Rapid Vulnerability Detection、Security Health Analytics、Web Security Scanner の検出機能は、Security Command Center で利用可能な脆弱性の検出結果を生成します。VM Manager などの統合サービスでも、Security Command Center で有効にすると脆弱性の検出結果が生成されます。
検出結果を表示および編集できるかどうかは、割り当てられている Identity and Access Management(IAM)のロールと権限によって決まります。Security Command Center での IAM ロールの詳細については、アクセス制御をご覧ください。
検出機能とコンプライアンス
Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされる検出機能でコンプライアンスをモニタリングします。
サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。
CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。
Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。
セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。
コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。
Google Cloud でサポートされているセキュリティ標準
Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。
- Center for Information Security(CIS)Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix(CCM)4
- HIPAA(医療保険の相互運用性と説明責任に関する法律)
- ISO 27001、2022、2013
- NIST 800-53 R5 および R4
- NIST CSF 1.0
- OWASP トップ 10(2021 および 2017)
- PCI DSS 4.0 および 3.2.1
- System and Organization Controls(SOC)2 2017 年 Trusted Services Criteria(TSC)
AWS でサポートされているセキュリティ標準
Security Command Center は、Amazon Web Services(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 および 3.2.1
- SOC 2 2017 TSC
コンプライアンス レポートを表示およびエクスポートする手順については、Google Cloud コンソールでの Security Command Center の使用のコンプライアンスのセクションをご覧ください。
修復後の検出結果の無効化
脆弱性または構成ミスの検出結果を修正した後、検出結果を検出した Security Command Center サービスは、次に検出サービスが検出結果をスキャンするときに、検出結果の状態を自動的に INACTIVE に設定します。Security Command Center で修正された検出結果を INACTIVE に設定するのに要する時間は、検出結果を検出するスキャンのスケジュールによって異なります。
検出結果に関連するリソースが削除されたことをスキャンで検出した場合も、Security Command Center サービスは脆弱性または構成ミスの検出結果の状態を INACTIVE に設定します。
スキャン間隔の詳細については、次のトピックをご覧ください。
- Security Health Analytics のスキャンタイプ
- Rapid Vulnerability Detection のスキャンのレイテンシと間隔
- Web Security Scanner のスキャンタイプ
Security Health Analytics の検出結果
Security Health Analytics の検出機能は、Cloud Asset Inventory(CAI)のリソースのサブセットをモニタリングし、リソースと Identity and Access Management(IAM)ポリシーの変更について通知を受信します。一部の検出機能では、このページの後の部分の表に示すように、Google Cloud APIs を直接呼び出してデータを取得します。
Security Health Analytics、スキャン スケジュール、組み込みとカスタムの両方のモジュール検出機能の Security Health Analytics サポートの詳細については、Security Health Analytics の概要をご覧ください。
次の表に、Security Health Analytics の検出機能、サポートするアセットとコンプライアンスの基準、スキャンに使用する設定、生成する検出結果のタイプを示します。Google Cloud コンソールの Security Command Center の [脆弱性] ページでは、さまざまな属性で検出結果をフィルタリングできます。
問題を修正し、リソースを保護する手順については、Security Health Analytics の検出結果の修正をご覧ください。
API キーの脆弱性の検出
API_KEY_SCANNER 検出機能は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
API key APIs unrestricted
API のカテゴリ名: |
検出結果の説明: 過度に広範囲にわたって使用されている API キーが存在します。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクト内のすべての API キーの
|
API key apps unrestricted
API のカテゴリ名: |
検出結果の説明: 無制限に使用できる API キー(信頼できないアプリによる使用が制限されていない API キー)が存在します。 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
プロジェクト内のすべての API キーの
|
API key exists
API のカテゴリ名: |
検出結果の説明: プロジェクトで標準認証ではなく API キーが使用されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトが所有するすべての API キーを取得します。
|
API key not rotated
API のカテゴリ名: |
検出結果の説明: API キーが 90 日以上ローテーションされていません。 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
すべての API キーの
|
Cloud Asset Inventory の脆弱性の検出結果
この検出タイプの脆弱性はすべて Cloud Asset Inventory の構成に関連し、CLOUD_ASSET_SCANNER タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Cloud Asset API disabled
API のカテゴリ名: |
検出結果の説明: Cloud Asset Inventory による Google Cloud リソースと IAM ポリシーのキャプチャにより、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります。すべてのプロジェクトで Cloud Asset Inventory サービスを有効にすることをおすすめします。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
Cloud Asset Inventory サービスが有効になっているかどうかを確認します。
|
Compute イメージの脆弱性の検出
COMPUTE_IMAGE_SCANNER 検出機能は、Google Cloud イメージ構成に関連する脆弱性を特定します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Public Compute image
API のカテゴリ名: |
検出結果の説明: Compute Engine イメージは一般公開されています。 料金ティア: プレミアムまたはスタンダード サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
Compute インスタンスの脆弱性の検出
COMPUTE_INSTANCE_SCANNER 検出機能は、Compute Engine インスタンスの構成に関連する脆弱性を識別します。
COMPUTE_INSTANCE_SCANNER 検出機能は、GKE によって作成された Compute Engine インスタンスに関する検出結果を報告しません。このようなインスタンスの名前は「gke-」で始まり、ユーザーは編集できません。このインスタンスを保護するには、「コンテナの脆弱性の検出結果」をご覧ください。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Confidential Computing disabled
API のカテゴリ名: |
検出結果の説明: Compute Engine インスタンスで Confidential Computing が無効になっています。 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
Compute project wide SSH keys allowed
API のカテゴリ名: |
検出結果の説明: プロジェクト全体を対象とする SSH 認証鍵が使用されており、プロジェクト内のすべてのインスタンスへのログインが許可されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
Compute Secure Boot disabled
API のカテゴリ名: |
検出結果の説明: この Shielded VM でセキュアブートが有効になっていません。セキュアブートの使用は、ルートキットやブートキットなどの高度な脅威から仮想マシン インスタンスを保護するうえで有効です。 料金ティア: プレミアム サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
Compute Engine インスタンスの
|
Compute serial ports enabled
API のカテゴリ名: |
検出結果の説明: インスタンスでシリアルポートが有効になっているため、インスタンスのシリアル コンソールへの接続が許可されます。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
Default service account used
API のカテゴリ名: |
検出結果の説明: デフォルトのサービス アカウントを使用するようにインスタンスが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
Disk CMEK disabled
API のカテゴリ名: |
検出結果の説明: この VM のディスクは顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
ディスク メタデータ内の
|
Disk CSEK disabled
API のカテゴリ名: |
検出結果の説明: この VM のディスクは顧客指定の暗号鍵(CSEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、特殊なケースの検出機能をご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Full API access
API のカテゴリ名: |
検出結果の説明: すべての Google Cloud APIs に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するようにインスタンスが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
HTTP load balancer
API のカテゴリ名: |
検出結果の説明: インスタンスは、ターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用します。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
IP forwarding enabled
API のカテゴリ名: |
検出結果の説明: インスタンスで IP 転送が有効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンスの
|
OS login disabled
API のカテゴリ名: |
検出結果の説明: このインスタンスで OS Login が無効になっています。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクト メタデータの
|
Public IP address
API のカテゴリ名: |
検出結果の説明: インスタンスにパブリック IP アドレスが割り振られています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
|
Shielded VM disabled
API のカテゴリ名: |
検出結果の説明: このインスタンスで Shielded VM が無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
Compute Engine インスタンスの
|
Weak SSL policy
API のカテゴリ名: |
検出結果の説明: インスタンスに脆弱な SSL ポリシーが設定されています。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
