns Encrypted Kms

API のカテゴリ名: SNS_ENCRYPTED_KMS

検出結果の説明:

SNS トピックが AWS KMS を使用して保存時に暗号化されているかどうかを確認します。SNS トピックがサーバーサイドの暗号化(SSE)に KMS 鍵を使用していない場合、コントロールは失敗します。

保存中のデータの暗号化により、ディスクに保存されているデータが AWS で認証されていないユーザーにアクセスされるリスクを軽減できます。また、権限のないユーザーのデータへのアクセスを制限するアクセス制御セットも追加します。たとえば、データを読み取るには、データを復号するための API 権限が必要です。セキュリティ強化のために、SNS トピックを保存時に暗号化する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-7(6)

すべての SNS トピックが KMS で暗号化されていることを確認してください

  • リアルタイム スキャン: なし

Vpc Default Security Group Closed

API のカテゴリ名: VPC_DEFAULT_SECURITY_GROUP_CLOSED

検出結果の説明:

このコントロールでは、VPC のデフォルトのセキュリティ グループが受信トラフィックと送信トラフィックのどちらを許可しているかを確認します。セキュリティ グループが受信トラフィックまたはアウトバウンド トラフィックを許可している場合、このコントロールは失敗します。

デフォルトのセキュリティ グループのルールでは、同じセキュリティ グループに割り当てられているネットワーク インターフェース(および関連するインスタンス)からのすべてのアウトバウンド トラフィックとインバウンド トラフィックが許可されます。デフォルトのセキュリティ グループは使用しないことをおすすめします。デフォルトのセキュリティ グループは削除できないため、デフォルトのセキュリティ グループのルール設定を変更して、インバウンド トラフィックとアウトバウンド トラフィックを制限する必要があります。これにより、EC2 インスタンスなどのリソースに対してデフォルトのセキュリティ グループが誤って構成されている場合に、意図しないトラフィックが発生するのを防ぎます。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

それぞれの VPC のデフォルト セキュリティ グループがすべてのトラフィックを制限することを確認してください

  • リアルタイム スキャン: なし

Vpc Flow Logging Enabled All Vpcs

API のカテゴリ名: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

検出結果の説明:

VPC フローログは、VPC 内のネットワーク インターフェースを経由する IP トラフィックに関する情報を取得できる機能です。フローログを作成したら、Amazon CloudWatch Logs でそのデータを表示および取得できます。VPC のパケットの「拒否」に対して、VPC フローログを有効にすることをおすすめします。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6, 8.2

すべての VPC で VPC フローロギングが有効になっていることを確認してください

  • リアルタイム スキャン: なし

Vpc Sg Open Only To Authorized Ports

API のカテゴリ名: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

検出結果の説明:

このコントロールは、Amazon EC2 セキュリティ グループが未承認のポートからの無制限の受信トラフィックを許可するかどうかを確認します。コントロールのステータスは次のように決まります。

AuthorizationTcpPorts にデフォルト値を使用する場合、セキュリティ グループがポート 80 と 443 以外のポートからの無制限の受信トラフィックを許可すると、コントロールが失敗します。

authorizedTcpPorts または authorizedUdpPorts にカスタム値を指定した場合、セキュリティ グループがリストされていないポートからの無制限の受信トラフィックを許可すると、コントロールが失敗します。

パラメータが使用されていない場合、無制限の受信トラフィックのルールがあるセキュリティ グループに対するコントロールが失敗します。

セキュリティ グループは、AWS に上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。セキュリティ グループのルールは、最小権限アクセスのプリンシパルに従う必要があります。無制限のアクセス(/0 接尾辞を持つ IP アドレス)は、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティを発生させる可能性が高くなります。ポートが特に許可されていない限り、そのポートは無制限のアクセスを拒否する必要があります。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

任意の VPC の 0.0.0.0/0 を持つセキュリティ グループが、特定のインバウンド TCP/UDP トラフィックのみを許可していることを確認してください

  • リアルタイム スキャン: なし

Both VPC VPN Tunnels Up

API のカテゴリ名: VPC_VPN_2_TUNNELS_UP

検出結果の説明:

VPN トンネルは、AWS サイト間 VPN 接続内で顧客ネットワークと AWS との間でデータをやり取りできる暗号化されたリンクです。各 VPN 接続には 2 つの VPN トンネルがあり、高可用性を確保するためにそれらを同時に使用できます。AWS VPC とリモート ネットワーク間の安全で高可用性のある接続を確認するには、VPN 接続用に両方の VPN トンネルが稼働していることを確認することが重要です。