アセット メタデータ内の
|
コンテナの脆弱性の検出
この検出タイプはすべて GKE コンテナ構成に関連し、CONTAINER_SCANNER 検出機能タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Alpha cluster enabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタでアルファ版のクラスタ機能が有効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Auto repair disabled
API のカテゴリ名: |
検出結果の説明: ノードの正常な稼働状態を維持する GKE クラスタの自動修復機能が無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Auto upgrade disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタの自動アップグレード機能(最新の安定したバージョンの Kubernetes でクラスタとノードプールを保持する機能)が無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Binary authorization disabled
API のカテゴリ名: |
検出結果の説明: Binary Authorization が GKE クラスタで無効になっているか、Binary Authorization ポリシーがすべてのイメージのデプロイを許可するように構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
以下を確認してください。
|
Cluster logging disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタに対して Logging が有効になっていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Cluster monitoring disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで Monitoring が無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Cluster private Google access disabled
API のカテゴリ名: |
検出結果の説明: クラスタのホストは、Google API にアクセスする際にプライベート内部 IP アドレスのみを使用するように構成されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
サブネットワークの
|
Cluster secrets encryption disabled
API のカテゴリ名: |
検出結果の説明: アプリケーション レイヤでのシークレットの暗号化が GKE クラスタで無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Cluster shielded nodes disabled
API のカテゴリ名: |
検出結果の説明: シールドされた GKE ノードがクラスタで有効になっていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
COS not used
API のカテゴリ名: |
検出結果の説明: Compute Engine VM は、Google Cloud で Docker コンテナを安全に実行するための Container-Optimized OS を使用していません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Integrity monitoring disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタの整合性モニタリングが無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Intranode visibility disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで、ノード内の可視化が無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
IP alias disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタが、エイリアス IP 範囲を無効にして作成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタ内の
|
Legacy authorization enabled
API のカテゴリ名: |
検出結果の説明: 以前の承認が GKE クラスタで有効になっています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Legacy metadata enabled
API のカテゴリ名: |
検出結果の説明: 従来のメタデータが GKE クラスタで有効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Master authorized networks disabled
API のカテゴリ名: |
検出結果の説明: コントロール プレーンの承認済みネットワークが GKE クラスタで有効になっていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Network policy disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタでネットワーク ポリシーが無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Nodepool boot CMEK disabled
API のカテゴリ名: |
検出結果の説明: このノードプール内のブートディスクは、顧客管理の暗号鍵(CMEK)を使用して暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
CMEK のリソース名についてノードプールの
|
Nodepool secure boot disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタでセキュアブートが無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Over privileged account
API のカテゴリ名: |
検出結果の説明: サービス アカウントに、クラスタ内の過剰な範囲のプロジェクトを対象とするアクセス権が付与されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの
|
Over privileged scopes
API のカテゴリ名: |
検出結果の説明: ノードのサービス アカウントに、広範なアクセス スコープが設定されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ノードプールの config.oauthScopes プロパティに表示されているアクセス スコープが、制限付きのサービス アカウント アクセス スコープ https://www.googleapis.com/auth/devstorage.read_only、https://www.googleapis.com/auth/logging.write、または https://www.googleapis.com/auth/monitoring であるかどうかを確認します。
|
Pod security policy disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで PodSecurityPolicy が無効になっています。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Private cluster disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタで無効になっている限定公開クラスタが存在します。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Release channel disabled
API のカテゴリ名: |
検出結果の説明: GKE クラスタはリリース チャンネルに登録されていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Web UI enabled
API のカテゴリ名: |
検出結果の説明: GKE ウェブ UI(ダッシュボード)が有効になっています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
|
Workload Identity disabled
API のカテゴリ名: |
検出結果の説明: Workload Identity が GKE クラスタで無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
クラスタの
|
Dataproc の脆弱性の検出
この検出機能の脆弱性はすべて Dataproc に関連しており、DATAPROC_SCANNER 検出機能タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Dataproc CMEK disabled
API のカテゴリ名: |
検出結果の説明: Dataproc クラスタが暗号化構成 CMEK なしで作成されました。CMEK を使用すると、Cloud Key Management Service で作成、管理する鍵は、Google Cloud がデータの暗号化に使用する鍵をラップするため、データへのアクセスをより細かく制御できます。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Dataproc image outdated
API のカテゴリ名: |
検出結果の説明: Dataproc クラスタは、Apache Log4j 2 ユーティリティのセキュリティ脆弱性(CVE-2021-44228 および CVE-2021-45046)の影響を受ける Dataproc イメージ バージョンで作成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
|
データセットの脆弱性の検出
この検出機能タイプの脆弱性はすべて BigQuery データセットの構成に関連し、DATASET_SCANNER 検出機能タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
BigQuery table CMEK disabled
API のカテゴリ名: |
検出結果の説明: BigQuery テーブルが、顧客管理の暗号鍵(CMEK)を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Dataset CMEK disabled
API のカテゴリ名: |
検出結果の説明: BigQuery データセットが、デフォルトの CMEK を使用するように構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
|
Public dataset
API のカテゴリ名: |
検出結果の説明: データセットが公開アクセスを許可するように構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
DNS の脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud DNS 構成に関連し、DNS_SCANNER 検出機能タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
DNSSEC disabled
API のカテゴリ名: |
検出結果の説明: Cloud DNS ゾーンで DNSSEC が無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
RSASHA1 for signing
API のカテゴリ名: |
検出結果の説明: RSASHA1 が Cloud DNS ゾーンの鍵署名に使用されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
ファイアウォールの脆弱性の検出
この検出機能タイプの脆弱性はすべてファイアウォール構成に関連し、FIREWALL_SCANNER 検出機能タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Egress deny rule not set
API のカテゴリ名: |
検出結果の説明: ファイアウォールに下り(外向き)拒否ルールが設定されていません。不要なアウトバウンド トラフィックをブロックするには、下り(外向き)拒否ルールを設定する必要があります。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォールの
|
Firewall rule logging disabled
API のカテゴリ名: |
検出結果の説明: ファイアウォール ルールのロギングが無効になっています。ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open Cassandra port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン Cassandra ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open ciscosecure websm port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン CISCOSECURE_WEBSM ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open directory services port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DIRECTORY_SERVICES ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open DNS port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン DNS ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open elasticsearch port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ELASTICSEARCH ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open firewall
API のカテゴリ名: |
検出結果の説明: ファイアウォールが公開のアクセスを許可するように構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
|
Open FTP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン FTP ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open HTTP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン HTTP ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open LDAP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン LDAP ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open Memcached port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MEMCACHED ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open MongoDB port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MONGODB ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open MySQL port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン MYSQL ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open NetBIOS port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン NETBIOS ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open OracleDB port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン ORACLEDB ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open pop3 port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン POP3 ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open PostgreSQL port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン PostgreSQL ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open RDP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン RDP ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータで
|
Open Redis port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン REDIS ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open SMTP port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SMTP ポートが構成されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open SSH port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン SSH ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
Open Telnet port
API のカテゴリ名: |
検出結果の説明: ファイアウォールに、一般的なアクセスを許可するオープン TELNET ポートが構成されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
ファイアウォール メタデータの
|
IAM の脆弱性の検出
この検出機能タイプの脆弱性はすべて Identity and Access Management(IAM)の構成に関連し、IAM_SCANNER 検出機能タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Access Transparency disabled
API のカテゴリ名: |
検出結果の説明: 組織で Google Cloud アクセスの透明性が無効になっています。アクセスの透明性では、Google Cloud の従業員が組織内のプロジェクトにアクセスしてサポートを提供した時間が記録されます。アクセスの透明性を有効にして、Google Cloud の従業員がお客様の情報にアクセスした日時と理由を記録します。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
組織でアクセスの透明性が有効になっているかどうかを確認します。
|
Admin service account
API のカテゴリ名: |
検出結果の説明: サービス アカウントに、管理者、オーナー、または編集者の権限が付与されています。これらのロールは、ユーザーが作成するサービス アカウントに割り当てないでください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、ユーザーが作成した任意のサービス アカウント(接頭辞 iam.gserviceaccount.com が付いています)に
|
Essential Contacts Not Configured
API のカテゴリ名: |
検出結果の説明: 組織で、Google Cloud 組織内の攻撃、脆弱性、データ インシデントなどの重要なイベントに関する通知を Google Cloud から受け取る個人またはグループが指定されていません。組織の 1 人以上の個人またはグループをエッセンシャル コンタクトとして指定することをおすすめします。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
以下のエッセンシャル コンタクトのカテゴリで連絡先が指定されていることを確認します。
|
KMS role separation
API のカテゴリ名: |
検出結果の説明: 職掌分散が適用されていません。暗号鍵の暗号化 / 復号、暗号化、または復号のいずれかの Cloud Key Management Service(Cloud KMS)ロールが同時に割り当てられているユーザーが存在します。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーを確認し、roles/cloudkms.cryptoKeyEncrypterDecrypter、roles/cloudkms.cryptoKeyEncrypter、roles/cloudkms.cryptoKeyDecrypter、roles/cloudkms.signer、roles/cloudkms.signerVerifier、roles/cloudkms.publicKeyViewer のいずれかのロールが同時に割り当てられているプリンシパルを取得します。
|
Non org IAM member
API のカテゴリ名: |
検出結果の説明: 組織の認証情報を使用していないユーザーが存在します。現在 CIS GCP Foundations 1.0 では、この検出機能は @gmail.com のメールアドレスを持つ ID によってのみトリガーされます。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
IAM の許可ポリシー メタデータの
|
Open group IAM member
API のカテゴリ名: |
検出結果の説明: 承認なしで結合できる Google グループ アカウントは、IAM 許可ポリシーのプリンシパルとして使用されます。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
リソース メタデータの IAM ポリシーで、接頭辞 group が付いているメンバー(プリンシパル)を含むバインディングを確認します。グループがオープン グループの場合、Security Health Analytics はこの検出結果を生成します。
|
Over privileged service account user
API のカテゴリ名: |
検出結果の説明: ユーザーに、特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ユーザーまたはサービス アカウント トークン作成者のロールを付与されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、プロジェクト レベルの roles/iam.serviceAccountUser または roles/iam.serviceAccountTokenCreator が割り当てられているプリンシパルを確認します。
|
Primitive roles used
API のカテゴリ名: |
検出結果の説明: ユーザーに次のいずれかの基本ロールが付与されています。
これらのロールには過剰な権限が付与されるため、使用を回避する必要があります。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、
|
Redis role used on org
API のカテゴリ名: |
検出結果の説明: Redis IAM ロールが、組織レベルまたはフォルダレベルで割り当てられます。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアム
サポートされているアセット
コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、組織またはフォルダレベルで
|
Service account role separation
API のカテゴリ名: |
検出結果の説明: ユーザーにサービス アカウント管理者とサービス アカウント ユーザーのロールが割り当てられています。これは「職掌分散」の原則に違反しています。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、roles/iam.serviceAccountUser と roles/iam.serviceAccountAdmin の両方が割り当てられているプリンシパルを確認します。
|
Service account key not rotated
API のカテゴリ名: |
検出結果の説明: サービス アカウント キーは 90 日以上ローテーションされていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
サービス アカウントのキーメタデータの
|
User managed service account key
API のカテゴリ名: |
検出結果の説明: ユーザーがサービス アカウント キーを管理しています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
サービス アカウント キー メタデータの
|
KMS の脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud KMS 構成に関連し、KMS_SCANNER 検出機能タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
KMS key not rotated
API のカテゴリ名: |
検出結果の説明: Cloud KMS 暗号鍵にローテーションが構成されていません。暗号鍵は 90 日以内にローテーションする必要があります。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータで
|
KMS project has owner
API のカテゴリ名: |
検出結果の説明: 暗号鍵が含まれるプロジェクトに対するオーナー権限がユーザーに付与されています。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクト メタデータの IAM 許可ポリシーで、
|
KMS public key
API のカテゴリ名: |
検出結果の説明: Cloud KMS 暗号鍵は一般公開されています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