このコントロールにより、AWS サイト間 VPN によって提供される両方の VPN トンネルが UP ステータスであることを確認します。1 つまたは両方のトンネルが DOWN ステータスの場合、コントロールは失敗します。

料金ティア: Enterprise

この問題を修正する

コンプライアンス標準:

  • NIST 800-53 R5: SI-13(5)

AWS サイト間で提供される両方の AWS VPN トンネルが UP ステータスになっていることを確認してください

  • リアルタイム スキャン: なし

Web Security Scanner の検出結果

Web Security Scanner のカスタム スキャンとマネージド スキャンでは、次の検出結果の種類が識別されます。 Standard ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。

カテゴリ 検出の説明 OWASP 2017 Top 10 OWASP 2021 Top 10

Accessible Git repository

API のカテゴリ名: ACCESSIBLE_GIT_REPOSITORY

Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A5 A01

Accessible SVN repository

API のカテゴリ名: ACCESSIBLE_SVN_REPOSITORY

SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A5 A01

Cacheable password input

API のカテゴリ名: CACHEABLE_PASSWORD_INPUT

ウェブ アプリケーションに入力したパスワードは、安全なパスワード ストレージではなく、通常のブラウザ キャッシュに保存できます。

料金ティア: Premium

この問題を修正する

A3 A04

Clear text password

API のカテゴリ名: CLEAR_TEXT_PASSWORD

パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A3 A02

Insecure allow origin ends with validation

API のカテゴリ名: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

クロスサイト HTTP または HTTPS エンドポイントは、Origin リクエスト ヘッダーのサフィックスのみを検査してから、Access-Control-Allow-Origin レスポンス ヘッダー内に反映されます。この検出結果を解決するには、想定どおりのルートドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値の一部になっていることを確認します。サブドメインのワイルドカードの場合は、ルートドメインに先頭にドットを追加します(例: .endsWith(".google.com"))。

料金ティア: Premium

この問題を修正する

A5 A01

Insecure allow origin starts with validation

API のカテゴリ名: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

クロスサイト HTTP または HTTPS エンドポイントは、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのプレフィックスのみを検証します。この検出結果を解決するには、想定どおりのドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値に完全に一致しているかどうか確認します(例: .equals(".google.com"))。

料金ティア: Premium

この問題を修正する

A5 A01

Invalid content type

API のカテゴリ名: INVALID_CONTENT_TYPE

レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この検出結果を解決するには、X-Content-Type-Options HTTP ヘッダーに正しい値を設定します。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A6 A05

Invalid header

API のカテゴリ名: INVALID_HEADER

セキュリティ ヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A6 A05

Mismatching security header values

API のカテゴリ名: MISMATCHING_SECURITY_HEADER_VALUES

セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。 この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A6 A05

Misspelled security header name

API のカテゴリ名: MISSPELLED_SECURITY_HEADER_NAME

セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A6 A05

Mixed content

API のカテゴリ名: MIXED_CONTENT

HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A6 A05

Outdated library

API のカテゴリ名: OUTDATED_LIBRARY

既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A9 A06

Server side request forgery

API のカテゴリ名: SERVER_SIDE_REQUEST_FORGERY

サーバー側のリクエスト フォージェリ(SSRF)の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブ アプリケーションがリクエストできるドメインと IP アドレスを制限します。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

該当なし A10

Session ID leak

API のカテゴリ名: SESSION_ID_LEAK

クロスドメイン リクエストを行う場合は、ウェブ アプリケーションの Referer リクエスト ヘッダーにユーザーのセッション ID を含めます。この脆弱性により、受信側ドメインにセッション ID へのアクセス権が付与されます。この ID は、ユーザーになりすますことや、ユーザーを一意に識別するために使用される可能性があります。

料金ティア: Premium

この問題を修正する

A2 A07

SQL injection

API のカテゴリ名: SQL_INJECTION

潜在的な SQL インジェクション脆弱性が検出された。この問題を解決するには、パラメータ化されたクエリを使用して、ユーザー入力が SQL クエリの構造に影響を与えないようにします。

料金ティア: Premium

この問題を修正する

A1 A03

Struts insecure deserialization

API のカテゴリ名: STRUTS_INSECURE_DESERIALIZATION

脆弱なバージョンの Apache Struts の使用が検出されました。この問題を解決するには、Apache Struts を最新バージョンにアップグレードしてください。