Too many KMS users
API のカテゴリ名: |
検出結果の説明: 暗号鍵のユーザーが 3 人を超えています。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
IAM 許可ポリシーでキーリング、プロジェクト、組織を確認し、Cloud KMS 鍵を使用してデータの暗号化、復号、または署名ができるロール(roles/owner、roles/cloudkms.cryptoKeyEncrypterDecrypter、roles/cloudkms.cryptoKeyEncrypter、roles/cloudkms.cryptoKeyDecrypter、roles/cloudkms.signer、roles/cloudkms.signerVerifier)を持つプリンシパルを取得します。
|
ロギングの脆弱性の検出
この検出機能タイプの脆弱性はすべてロギング構成に関連し、LOGGING_SCANNER 検出機能タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Audit logging disabled
API のカテゴリ名: |
検出結果の説明: このリソースの監査ロギングが無効になっています。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
リソース メタデータの IAM 許可ポリシーで、
|
Bucket logging disabled
API のカテゴリ名: |
検出結果の説明: ロギングが有効になっていないストレージ バケットがあります。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
バケットの
|
Locked retention policy not set
API のカテゴリ名: |
検出結果の説明: ロックされた保持ポリシーがログに設定されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
バケットの
|
Log not exported
API のカテゴリ名: |
検出結果の説明: 適切なログシンクが構成されていないリソースがあります。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット
コンプライアンス標準:
|
プロジェクトの
|
Object versioning disabled
API のカテゴリ名: |
検出結果の説明: シンクが構成されているストレージ バケットで、オブジェクトのバージョニングが有効になっていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
バケットの
|
モニタリングの脆弱性の検出
この検出機能タイプの脆弱性はすべてモニタリング構成に関連し、MONITORING_SCANNER タイプに属します。すべてのモニタリング検出機能の検出結果プロパティには、以下のものが含まれます。
-
ログ指標の作成に使用する
RecommendedLogFilter。 -
推奨されるログフィルタに記述されている条件に対応する
QualifiedLogMetricNames。 -
プロジェクトで適格なログ指標のいずれかに対してアラート ポリシーが作成されていないかどうか、または既存のアラート ポリシーに推奨設定が存在しないかどうかを表す
AlertPolicyFailureReasons。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Audit config not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:* に設定されているかを確認します。resource.type が指定されている場合は値が global かどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
Bucket IAM not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions" に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
Custom role not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
Firewall not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、Virtual Private Cloud(VPC)ネットワーク ファイアウォール ルールの変更をモニタリングするように構成されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
Network not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
Owner not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、プロジェクト所有権の割り当てまたは変更をモニタリングするように構成されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
Route not monitored
API のカテゴリ名: |
検出結果の説明: ログ指標とアラートが、VPC ネットワーク ルートの変更をモニタリングするように構成されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert") に設定されているかどうかを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
SQL instance not monitored
|
検出結果の説明: ログ指標とアラートが、Cloud SQL インスタンスの構成変更をモニタリングするように構成されていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
プロジェクトの LogsMetric リソースの filter プロパティが
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete" に設定されていることを確認します。resource.type が指定されている場合は、値が global であることを確認します。検出機能は対応する alertPolicy リソースも検索し、conditions プロパティと notificationChannels プロパティが正しく構成されているかどうかを確認します。
|
多要素認証の検出
MFA_SCANNER 検出機能は、ユーザーの多要素認証に関連する脆弱性を識別します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
MFA not enforced
API のカテゴリ名: |
2 段階認証プロセスを使用していないユーザーが存在します。 Google Workspace では、新規ユーザーのために 2 段階認証プロセスで登録する必要がある猶予期間を指定できます。この検出機能は、登録猶予期間中にユーザーの検出結果を作成します。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
組織の ID 管理ポリシーと、Cloud Identity の管理対象アカウントのユーザー設定を評価します。
|
ネットワークの脆弱性の検出
この検出機能タイプの脆弱性はすべて組織のネットワーク構成に関連し、NETWORK_SCANNER タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Default network
API のカテゴリ名: |
検出結果の説明: プロジェクトにデフォルト ネットワークが存在します。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ネットワーク メタデータの
|
DNS logging disabled
API のカテゴリ名: |
検出結果の説明: VPC ネットワーク上の DNS ロギングが有効になっていません。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
Legacy network
API のカテゴリ名: |
検出結果の説明: プロジェクトにレガシー ネットワークが存在します。 Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ネットワーク メタデータで、
|
Load balancer logging disabled
API のカテゴリ名: |
検出結果の説明: ロードバランサに対して Logging が無効になっています。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ロードバランサのバックエンド サービスの
|
組織のポリシーの脆弱性の検出
この検出機能タイプの脆弱性はすべて組織のポリシーの制約の構成に関連し、ORG_POLICY タイプに属します。
Pub/Sub の脆弱性の検出
この検出機能タイプの脆弱性はすべて Pub/Sub 構成に関連し、PUBSUB_SCANNER タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Pubsub CMEK disabled
API のカテゴリ名: |
検出結果の説明: Pub/Sub トピックが顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
|
SQL の脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud SQL の構成に関連し、SQL_SCANNER タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
AlloyDB auto backup disabled
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL クラスタで自動バックアップが有効になっていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
AlloyDB for PostgreSQL クラスタのメタデータ内の
|
AlloyDB log min error statement severity
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ログ内のメッセージ タイプが網羅されるように、
|
AlloyDB log min messages
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ログ内のメッセージ タイプが網羅されるように、
|
AlloyDB log error verbosity
API のカテゴリ名: |
検出結果の説明: AlloyDB for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ログ内のメッセージ タイプが網羅されるように、
|
Auto backup disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベースで自動バックアップが有効になっていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
Cloud SQL データの
|
Public SQL instance
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベース インスタンスは、すべての IP アドレスからの接続を受け入れます。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
Cloud SQL インスタンスの
|
SSL not enforced
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベース インスタンスが、すべての受信接続に SSL の使用を必要としていません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
Cloud SQL インスタンスの
|
SQL CMEK disabled
API のカテゴリ名: |
検出結果の説明: SQL データベース インスタンスが、顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
インスタンス メタデータの
|
SQL contained database authentication
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL cross DB ownership chaining
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL external scripts enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL local infile
API のカテゴリ名: |
検出結果の説明: Cloud SQL for MySQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log checkpoints disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log connections disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log disconnections disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log duration disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log error verbosity
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
|
SQL log lock waits disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log min duration statement enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL log min error statement
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log min error statement severity
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log min messages
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
ログ内のメッセージ タイプが網羅されるように、
|
SQL log executor stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log hostname enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
|
SQL log parser stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log planner stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
|
SQL log statement
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
|
SQL log statement stats enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
|
SQL log temp files
API のカテゴリ名: |
検出結果の説明: Cloud SQL for PostgreSQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL no root password
API のカテゴリ名: |
検出結果の説明: パブリック IP アドレスを持つ Cloud SQL データベースで、root アカウントのパスワードが構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
ルート アカウントの
|
SQL public IP
API のカテゴリ名: |
検出結果の説明: Cloud SQL データベースにパブリック IP アドレスが割り振られています。 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
Cloud SQL データベースの IP アドレスタイプがパブリックであることを示す
|
SQL remote access enabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL skip show database disabled
API のカテゴリ名: |
検出結果の説明: Cloud SQL for MySQL インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL trace flag 3625
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL user connections configured
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL user options configured
API のカテゴリ名: |
検出結果の説明: Cloud SQL for SQL Server インスタンスの 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
インスタンス メタデータの
|
SQL weak root password
API のカテゴリ名: |
検出結果の説明: パブリック IP アドレスを持つ Cloud SQL データベースで、root アカウントに脆弱なパスワードが構成されています。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
Cloud SQL データベースのルート アカウントのパスワードを共通のパスワード リストと比較します。
|
ストレージの脆弱性の検出
この検出機能タイプの脆弱性はすべて Cloud Storage バケットの構成に関連し、STORAGE_SCANNER タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Bucket CMEK disabled
API のカテゴリ名: |
検出結果の説明: バケットは顧客管理の暗号鍵(CMEK)で暗号化されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
バケットのメタデータに含まれる
|
Bucket policy only disabled
API のカテゴリ名: |
検出結果の説明: 均一なバケットレベルのアクセス(旧称「バケット ポリシーのみ」)は構成されていません。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
バケットの
|
Public bucket ACL
API のカテゴリ名: |
検出結果の説明: Cloud Storage バケットが一般公開されています。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
バケットの IAM 許可ポリシーで、
|
Public log bucket
API のカテゴリ名: |
検出結果の説明: ログシンクとして使用されるストレージ バケットが一般公開されています。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 料金ティア: プレミアムまたはスタンダード
サポートされているアセット コンプライアンス標準:
|
バケットの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル
|
サブネットワークの脆弱性の検出
この検出機能タイプの脆弱性はすべて、組織のサブネットワークの構成に関連し、SUBNETWORK_SCANNER タイプに属します。
| 検出機能 | 概要 | アセットのスキャン設定 |
|---|---|---|
Flow logs disabled
API のカテゴリ名: |
検出結果の説明: フローログが無効になっている VPC サブネットワークがあります。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
Compute Engine サブネットワークの
|
Flow logs settings not recommended
API のカテゴリ名: |
検出結果の説明: VPC サブネットワークで、VPC フローログがオフになっているか、CIS ベンチマーク 1.3 の推奨事項に従って構成されていません。この検出機能を有効にするには、追加の構成が必要です。手順については、検出機能を有効または無効にするをご覧ください。 料金ティア: プレミアム
サポートされているアセット コンプライアンス標準:
|
VPC サブネットワークの
|
Private Google access disabled
API のカテゴリ名: |
検出結果の説明: Google Public API にアクセスできないプライベート サブネットワークがあります。 料金ティア: プレミアム サポートされているアセット コンプライアンス標準:
|
Compute Engine サブネットワークの
|
AWS の検出結果
| 検出項目 | 概要 | アセットのスキャン設定 |
|---|---|---|
AWS Cloud Shell Full Access Restricted
API のカテゴリ名: |
検出結果の説明: AWS CloudShell は、AWS サービスに対して CLI コマンドを実行するための便利な方法です。マネージド IAM ポリシー(「AWSCloudShellFullAccess」)は、CloudShell への完全アクセス権を提供し、ユーザーのローカル システムと CloudShell 環境の間でファイルのアップロードとダウンロードを可能にします。CloudShell 環境内ではユーザーに sudo 権限が付与され、インターネットにアクセスできます。そのため、たとえばファイル転送ソフトウェアをインストールして、CloudShell から外部インターネット サーバーにデータを移動できます。 料金ティア: Enterprise コンプライアンス標準:
|
AWSCloudShellFullAccess へのアクセスが制限されていることを確認してください
|
Access Keys Rotated Every 90 Days or Less
API のカテゴリ名: |
検出結果の説明: アクセスキーは、アクセスキー ID とシークレット アクセスキーで構成されます。これらは、AWS に対するプログラムによるリクエストに署名するために使用されます。AWS ユーザーは、AWS コマンドライン インターフェース(AWS CLI)、Tools for Windows PowerShell、AWS SDK から AWS へのプログラムでの呼び出し、または個々の AWS サービスの API を使用して直接 HTTP 呼び出しを実行するために、独自のアクセスキーが必要です。すべてのアクセスキーを定期的にローテーションすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
アクセスキーが 90 日以内のサイクルでローテーションされていることを確認してください
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
API のカテゴリ名: |
検出結果の説明: AWS でウェブサイトまたはアプリケーションへの HTTPS 接続を有効にするには、SSL / TLS サーバー証明書が必要です。ACM または IAM を使用して、サーバー証明書の格納とデプロイを行うことができます。 料金ティア: Enterprise コンプライアンス標準:
|
AWS IAM に保存されていた期限切れの SSL / TLS 証明書がすべて削除されていることを確認してください
|
Autoscaling Group Elb Healthcheck Required
API のカテゴリ名: |
検出結果の説明: これにより、ロードバランサに関連付けられた自動スケーリング グループが Elastic Load Balancing のヘルスチェックを使用しているかどうかを確認します。 これにより、ロードバランサによって提供される追加テストに基づいて、グループがインスタンスの健全性を判断できるようになります。Elastic Load Balancing ヘルスチェックを使用すると、EC2 自動スケーリング グループを使用するアプリケーションの可用性をサポートできます。 料金ティア: Enterprise コンプライアンス標準:
|
ロードバランサに関連付けられたすべての自動スケーリング グループがヘルスチェックを使用していることを確認します。
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
API のカテゴリ名: |
検出結果の説明: 指定したメンテナンスの時間枠内にマイナー エンジン アップグレードを自動的に受け取るために、RDS データベース インスタンスでマイナー バージョン アップグレード フラグが有効になっていることを確認します。これにより、RDS インスタンスは、データベース エンジンの新機能、バグ修正、セキュリティ パッチを取得できます。 料金ティア: Enterprise コンプライアンス標準:
|
RDS インスタンスで、マイナー バージョンの自動アップグレード機能が有効になっていることを確認してください
|
Aws Config Enabled All Regions
API のカテゴリ名: |
検出結果の説明: AWS Config は、アカウント内でサポートされている AWS リソースの構成管理を行い、ログファイルを配信するウェブサービスです。記録される情報には、構成項目(AWS リソース)、構成項目(AWS リソース)間の関係、リソース間の構成変更が含まれます。AWS Config をすべてのリージョンで有効にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
すべてのリージョンで AWS Config が有効になっていることを確認してください
|
Aws Security Hub Enabled
API のカテゴリ名: |
検出結果の説明: Security Hub は、AWS アカウント、サービス、サポートされているパートナー事業者のプロダクトからセキュリティ データを収集して、セキュリティの傾向を分析し、優先度が最も高いセキュリティ問題を特定するのに役立ちます。Security Hub を有効にすると、Amazon GuardDuty、Amazon Inspector、Amazon Macie などの有効にした AWS サービスからの検出結果の利用、集約、整理、優先順位付けが開始されます。AWS のパートナー セキュリティ プロダクトとのインテグレーションを有効にすることもできます。 料金ティア: Enterprise コンプライアンス標準:
|
AWS Security Hub が有効になっていることを確認してください
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
API のカテゴリ名: |