料金ティア: Premium

この問題を修正する

A8 A08

XSS

API のカテゴリ名: XSS

このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A7 A03

XSS angular callback

API のカテゴリ名: XSS_ANGULAR_CALLBACK

ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A7 A03

XSS error

API のカテゴリ名: XSS_ERROR

このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A7 A03

XXE reflected file leakage

API のカテゴリ名: XXE_REFLECTED_FILE_LEAKAGE

XML 外部エンティティ(XXE)の脆弱性が検出された。この脆弱性により、ウェブ アプリケーションによりホスト上のファイルが漏洩する可能性があります。この問題を解決するには、外部エンティティを許可しないように XML パーサーを構成します。

料金ティア: Premium

この問題を修正する

A4 A05

Prototype pollution

API のカテゴリ名: PROTOTYPE_POLLUTION

このアプリケーションはプロトタイプ汚染に対して脆弱性があります。この脆弱性は、Object.prototype オブジェクトのプロパティに攻撃者が制御可能な値が割り当てられる場合に発生します。一般的に、これらのプロトタイプに入力された値は、クロスサイト スクリプティング、類似したクライアントサイドの脆弱性、およびロジックのバグにつながると見なされています。

料金ティア: プレミアムまたはスタンダード

この問題を修正する

A1 A03

IAM Recommender の検出結果

次の表に、IAM Recommender によって生成される Security Command Center の検出結果を示します。

各 IAM Recommender の検出結果には、Google Cloud 環境のプリンシパルの過剰な権限を含むロールを削除または置換するための具体的な推奨事項が含まれています。

IAM Recommender によって生成された検出結果は、影響を受けるプロジェクト、フォルダ、または組織の IAM ページの Google Cloud コンソールに表示される推奨事項に対応しています。

IAM Recommender と Security Command Center の統合の詳細については、セキュリティ ソースをご覧ください。

検出項目 概要

IAM role has excessive permissions

API のカテゴリ名: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

検出結果の説明: IAM Recommender が、ユーザー アカウントに過剰な権限を付与する 1 つ以上の IAM ロールを持つサービス アカウントを検出しました。

料金ティア: Premium

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

  1. Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
  2. [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。
  3. [セキュリティ分析情報] 列で、過剰な権限に関連する推奨事項をクリックします。推奨事項の詳細パネルが開きます。
  4. この問題を解決するために実施できるアクションの推奨事項を確認してください。
  5. [適用] をクリックします。

問題が解決すると、IAM Recommender は、10 日以内に検出結果のステータスを INACTIVE に更新します。

Service agent role replaced with basic role

API のカテゴリ名: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

検出結果の説明: IAM Recommender は、サービス エージェントに付与された元のデフォルトの IAM ロールが IAM 基本ロール(オーナー編集者閲覧者)のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。

料金ティア: Premium

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

  1. Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
  2. [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。
  3. [セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。
  4. 過剰な権限を確認します。
  5. [適用] をクリックします。

問題が解決すると、IAM Recommender は 10 日以内に検出結果のステータスを INACTIVE に更新します。

Service agent granted basic role

API のカテゴリ名: SERVICE_AGENT_GRANTED_BASIC_ROLE

検出結果の説明: IAM Recommender は、サービス エージェントに IAM 基本ロール(オーナー編集者閲覧者)のいずれかが付与されていることを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。

料金ティア: Premium

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

  1. Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
  2. [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。
  3. [セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。
  4. 過剰な権限を確認します。
  5. [適用] をクリックします。

問題が解決すると、IAM Recommender は 10 日以内に検出結果のステータスを INACTIVE に更新します。

Unused IAM role

API のカテゴリ名: UNUSED_IAM_ROLE

検出結果の説明: IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザー アカウントを検出しました。

料金ティア: Premium

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

  1. Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
  2. [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。
  3. [セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。
  4. 過剰な権限を確認します。
  5. [適用] をクリックします。

問題が解決すると、IAM Recommender は、10 日以内に検出結果のステータスを INACTIVE に更新します。

CIEM の検出結果

次の表に、Cloud Infrastructure Entitlement Management(CIEM)によって生成される AWS の Security Command Center の ID とアクセスの検出結果を示します。

CIEM の検出結果には、AWS 環境の想定された ID、ユーザー、グループに関連付けられている、権限が非常に高い AWS IAM ポリシーを削除または置き換えるための具体的な推奨事項が含まれています。