検出結果の説明: AWS CloudTrail は、アカウントの AWS API 呼び出しを記録し、IAM ポリシーに従ってユーザーとリソースがそのログを利用できるようにするウェブサービスです。AWS 鍵管理サービス(KMS)は、アカウント データの暗号化に使用する暗号鍵の作成と制御を支援するマネージド サービスで、ハードウェア セキュリティ モジュール(HSM)を使用して暗号鍵のセキュリティを保護します。CloudTrailログは、サーバー側での暗号化(SSE)と KMS のお客様が作成したマスターキー(CMK)を活用して、CloudTrail ログをさらに保護するように構成できます。SSE-KMS を使用するように CloudTrail を構成することをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
CloudTrail ログが保存時に KMS CMK で暗号化されていることを確認してください
|
Cloudtrail Log File Validation Enabled
API のカテゴリ名: |
検出結果の説明: CloudTrail ログファイルの検証では、CloudTrail が S3 に書き込む各ログのハッシュを含むデジタル署名されたダイジェスト ファイルが作成されます。これらのダイジェスト ファイルを使用して、CloudTrail がログを配信した後にログファイルが変更されたか、削除されたか、変更されていないかを判断できます。すべての CloudTrail でファイル検証を有効にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
CloudTrail ログファイルの検証が有効になっていることを確認してください
|
Cloudtrail Trails Integrated Cloudwatch Logs
API のカテゴリ名: |
検出結果の説明: AWS CloudTrail は、特定の AWS アカウントで行われた AWS API 呼び出しを記録するウェブサービスです。記録される情報には、API 呼び出し元の ID、API 呼び出しの時刻、API 呼び出し元のソース IP アドレス、リクエスト パラメータ、AWS サービスから返されるレスポンス要素が含まれます。CloudTrail はログファイルの保存と配信に Amazon S3 を使用しているため、ログファイルは永続的に保存されます。長期分析のために指定した S3 バケット内の CloudTrail ログをキャプチャするだけでなく、CloudWatch Logs にログを送信するように CloudTrail を構成することでリアルタイム分析を実行できます。アカウント内のすべてのリージョンで有効になっている証跡の場合、CloudTrail はすべてのリージョンのログファイルを CloudWatch Logs ロググループに送信します。CloudTrail ログを CloudWatch Logs に送信することをおすすめします。 注: この推奨事項の目的は、AWS アカウントのアクティビティキャプチャされ、監視され、適切に警告されるようにすることです。CloudWatch Logs は、AWS サービスを使用してこれを行うネイティブな方法ですが、代替ソリューションの使用が排除されるわけではありません。 料金ティア: Enterprise コンプライアンス標準:
|
CloudTrail トレイルが CloudWatch ログに統合されていることを確認してください
|
Cloudwatch Alarm Action Check
API のカテゴリ名: |
検出結果の説明: これにより、Amazon Cloudwatch で、アラームが「OK」、「ALARM」、「INSUFFICIENT_DATA」の状態の間で遷移したときのアクションが定義されているかどうかがチェックされます。 Amazon CloudWatch のアラームで ALARM 状態に対するアクションを構成することは、モニタリング対象指標のしきい値に達したときに即時に応答するために非常に重要です。 アラームには少なくとも 1 つのアクションがあります。 料金ティア: Enterprise コンプライアンス標準:
|
CloudWatch アラームで、少なくとも 1 つのアラーム アクション、1 つの INSUFFICIENT_DATA アクション、1 つの OK アクションのいずれかが有効になっているかどうかを確認してください。
|
Cloudwatch Log Group Encrypted
API のカテゴリ名: |
検出結果の説明: このチェックにより、CloudWatch ログが KMS で構成されていることを確認できます。 ロググループ データは、CloudWatch Logs で常に暗号化されます。デフォルトでは、CloudWatch Logs は保存ログデータにサーバーサイド暗号化を使用します。この暗号化には、代わりに AWS 鍵管理サービスを使用できます。その場合、暗号化は AWS KMS 鍵を使用して行われます。AWS KMS を使用した暗号化は、ロググループの作成時または作成後に KMS 鍵をロググループに関連付けることで、ロググループ レベルで有効になります。 料金ティア: Enterprise コンプライアンス標準:
|
Amazon CloudWatch Logs のすべてのロググループが KMS を使用して暗号化されていることを確認します。
|
CloudTrail CloudWatch Logs Enabled
API のカテゴリ名: |
検出結果の説明: このコントロールは、CloudWatch Logs にログを送信するように CloudTrail の証跡が構成されているかどうかを確認します。証跡の CloudWatchLogsLogGroupArn プロパティが空の場合、コントロールは失敗します。 CloudTrail は、特定のアカウント内で行われた AWS API 呼び出しを記録します。記録される情報には次のようなものがあります。
CloudTrail は、ログファイルの保存と配信に Amazon S3 を使用します。長期的な分析のために、指定した S3 バケット内の CloudTrail ログをキャプチャできます。リアルタイム分析を実行するには、CloudWatch Logs にログを送信するように CloudTrail を構成します。 アカウント内のすべてのリージョンで有効になっている証跡の場合、CloudTrail はすべてのリージョンから CloudWatch Logs ロググループにログファイルを送信します。 Security Hub では、CloudTrail ログを CloudWatch Logs に送信することをおすすめします。この推奨事項は、アカウント アクティビティを確実にキャプチャ、モニタリングし、適切に警告することを目的としています。CloudWatch Logs を使用して、AWS サービスでこれを設定できます。この推奨事項によって、別のソリューションの使用が妨げられるわけではありません。 CloudTrail のログを CloudWatch Logs に送信すると、ユーザー、API、リソース、IP アドレスに基づいたリアルタイムと過去のアクティビティ ロギングが容易になります。この方法を使用すると、異常なアカウント アクティビティや機密性の高いアカウント アクティビティに対するアラームと通知を設定できます。 料金ティア: Enterprise コンプライアンス標準:
|
すべての CloudTrail トレイルが AWS CloudWatch にログを送信するように設定されていることを確認してください
|
No AWS Credentials in CodeBuild Project Environment Variables
API のカテゴリ名: |
検出結果の説明: これにより、プロジェクトに環境変数 認証情報 料金ティア: Enterprise コンプライアンス標準:
|
環境変数 AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY を含むすべてのプロジェクトが平文でないことを確認してください
|
Codebuild Project Source Repo Url Check
API のカテゴリ名: |
検出結果の説明: これにより、AWS CodeBuild プロジェクトの Bitbucket ソース リポジトリ URL に個人用アクセス トークンが含まれているか、ユーザー名とパスワードが含まれているかをチェックします。Bitbucket ソース リポジトリの URL に個人用アクセス トークンまたはユーザー名とパスワードが含まれている場合、コントロールは失敗します。 ログイン認証情報を、クリアテキストで保存または送信することや、ソース リポジトリの URL に表示することはしないでください。個人用アクセス トークンまたはログイン認証情報の代わりに、CodeBuild でソース プロバイダにアクセスし、ソース リポジトリの URL を変更して Bitbucket リポジトリのロケーションへのパスのみを含める必要があります。個人用のアクセス トークンやログイン認証情報を使用すると、意図しないデータ漏洩や不正アクセスが発生する可能性があります。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
github または bitbucket をソースとして使用するすべてのプロジェクトが OAuth を使用していることを確認してください
|
Credentials Unused 45 Days Greater Disabled
API のカテゴリ名: |
検出結果の説明: AWS IAM ユーザーは、パスワードやアクセスキーなど、さまざまな種類の認証情報を使用して AWS リソースにアクセスできます。45 日以上未使用の認証情報はすべて無効にするか削除することをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
45 日以上使用されていない認証情報が無効になっていることを確認してください
|
Default Security Group Vpc Restricts All Traffic
API のカテゴリ名: |
検出結果の説明: VPC にはデフォルトのセキュリティ グループがあり、初期設定では、すべてのインバウンド トラフィックが拒否され、すべてのアウトバウンド トラフィックが許可され、セキュリティ グループに割り当てられたインスタンス間のすべてのトラフィックが許可されます。インスタンスを起動するときにセキュリティ グループを指定しない場合、インスタンスは自動的にこのデフォルト セキュリティ グループに割り当てられます。セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。デフォルトのセキュリティ グループですべてのトラフィックを制限することをおすすめします。 すべてのリージョンのデフォルトの VPC では、準拠するようにデフォルトのセキュリティ グループを更新する必要があります。新しく作成された VPC には、この推奨事項に準拠する修復が必要なデフォルトのセキュリティ グループが自動的に含まれます。 注: この推奨事項を実装する際には、VPC フローロギングによって現在のセキュリティ グループで発生したすべてのパケットの受け入れと拒否をログに記録できるため、システムが正常に動作するために必要な最小権限のポートアクセスを決定するうえで、VPC フローロギングが役立ちます。これにより、環境内のシステムで必要とされる最小限のポートの検出、すなわち最小権限エンジニアリングへの主要な障壁が劇的に軽減します。このベンチマークの VPC フローロギングの推奨事項が永続的なセキュリティ対策として導入されていない場合でも、最小限の権限のセキュリティ グループの検出とエンジニアリングの実行中に使用する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
それぞれの VPC のデフォルト セキュリティ グループがすべてのトラフィックを制限することを確認してください
|
Dms Replication Not Public
API のカテゴリ名: |
検出結果の説明: AWS DMS レプリケーション インスタンスがパブリックかどうかを確認します。これを行うには、 プライベート レプリケーション インスタンスには、レプリケーション ネットワークの外部からはアクセスできないプライベート IP アドレスがあります。ソース データベースとターゲット データベースが同じネットワーク内にある場合、レプリケーション インスタンスにプライベート IP アドレスが必要です。また、ネットワークは、VPN、AWS Direct Connect、VPC ピアリングを使用してレプリケーション インスタンスの VPC に接続されている必要があります。パブリック レプリケーション インスタンスとプライベート レプリケーション インスタンスの詳細については、AWS Database Migration Service ユーザーガイドのパブリック レプリケーション インスタンスとプライベート レプリケーション インスタンスをご覧ください。 また、AWS DMS インスタンス構成へのアクセスが、承認されたユーザーのみに制限されていることも確認する必要があります。これを行うには、AWS DMS の設定とリソースを変更するユーザーの IAM 権限を制限します。 料金ティア: Enterprise コンプライアンス標準:
|
AWS Database Migration Service レプリケーション インスタンスがパブリックかどうかを確認してください
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
API のカテゴリ名: |
検出結果の説明: AWS コンソールでは、新しい IAM ユーザーの作成時に、デフォルトでチェックボックスがオンになっていません。IAM ユーザー認証情報を作成する際は、必要なアクセスの種類を決定する必要があります。 プログラムからのアクセス: IAM ユーザーは、API 呼び出し、AWS CLI の使用、または Windows PowerShell のツールの使用が必要になる場合があります。その場合は、そのユーザーのアクセスキー(アクセスキー ID とシークレット アクセスキー)を作成します。 AWS 管理コンソールへのアクセス: ユーザーが AWS 管理コンソールにアクセスする必要がある場合、ユーザーのパスワードを作成します。 料金ティア: Enterprise コンプライアンス標準:
|
コンソール パスワードを持つすべての IAM ユーザーには、初期ユーザー設定時にアクセスキーを設定しないでください