CIEM の詳細については、Cloud Infrastructure Entitlement Management の概要をご覧ください。

検出項目 概要

Assumed identity has excessive permissions

API のカテゴリ名: ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

検出結果の説明: AWS 環境で、最小権限の原則に違反しセキュリティ リスクを高める、非常に許可が緩いポリシーが 1 つ以上含まれている、想定された IAM ロールが検出されました。

料金ティア: Enterprise

この問題を修正する:

検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。

  • 制限が過度に緩いポリシーを削除します。
  • ユーザー、グループ、ロールに必要な最小限の権限を持つ新しいポリシーを作成します。次に、新しいポリシーをユーザー、グループ、またはロールに適用し、許可が非常に高いポリシーを削除します。

具体的な修正手順については、検出結果の詳細を参照してください。

Group has excessive permissions

API のカテゴリ名: GROUP_HAS_EXCESSIVE_PERMISSIONS

検出結果の説明: AWS 環境で、最小権限の原則に違反しセキュリティ リスクを高める、非常に許可が緩いポリシーが 1 つ以上含まれている IAM グループが検出されました。

料金ティア: Enterprise

この問題を修正する:

検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。

  • 制限が過度に緩いポリシーを削除します。
  • ユーザー、グループ、ロールに必要な最小限の権限を持つ新しいポリシーを作成します。次に、新しいポリシーをユーザー、グループ、またはロールに適用し、許可が非常に高いポリシーを削除します。

具体的な修正手順については、検出結果の詳細を参照してください。

User has excessive permissions

API のカテゴリ名: USER_HAS_EXCESSIVE_PERMISSIONS

検出結果の説明: AWS 環境で、最小権限の原則に違反しセキュリティ リスクを高める、非常に許可が緩いポリシーが 1 つ以上含まれている IAM ユーザーが検出されました。

料金ティア: Enterprise

この問題を修正する:

検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。

  • 制限が過度に緩いポリシーを削除します。
  • ユーザー、グループ、ロールに必要な最小限の権限を持つ新しいポリシーを作成します。次に、新しいポリシーをユーザー、グループ、またはロールに適用し、許可が非常に高いポリシーを削除します。

具体的な修正手順については、検出結果の詳細を参照してください。

User is inactive

API のカテゴリ名: INACTIVE_USER

検出結果の説明: AWS 環境で、1 つ以上の権限を持つ、無効な IAM ユーザーが検出されました。これは最小権限の原則に違反し、セキュリティ リスクを高めます。

料金ティア: Enterprise

この問題を修正する:

検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。

  • AWS IAM ユーザーに適用されているポリシーを削除します。
  • ID が不要になった場合は、AWS IAM ユーザーを削除します。

具体的な修正手順については、検出結果の詳細を参照してください。

Group is inactive

API のカテゴリ名: INACTIVE_GROUP

検出結果の説明: AWS 環境で、1 つ以上の権限を持つ、無効な IAM グループが検出されました。これは最小権限の原則に違反し、セキュリティ リスクを高めます。

料金ティア: Enterprise

この問題を修正する:

検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。

  • AWS IAM グループにアタッチされているポリシーを削除します。
  • これらの ID が不要になった場合は、グループを構成する AWS IAM ユーザーの一部またはすべてを削除します。

具体的な修正手順については、検出結果の詳細を参照してください。

Assumed identity is inactive

API のカテゴリ名: INACTIVE_ASSUMED_IDENTITY

検出結果の説明: AWS 環境で、無効で 1 つ以上の権限を持つ想定 IAM ロールが検出されました。これは最小権限の原則に違反し、セキュリティ リスクを高めます。

料金ティア: Enterprise

この問題を修正する:

検出結果に応じて、AWS マネジメント コンソールを使用して、次のいずれかの修正タスクを実行します。

  • AWS IAM ロールに関連付けられているポリシーを削除します。
  • 認証情報が必要なくなった場合は、その認証情報を削除します。

具体的な修正手順については、検出結果の詳細を参照してください。

Overly permissive trust policy enforced on assumed identity

API のカテゴリ名: OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY

検出結果の説明: AWS 環境で、最小権限の原則に違反しセキュリティ リスクを高める、AWS IAM ロールに適用されている過度に緩い信頼ポリシーが検出されました。

料金ティア: Enterprise

この問題を修正する:

AWS マネジメント コンソールを使用して、AWS IAM ロールに適用されている信頼ポリシーの権限を編集し、最小権限の原則に従います。

具体的な修正手順については、検出結果の詳細を参照してください。

Assumed identity has lateral movement risk

API のカテゴリ名: ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK

検出結果の説明: AWS 環境で、権限借用によって横方向に移動できる ID が 1 つ以上検出されました。

料金ティア: Enterprise

この問題を修正する:

AWS 管理コンソールを使用して、横方向の移動を許可する ID に適用されているポリシーを削除します。

具体的な修正手順については、検出結果の詳細を参照してください。

セキュリティ対策サービスの検出結果

次の表に、セキュリティ対策サービスによって生成される Security Command Center の検出結果を示します。

各セキュリティ対策サービスの検出結果では、定義したセキュリティ対策からのブレのインスタンスを識別します。

結果 概要

SHA Canned Module Drifted

API のカテゴリ名: SECURITY_POSTURE_DETECTOR_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics 検出機能への変更を検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果では、変更を受け入れるか、対策の検出機能の設定と環境が一致するように変更を元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics 検出機能を更新するか、対策と対策のデプロイを更新するかです。

変更を元に戻すには、Google Cloud コンソールで Security Health Analytics の検出機能を更新します。 手順については、検出機能を有効または無効にするをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

SHA Custom Module Drifted

API のカテゴリ名: SECURITY_POSTURE_DETECTOR_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics カスタム モジュールへの変更を検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果により、対策と環境のカスタム モジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタム モジュールを更新するか、対策と対策のデプロイを更新するかです。

変更を元に戻すには、Google Cloud コンソールで Security Health Analytics のカスタム モジュールを更新します。手順については、カスタム モジュールを更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

SHA Custom Module Deleted

API のカテゴリ名: SECURITY_POSTURE_DETECTOR_DELETE

検出結果についての説明: セキュリティ対策サービスが、Security Health Analytics のカスタム モジュールが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

料金ティア: Premium

この問題を修正する:

この検出結果により、対策と環境のカスタム モジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタム モジュールを更新するか、対策と対策のデプロイを更新するかです。

変更を元に戻すには、Google Cloud コンソールで Security Health Analytics のカスタム モジュールを更新します。手順については、カスタム モジュールを更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Org Policy Canned Constraint Drifted

API のカテゴリ名: SECURITY_POSTURE_POLICY_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のポリシーの変更を検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Org Policy Canned Constraint Deleted

API のカテゴリ名: SECURITY_POSTURE_POLICY_DELETE

検出結果についての説明: セキュリティ対策サービスが、組織のポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

料金ティア: Premium

この問題を修正する:

この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Org Policy Custom Constraint Drifted

API のカテゴリ名: SECURITY_POSTURE_POLICY_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のカスタム ポリシーの変更を検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果により、対策と環境の組織のカスタム ポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタム ポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、Google Cloud コンソールで組織のカスタム ポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Org Policy Custom Constraint Deleted

API のカテゴリ名: SECURITY_POSTURE_POLICY_DELETE

検出結果についての説明: セキュリティ対策サービスが、組織のカスタム ポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

料金ティア: Premium

この問題を修正する:

この検出結果により、対策と環境の組織のカスタム ポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタム ポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、Google Cloud コンソールで組織のカスタム ポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

次の表に、定義されたセキュリティ対策に違反しているリソースのインスタンスを特定するセキュリティ対策の検出結果を示します。

結果 概要

Disable VPC External IPv6

API のカテゴリ名: DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

検出結果の説明: セキュリティ対策サービスは、サブネットワークで外部 IPv6 アドレスが有効になっていることを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果を解決するには、違反しているリソースを削除するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを削除する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. リソースを削除します。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Disable VPC Internal IPv6

API のカテゴリ名: DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

検出結果の説明: セキュリティ対策サービスは、サブネットワークで内部 IPv6 アドレスが有効になっていることを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果を解決するには、違反しているリソースを削除するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを削除する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. リソースを削除します。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Require OS Login

API のカテゴリ名: REQUIRE_OS_LOGIN_ORG_POLICY

検出結果の説明: セキュリティ対策サービスが、VM インスタンスで OS Login が無効になっていることを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを更新する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. リソースを編集します。メタデータ セクションを見つけて、キーが enable-oslogin のエントリを TRUE に変更します。
  5. リソースを保存します。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Restrict Authorized Networks