|
Dynamodb Autoscaling Enabled
API のカテゴリ名: |
検出結果の説明: これにより、Amazon DynamoDB テーブルが、必要に応じて読み取りおよび書き込み容量をスケーリングできるかどうかを確認します。このコントロールは、テーブルがオンデマンド容量モードまたは自動スケーリングが構成されたプロビジョニング モードのいずれかを使用している場合にパスします。需要に応じて容量をスケーリングすると、スロットリング例外を回避でき、アプリケーションの可用性を維持できます。 オンデマンド容量モードの DynamoDB テーブルは、DynamoDB スループットのデフォルトのテーブル割り当てによってのみ制限されます。これらの割り当てを増やすには、AWS サポートからサポート チケットを提出します。 自動スケーリングを使用するプロビジョニング モードの DynamoDB テーブルは、トラフィック パターンに応じてプロビジョニングされたスループット容量を動的に調整します。DynamoDB リクエスト スロットリングについて詳しくは、Amazon DynamoDB デベロッパー ガイドの「リクエスト スロットリングとバースト容量」をご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
DynamoDB テーブルは需要に合わせて容量を自動的にスケーリングする必要があります
|
Dynamodb In Backup Plan
API のカテゴリ名: |
検出結果の説明: このコントロールは、DynamoDB テーブルがバックアップ プランの対象となるかどうかを評価します。DynamoDB テーブルがバックアップ プランの対象とならない場合、コントロールは失敗します。このコントロールは、アクティブ状態の DynamoDB テーブルのみを評価します。 バックアップを使用すると、セキュリティ インシデントからより速やかに復旧できます。また、システムのレジリエンスも強化されます。バックアップ プランに DynamoDB テーブルを含めると、意図しない損失や削除からデータを保護できます。 料金ティア: Enterprise コンプライアンス標準:
|
DynamoDB テーブルはバックアップ プランの対象にする必要があります
|
Dynamodb Pitr Enabled
API のカテゴリ名: |
検出結果の説明: ポイントインタイム リカバリ(PITR)は、DynamoDB テーブルをバックアップするために使用できるメカニズムの 1 つです。 ポイントインタイムのバックアップは 35 日間保持されます。長期保存が必要な場合は、AWS ドキュメントの AWS Backup を使用して Amazon DynamoDB のスケジュールされたバックアップを設定するをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての AWS DynamoDB テーブルでポイントインタイム リカバリ(PITR)が有効になっていることを確認します。
|
Dynamodb Table Encrypted Kms
API のカテゴリ名: |
検出結果の説明: すべての DynamoDB テーブルが、顧客管理の KMS 鍵(デフォルト以外)で暗号化されているかどうかを確認します。 料金ティア: Enterprise コンプライアンス標準:
|
すべての DynamoDB テーブルが AWS Key Management Service(KMS)で暗号化されていることを確認してください
|
Ebs Optimized Instance
API のカテゴリ名: |
検出結果の説明: EBS 用に最適化できる EC2 インスタンスで EBS の最適化が有効になっているかどうかを確認します 料金ティア: Enterprise コンプライアンス標準:
|
EBS 最適化をサポートするすべてのインスタンスで EBS 最適化が有効になっていることを確認してください
|
Ebs Snapshot Public Restorable Check
API のカテゴリ名: |
検出結果の説明: Amazon Elastic Block Store のスナップショットが公開されていないかどうかを確認します。Amazon EBS スナップショットが誰でも復元可能である場合、コントロールは失敗します。 EBS スナップショットは、特定の時点で EBS ボリューム上のデータを Amazon S3 へバックアップするのに使用されます。スナップショットを使用して、EBS ボリュームの以前の状態を復元できます。スナップショットを一般公開することが許容されることはほとんどありません。通常、スナップショットを一般公開する決定は誤りか、その影響を十分に理解することなく行われたものです。このチェックにより、そのような共有がすべて完全に計画され、意図されたものであることを確認できます。 料金ティア: Enterprise コンプライアンス標準:
|
Amazon EBS スナップショットは公的に復元可能であってはなりません
|
Ebs Volume Encryption Enabled All Regions
API のカテゴリ名: |
検出結果の説明: Elastic Compute Cloud(EC2)は、Elastic Block Store(EBS)サービス使用時の保存データの暗号化をサポートしています。デフォルトでは無効になっていますが、EBS ボリューム作成時の強制暗号化がサポートされています。 料金ティア: Enterprise コンプライアンス標準:
|
すべてのリージョンで EBS ボリュームの暗号化が有効になっていることを確認してください
|
Ec2 Instances In Vpc
API のカテゴリ名: |
検出結果の説明: Amazon VPC は、EC2 Classic よりも多くのセキュリティ機能を提供します。すべてのノードを Amazon VPC に所属させることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
すべてのインスタンスが VPC に属していることを確認してください
|
Ec2 Instance No Public Ip
API のカテゴリ名: |
検出結果の説明: パブリック IP アドレスを持つ EC2 インスタンスは、侵害されるリスクが高くなります。EC2 インスタンスは、パブリック IP アドレスで構成しないようにすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
インスタンスにパブリック IP がないことを確認してください
|
Ec2 Managedinstance Association Compliance Status Check
API のカテゴリ名: |
検出結果の説明: State Manager の関連付けは、マネージド インスタンスに割り当てられる構成です。この構成では、インスタンスで維持する状態を定義します。関連付けでは、たとえば、インスタンスにウイルス対策ソフトウェアをインストールして実行する必要があることや、特定のポートを閉じる必要があることを指定できます。AWS Systems Managerと関連付けられている EC2 インスタンスは Systems Manager の管理下にあるため、パッチの適用、構成ミスの修正、セキュリティ イベントへの対応が容易になります。 料金ティア: Enterprise コンプライアンス標準:
|
AWS システム マネージャーの関連付けのコンプライアンス ステータスを確認します
|
Ec2 Managedinstance Patch Compliance Status Check
API のカテゴリ名: |
検出結果の説明: このコントロールは、インスタンスで関連付けが実行された後、AWS Systems Manager の関連付けのコンプライアンス ステータスが COMPLIANT または NON_COMPLIANT かどうかを確認します。関連付けのコンプライアンス ステータスが NON_COMPLIANT の場合、コントロールは失敗します。 State Manager の関連付けは、マネージド インスタンスに割り当てられる構成です。この構成では、インスタンスで維持する状態を定義します。関連付けでは、たとえば、インスタンスにウイルス対策ソフトウェアをインストールして実行する必要があることや、特定のポートを閉じる必要があることを指定できます。 1 つ以上の State Manager の関連付けを作成すると、コンプライアンス ステータス情報を直ちに入手できます。コンプライアンス ステータスは、コンソールで、または AWS CLI コマンドや対応する Systems Manager API アクションに応答して確認できます。関連付けについては、[設定のコンプライアンス] にコンプライアンス ステータス(準拠または非準拠)が表示されます。また、関連付けに割り当てられた重大度レベル(重大、中など)も表示されます。 State Manager の関連付けのコンプライアンスの詳細については、AWS Systems Manager ユーザーガイドの State Manager の関連付けのコンプライアンスについてをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
AWS Systems Manager のパッチ コンプライアンスのステータスを確認してください
|
Ec2 Metadata Service Allows Imdsv2
API のカテゴリ名: |
検出結果の説明: AWS EC2 インスタンスでメタデータ サービスを有効にする場合、ユーザーはインスタンス メタデータ サービス バージョン 1(IMDSv1、リクエスト / レスポンス メソッド)またはインスタンス メタデータ サービス バージョン 2(IMDSv2、セッション指向メソッド)のいずれかを使用できます。 料金ティア: Enterprise コンプライアンス標準:
|
EC2 メタデータ サービスが IMDSv2 のみを許可するようにしてください
|
Ec2 Volume Inuse Check
API のカテゴリ名: |
検出結果の説明: AWS の毎月の請求費用を削減するために、AWS アカウントでアタッチされていない(未使用の)Elastic Block Store(EBS)ボリュームを特定して削除します。未使用の EBS ボリュームを削除することで、機密データやセンシティブ データがプレミスから漏洩するリスクも軽減されます。さらに、このコントロールでは、EC2 インスタンスが終了時にボリュームを削除するように構成されたかどうかも確認します。 デフォルトでは、EC2 インスタンスは、インスタンスに関連付けられている EBS ボリューム内のデータと、インスタンスのルート EBS ボリュームを削除するように構成されています。ただし、起動時または実行中にインスタンスにアタッチされたルート以外の EBS ボリュームは、デフォルトで終了後に保持されます。 料金ティア: Enterprise コンプライアンス標準:
|
EBS ボリュームが EC2 インスタンスにアタッチされており、インスタンスの終了時に削除されるように構成されているかどうかを確認してください
|
Efs Encrypted Check
API のカテゴリ名: |
検出結果の説明: Amazon EFS では、ファイル システムの暗号化形式として、転送中のデータの暗号化と保存データの暗号化の 2 つをサポートしています。これにより、アカウントで有効なすべてのリージョンで、すべての EFS ファイル システムに保存データの暗号化が構成されていることを確認します。 料金ティア: Enterprise コンプライアンス標準:
|
KMS を使用してファイルデータを暗号化するように EFS が構成されているかどうかを確認してください
|
Efs In Backup Plan
API のカテゴリ名: |
検出結果の説明: Amazon のベスト プラクティスでは、Elastic File Systems(EFS)のバックアップを構成することをおすすめします。これにより、AWS アカウントの有効なすべてのリージョンで、有効なバックアップについてすべての EFS を確認します。 料金ティア: Enterprise コンプライアンス標準:
|
EFS ファイル システムが AWS バックアップ プランに含まれているかどうかを確認してください
|
Elb Acm Certificate Required
API のカテゴリ名: |
検出結果の説明: 従来型ロードバランサが AWS Certificate Manager(ACM)によって提供される HTTPS/SSL 証明書を使用するかどうかを確認します。HTTPS/SSL リスナーで構成された従来型ロードバランサが ACM から提供された証明書を使用しない場合、コントロールは失敗します。 証明書を作成するには、ACM、または SSL プロトコルと TLS プロトコルをサポートするツール(OpenSSL など)を使用できます。Security Hub では、ACM を使用してロードバランサの証明書を作成またはインポートすることをおすすめします。 ACM は従来型ロードバランサと統合されているため、ロードバランサに証明書をデプロイできます。また、これらの証明書を自動更新する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
すべての従来型ロードバランサで AWS Certificate Manager が提供する SSL 証明書を使用していることを確認してください
|
Elb Deletion Protection Enabled
API のカテゴリ名: |
検出結果の説明: アプリケーション ロードバランサで削除からの保護が有効になっているかどうかを確認します。削除保護が構成されていない場合、コントロールは失敗します。 削除保護を有効にして、アプリケーション ロードバランサを削除から保護します。 料金ティア: Enterprise コンプライアンス標準:
|
アプリケーション ロードバランサの削除保護を有効にする必要があります
|
Elb Logging Enabled
API のカテゴリ名: |