API のカテゴリ名: RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

検出結果の説明: セキュリティ対策サービスが、承認済みネットワークが SQL インスタンスに追加されたことを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果では、違反を修正するか、対策を更新する必要があります。この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを更新する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. リソースを編集[接続] セクションで [承認済みネットワーク] セクションを見つけ、そのエントリをすべて削除します。
  5. リソースを保存します。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Require VPC Connector

API のカテゴリ名: REQUIRE_VPC_CONNECTOR_ORG_POLICY

検出結果の説明: セキュリティ対策サービスは、Cloud Run 関数インスタンスで VPC コネクタが有効になっていないことを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを更新する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. [編集] をクリックします。
  5. [接続] タブをクリックします。
  6. [下り(外向き)設定] セクションを見つけます。[ネットワーク] メニューで、適切な VPC コネクタを選択します。
  7. [次へ] をクリックします。
  8. [デプロイ] をクリックします。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Disabled Serial Port Access

API のカテゴリ名: DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

検出結果の説明: セキュリティ対策サービスが、VM インスタンスへのシリアルポート アクセスが有効になっていることを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを更新する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. リソースを編集リモート アクセス セクションを見つけて、[シリアルポート接続を有効化] チェックボックスをオフにします。
  5. リソースを保存します。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Skip Default Network Creation

API のカテゴリ名: SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

検出結果の説明: セキュリティ対策サービスが、デフォルト ネットワークが作成されたことを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果を解決するには、違反しているリソースを削除するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを削除する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. リソースを削除します。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Allowed Ingress

API のカテゴリ名: ALLOWED_INGRESS_ORG_POLICY

検出結果の説明: セキュリティ対策サービスが、Cloud Run サービスが指定された上り(内向き)設定に準拠していないことを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを更新する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. [ネットワーキング] タブをクリックします。許可された上り(内向き)ポリシーと一致するように設定を変更します。
  5. リソースを保存します。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Uniform Bucket Level Access

API のカテゴリ名: UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

検出結果の説明: セキュリティ対策サービスが、バケットレベルのアクセスが均一ではなくきめ細かいことを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを更新する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. [権限] タブをクリックします。[Access control] カードで、[均一に切り替える] をクリックします。
  5. [均一] を選択し、保存します。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Allowed VPC Egress

API のカテゴリ名: ALLOWED_VPC_EGRESS_ORG_POLICY

検出結果の説明: セキュリティ対策サービスが、Cloud Run サービスが指定された下り(外向き)設定に準拠していないことを検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果を解決するには、違反しているリソースを更新するか、対策を更新して対策を再デプロイするという 2 つの方法があります。

リソースを更新する手順は次のとおりです。

  1. 検出結果の概要を開きます。
  2. [影響を受けるリソース] セクションで、ポスチャ ポリシーに違反しているリソースの完全な名前を確認します。
  3. リソースのフルネームをクリックして詳細を開きます。
  4. [新しいリビジョンを編集してデプロイ] をクリックし、[ネットワーキング] タブをクリックします。 [アウトバウンド トラフィック用の VPC に接続する] セクションの [トラフィック ルーティング] 設定を、許可された下り(外向き)ポリシーと一致するように変更します。
  5. リソースをデプロイします。

リソースを同じ構成に保つ場合は、対策を更新する必要があります。対策を更新する手順は次のとおりです。

  1. 変更を加えて posture.yaml ファイルを更新します。
  2. gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
  3. 新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

VM Manager

VM Manager は、Compute Engine 上で Windows と Linux を実行している大規模な仮想マシン(VM)フリートでオペレーティング システムの管理を行うためのツールです。

組織レベルで Security Command Center Premium を使用して VM Manager を有効にすると、VM Manager は脆弱性レポート(現在はプレビュー版)の検出結果を Security Command Center に送信します。このレポートは、VM にインストールされたオペレーティング システムの Common Vulnerability and Exposures(CVE)などの脆弱性を特定します。

Security Command Center Premium でプロジェクト レベルの有効化を行って VM Manager を使用するには、親組織で Security Command Center Standard を有効にします。

Security Command Center Standard では、脆弱性レポートを使用できません。

検出結果を使用することで、VM Manager のパッチ コンプライアンス機能(プレビュー段階)を使用するプロセスが簡略化されます。この機能を使用すると、すべてのプロジェクトで組織レベルでパッチ管理を行うことができます。

VM Manager から受信する脆弱性の検出結果の重大度は、常に CRITICAL または HIGH です。

VM Manager の検出結果

このタイプの脆弱性はすべて、サポートされている Compute Engine VM にインストールされたオペレーティング システム パッケージに関連しています。

検出項目 概要 アセットのスキャン設定

OS vulnerability

API のカテゴリ名: OS_VULNERABILITY

検出結果の説明: VM Manager が、Compute Engine VM にインストールされているオペレーティング システム(OS)パッケージに脆弱性を検出しました。

料金ティア: Premium

サポートされているアセット

compute.googleapis.com/Instance

この問題を修正する

VM Manager の脆弱性レポートでは、Compute Engine VM のインストール済みオペレーティング システム パッケージの脆弱性(Common Vulnerabilities and Exposures(CVE))など)が詳細に説明されています。

サポートされているオペレーティング システムの完全なリストについては、オペレーティング システムの詳細をご覧ください。

脆弱性が検出されると、Security Command Center に検出結果がすぐに表示されます。 VM Manager の脆弱性レポートは次のように生成されます。

  • パッケージが VM のオペレーティング システムでインストールまたは更新されると、変更後 2 時間以内に、Security Command Center で VM のCommon Vulnerabilities and Exposures(CVE)の情報を確認できます。
  • オペレーティング システムの新しいセキュリティ アドバイザリが公開された場合は、通常、オペレーティング システム ベンダーがアドバイザリを公開してから 24 時間以内に、更新された CVE が利用可能になります。

コンソールで検出結果を確認する

Google Cloud コンソール

  1. Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. Google Cloud プロジェクトまたは組織を選択します。
  3. [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[VM Manager] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
  4. 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
  5. [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
  6. 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

Security Operations コンソール

  1. Security Operations コンソールで、[検出結果] ページに移動します。
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

  2. [集計] セクションで、[ソース表示名] サブセクションをクリックして展開します。
  3. [VM Manager] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
  4. 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
  5. [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
  6. 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

VM Manager の検出結果の修正

OS_VULNERABILITY の検出結果は、VM Manager が Compute Engine VM にインストールされているオペレーティング システム パッケージで脆弱性を検出したことを示します。

この検出結果を修正するには、次の手順に沿って操作します。

  1. OS vulnerability 検出結果を開いて JSON 定義を表示する

  2. externalUri フィールドの値をコピーします。この値は、脆弱性のあるオペレーティング システムがインストールされている Compute Engine VM インスタンスの [OS 情報] ページの URI です。

  3. [基本情報] セクションに表示されている OS に、適切なパッチをすべて適用します。パッチをデプロイする手順については、パッチジョブを作成するをご覧ください。

この検出結果のタイプでサポートされているアセットとスキャンの設定についての説明をご覧ください。

VM Manager の検出結果をミュートする

セキュリティ要件に関連していない VM Manager の検出結果の一部またはすべてを Security Command Center で非表示にできます。

VM Manager の検出結果を非表示にするには、ミュートルールを作成し、非表示にする VM Manager の検出結果に固有のクエリ属性を追加します。

Google Cloud コンソールを使用して VM Manager のミュートルールを作成する手順は次のとおりです。

  1. Google Cloud コンソールで、Security Command Center の [検出] ページに移動します。

    [検出結果] に移動

  2. 必要に応じて、Google Cloud プロジェクトまたは組織を選択します。

  3. [ミュート オプション] をクリックし、[ミュートルールを作成] を選択します。

  4. ミュートルール ID を入力します。この値は必須です。

  5. 検出結果をミュートする理由を [ミュートルールの説明] に入力します。この値は省略可能ですが、指定することをおすすめします。

  6. [親リソース] の値を確認して、ミュート ルールのスコープを確認します。

  7. [検出クエリ] フィールドで [フィルタを追加] をクリックして、クエリ ステートメントを作成します。また、クエリ ステートメントを手動で入力することもできます。

    1. [フィルタを選択] ダイアログで、[検出結果] > [ソースの表示名] > [VM Manager] を選択します。

    2. [適用] をクリックします。

    3. 非表示にする属性がすべてミュートクエリに含まれるまで、この操作を繰り返します。

    たとえば、VM Manager の脆弱性検出で特定の CVE ID を非表示にするには、[脆弱性] > [CVE ID] を選択してから、非表示にする CVE ID を選択します。

    検出結果のクエリは次のようになります。

    VM Manager の検出結果をミュートする

  8. [一致する検出をプレビュー] をクリックします。

    クエリに一致する検索結果がテーブルに表示されます。

  9. [保存] をクリックします。

Sensitive Data Protection

このセクションでは、機密データの保護が生成する脆弱性の検出結果、サポートするコンプライアンス標準、検出結果の修正方法について説明します。

機密データの保護は、観察の検出結果を Security Command Center にも送信します。観察の検出結果と機密データの保護の詳細については、機密データの保護をご覧ください。

検出結果の表示方法については、Google Cloud コンソールで Sensitive Data Protection の検出結果を確認するをご覧ください。

Sensitive Data Protection の検出サービスを使用すると、保護されていない機密性の高いデータを保存しているかどうかを判断できます。

カテゴリ 概要

Public sensitive data

API のカテゴリ名:

PUBLIC_SENSITIVE_DATA

検出結果の説明: 指定したリソースに、インターネット上の誰でもアクセスできる高機密データが含まれています。

サポートされているアセット:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 バケット

修復:

Google Cloud データの場合は、データアセットの IAM ポリシーから allUsersallAuthenticatedUsers を削除します。

Amazon S3 データの場合は、 公開アクセスのブロック設定を構成するか、オブジェクトの ACL を更新して一般公開の読み取りアクセスを拒否します。

コンプライアンス標準: マッピングなし

Secrets in environment variables

API のカテゴリ名:

SECRETS_IN_ENVIRONMENT_VARIABLES

検出結果の説明: 環境変数に、パスワード、認証トークン、Google Cloud 認証情報などの シークレットがあります。

この検出機能を有効にするには、Sensitive Data Protection ドキュメントの環境変数のシークレットを Security Command Center に報告するをご覧ください。

サポートされているアセット:

修復:

Cloud Run 関数の環境変数の場合は、環境変数からシークレットを削除し、代わりに Secret Manager に保存します。

Cloud Run サービス リビジョンの環境変数の場合は、すべてのトラフィックをリビジョンから移動してから、リビジョンを削除します。

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

API のカテゴリ名:

SECRETS_IN_STORAGE

検出結果の説明: 指定されたリソースに、パスワード、認証トークン、クラウド認証情報などのシークレットがあります。

サポートされているアセット:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 バケット

修復:

  1. Google Cloud データの場合は、Sensitive Data Protection を使用して 指定したリソースの詳細検査スキャンを実行し、影響を受けるすべてのリソースを特定します。Cloud SQL データの場合は、そのデータを Cloud Storage バケットの CSV または AVRO ファイルにエクスポートし、バケットの詳細な検査スキャンを実行します。

    Amazon S3 データの場合は、指定したバケットを手動で検査します。

  2. 検出されたシークレットを削除します。
  3. 認証情報をリセットすることを検討してください。
  4. Google Cloud データの場合は、代わりに、検出されたシークレットを Secret Manager に保存することを検討してください。

コンプライアンス標準: マッピングなし

Policy Controller

Policy Controller により、フリート メンバーシップとして登録された Kubernetes クラスタに対するプログラム可能なポリシーの応用と適用が可能になります。これらのポリシーはガードレールとして機能し、クラスタとフリートのベスト プラクティス、セキュリティ、コンプライアンス管理に役立ちます。

このページには、すべての Policy Controller の検出結果がすべて一覧表示されるわけではありませんが、Policy Controller が Security Command Center に書き込む Misconfiguration クラスの検出結果に関する情報は、各 Policy Controller バンドルに記載されているクラスタ違反と同じです。個々の Policy Controller の検出結果タイプに関するドキュメントは、次の Policy Controller バンドルにあります。

この機能は、Stackdriver API の VPC Service Controls サービス境界と互換性がありません。

Policy Controller の検出結果の検出と修正

Policy Controller のカテゴリは、Policy Controller のバンドルのドキュメントに記載されている制約名に対応しています。たとえば、require-namespace-network-policies の検出結果は、Namespace が、クラスタ内のすべての Namespace が NetworkPolicy を持つというポリシーに違反していることを示します。

検出結果を修正するには、次の操作を行います。

Google Cloud コンソール

  1. Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. Google Cloud プロジェクトまたは組織を選択します。
  3. [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Policy Controller On-Cluster] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
  4. 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
  5. [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
  6. 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

Security Operations コンソール

  1. Security Operations コンソールで、[検出結果] ページに移動します。
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

  2. [集計] セクションで、[ソース表示名] サブセクションをクリックして展開します。
  3. [Policy Controller On-Cluster] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
  4. 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
  5. [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
  6. 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

次のステップ