検出結果の説明: これにより、アプリケーション ロードバランサと従来型ロードバランサでロギングが有効になっているかどうかを確認します。access_logs.s3.enabled が false の場合、コントロールは失敗します。 Elastic Load Balancing は、ロードバランサに送信されたリクエストに関する詳細情報をキャプチャするアクセスログを提供します。各ログには、リクエストを受信した時刻、クライアントの IP アドレス、レイテンシ、リクエストパス、サーバー レスポンスなどの情報が含まれています。これらのアクセスログを使用して、トラフィック パターンを分析し、問題のトラブルシューティングを行うことができます。 詳細については、従来型ロードバランサのユーザーガイドの 従来型ロードバランサのログにアクセスするをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
従来型ロードバランサとアプリケーション ロードバランサのロギングが有効になっているかどうかを確認してください
|
Elb Tls Https Listeners Only
API のカテゴリ名: |
検出結果の説明: このチェックにより、すべての従来のロードバランサが安全な通信を使用するように構成されていることを確認します。 リスナーは接続リクエストを確認するプロセスです。フロントエンド(クライアントからロードバランサ)接続用のプロトコルとポート、バックエンド(ロードバランサからインスタンス)接続用のプロトコルとポートで構成されます。Elastic Load Balancing でサポートされているポート、プロトコル、リスナー構成については、従来型ロードバランサのリスナーをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての従来型ロードバランサが SSL リスナーまたは HTTPS リスナーを使用して構成されていることを確認してください
|
Encrypted Volumes
API のカテゴリ名: |
検出結果の説明: アタッチされた状態の EBS ボリュームが暗号化されているかどうかを確認します。このチェックに合格するには、EBS ボリュームが使用中であり、暗号化されている必要があります。EBS ボリュームがアタッチされていない場合、このチェックの対象ではありません。 EBS ボリューム内の機密データのセキュリティを強化するには、EBS の保存データの暗号化を有効にする必要があります。Amazon EBS の暗号化により、独自の鍵管理インフラストラクチャを構築、維持、保護しなくても、EBS リソース用の簡単な暗号化ソリューションが提供されます。暗号化されたボリュームとスナップショットを作成するときに、KMS 鍵が使用されます。 Amazon EBS の暗号化の詳細については、Linux インスタンス用の Amazon EC2 ユーザーガイドの Amazon EBS 暗号化をご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
アタッチされた Amazon EBS ボリュームは保存時に暗号化される必要があります
|
Encryption At Rest Enabled Rds Instances
API のカテゴリ名: |
検出結果の説明: Amazon RDS 暗号化 DB インスタンスは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon RDS DB インスタンスをホストするサーバー上のデータを暗号化します。データを暗号化した後、Amazon RDS は、パフォーマンスへの影響を最小限に抑えながら、データのアクセス認証と復号を透過的に処理します。 料金ティア: Enterprise コンプライアンス標準:
|
RDS インスタンスに対して保存データの暗号化が有効になっていることを確認してください
|
Encryption Enabled Efs File Systems
API のカテゴリ名: |
検出結果の説明: EFS データは、AWS KMS(鍵管理サービス)を使用して保存時に暗号化する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
EFS ファイル システムで暗号化が有効になっていることを確認してください
|
Iam Password Policy
API のカテゴリ名: |
検出結果の説明: AWS では、AWS アカウントのカスタム パスワード ポリシーで、IAM ユーザーのパスワードに複雑な要件と必須のローテーション期間を指定できます。カスタム パスワード ポリシーを設定しない場合、IAM ユーザー パスワードはデフォルトの AWS パスワード ポリシーを満たしている必要があります。AWS のセキュリティに関するベスト プラクティスでは、次のパスワードの複雑さの要件が推奨されています。
このコントロールにより、指定されたすべてのパスワード ポリシー要件が確認されます。 料金ティア: Enterprise コンプライアンス標準:
|
IAM ユーザーのアカウント パスワード ポリシーで指定の要件が満たされているかどうかを確認してください
|
Iam Password Policy Prevents Password Reuse
API のカテゴリ名: |
検出結果の説明: IAM パスワード ポリシーを使用すると、同じユーザーが特定のパスワードを再利用しないようにできます。パスワード ポリシーで、パスワードの再利用を防止することをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
IAM パスワード ポリシーでパスワードの再利用が禁止されていることを確認してください
|
Iam Password Policy Requires Minimum Length 14 Greater
API のカテゴリ名: |
検出結果の説明: パスワード ポリシーの一部は、パスワードの複雑さに関する要件を適用するために使用されます。IAM パスワード ポリシーを使用して、パスワードが所定の長さ以上になるようにできます。パスワード ポリシーでは、最小のパスワードの長さを 14 文字にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
IAM パスワード ポリシーで 14 文字以上の長さが必須になっていることを確認してください
|
Iam Policies Allow Full Administrative Privileges Attached
API のカテゴリ名: |
検出結果の説明: IAM ポリシーは、権限をユーザー、グループ、ロールに付与する方法です。一般的なセキュリティに関するアドバイスとして「最小権限」を付与する(つまり、タスクの実行に必要な権限のみを付与する)ことが推奨されます。ユーザーが行う必要がある操作を決定し、完全な管理者権限を許可するのではなく、ユーザーがそのタスクのみを実行できるようにするポリシーを作成します。 料金ティア: Enterprise コンプライアンス標準:
|
完全な管理者権限(*:*)を許可する IAM ポリシーがアタッチされていないことを確認してください
|
Iam Users Receive Permissions Groups
API のカテゴリ名: |
検出結果の説明: IAM ユーザーに、IAM ポリシーによってサービス、関数、データへのアクセス権が付与されます。ユーザーのポリシーを定義するには、次の 4 つの方法があります。1)ユーザー ポリシーを直接編集する。別名インライン ポリシー、またはユーザー、ポリシー。2)ポリシーをユーザーに直接アタッチする。3)ポリシーがアタッチされている IAM グループにユーザーを追加する。4)インライン ポリシーを持つ IAM グループにユーザーを追加する。 3 つ目の実装のみをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
IAM ユーザーがグループを介してのみ権限を取得していることを確認してください
|
Iam User Group Membership Check
API のカテゴリ名: |
検出結果の説明: IAM のセキュリティのベスト プラクティスに準拠するには、IAM ユーザーは常に IAM グループに属している必要があります。 グループにユーザーを追加することで、ユーザータイプ間でポリシーを共有できます。 料金ティア: Enterprise コンプライアンス標準:
|
IAM ユーザーが少なくとも 1 つの IAM グループのメンバーであるかどうかを確認してください
|
Iam User Mfa Enabled
API のカテゴリ名: |
検出結果の説明: 多要素認証(MFA)は、ユーザー名とパスワードの上に保護レイヤを追加できるベスト プラクティスです。MFA では、ユーザーが AWS 管理コンソールにログインする際に、登録済みの仮想デバイスまたは実機で提供される、時間的制約のある認証コードの入力を求められます。 料金ティア: Enterprise コンプライアンス標準:
|
AWS IAM ユーザーが多要素認証(MFA)を有効にしていることを確認してください
|
Iam User Unused Credentials Check
API のカテゴリ名: |
検出結果の説明: これにより、過去 90 日間に使用されていない IAM パスワードまたはアクティブなアクセスキーを確認します。 ベストプラクティスでは、90 日以上使用されていないすべての認証情報を削除、無効化、またはローテーションすることをおすすめします。これにより、不正使用されたアカウントや放棄されたアカウントに関連付けられた認証情報が使用される機会が減少します。 料金ティア: Enterprise コンプライアンス標準:
|
すべての AWS IAM ユーザーが、maxCredentialUsageAge 日間使用されていないパスワードまたはアクティブなアクセスキーを持っていることを確認してください(デフォルトは 90 日)
|
Kms Cmk Not Scheduled For Deletion
API のカテゴリ名: |
検出結果の説明: このコントロールでは、KMS 鍵が削除されるようにスケジュールされているかどうかを確認します。KMS 鍵の削除がスケジュールされている場合、このコントロールは失敗します。 一度削除した KMS 鍵は復元できません。KMS 鍵で暗号化されたデータも、KMS 鍵が削除されると完全に回復不能となります。削除がスケジュールされている KMS 鍵で意味のあるデータが暗号化されている場合は、暗号消去を意図的に実行していない限り、データを復号するか、新しい KMS 鍵でデータを再暗号化することを検討してください。 KMS 鍵の削除がスケジュールされているときには、必須の待機期間が適用され、誤って削除されるようにスケジュールされていた場合に削除を元に戻すことができます。デフォルトの待機期間は 30 日間ですが、KMS 鍵の削除がスケジュールされている場合は、7 日間まで短縮できます。待機期間中は、スケジュール設定された削除をキャンセルでき、KMS 鍵は削除されません。 KMS 鍵の削除の詳細については、AWS Key Management Service デベロッパー ガイドの KMS 鍵の削除をご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての CMK で削除がスケジュールされていないことを確認してください
|
Lambda Concurrency Check
API のカテゴリ名: |
検出結果の説明: Lambda 関数が、関数レベルの同時実行制限で構成されているかどうかを確認します。Lambda 関数が関数レベルの同時実行制限で構成されていない場合、ルールは NON_COMPLIANT になります。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
Lambda 関数に関数レベルの同時実行制限が構成されているかどうかを確認してください
|
Lambda Dlq Check
API のカテゴリ名: |
検出結果の説明: Lambda 関数にデッドレター キューで構成されているかどうかを確認します。Lambda 関数がデッドレター キューで構成されていない場合、ルールは NON_COMPLIANT です。 料金ティア: Enterprise コンプライアンス標準:
|
Lambda 関数にデッドレター キューが構成されていることを確認してください
|
Lambda Function Public Access Prohibited
API のカテゴリ名: |
検出結果の説明: AWS のベスト プラクティスでは、Lambda 関数を公開しないことをおすすめします。このポリシーは、アカウント内のすべての有効なリージョンでデプロイされたすべての Lambda 関数を確認し、公開アクセスを許可するように構成されている場合は失敗します。 料金ティア: Enterprise コンプライアンス標準:
|
Lambda 関数にアタッチされたポリシーが公開アクセスを禁止しているかどうかを確認してください
|
Lambda Inside Vpc
API のカテゴリ名: |
検出結果の説明: Lambda 関数が VPC 内にあるかどうかを確認します。Lambda@Edge リソースで失敗した検出結果が表示されることがあります。 VPC サブネット ルーティング構成の評価は、公開ネットワーク到達性を判断しません。 料金ティア: Enterprise コンプライアンス標準:
|
Lambda 関数が VPC 内に存在することを確認してください
|
Mfa Delete Enabled S3 Buckets
API のカテゴリ名: |
検出結果の説明: プライベートで機密性の高い S3 バケットで MFA 削除を有効にすると、ユーザーは 2 つの形式の認証が必要になります。 料金ティア: Enterprise コンプライアンス標準:
|
S3 バケットで MFA の削除が有効になっていることを確認してください
|
Mfa Enabled Root User Account
API のカテゴリ名: |
検出結果の説明: 「root」ユーザー アカウントは、AWS アカウント内で最も権限のあるユーザーです。多要素認証(MFA)によって、ユーザー名とパスワードに加えてさらに保護が強化されます。MFA を有効にすると、ユーザーが AWS ウェブサイトにログインするときに、ユーザー名とパスワードおよび AWS MFA デバイスの認証コードの入力を求められます。 注:「root」アカウントに仮想 MFA を使用する場合は、個人用デバイスではなく、個人用のデバイスとは別に充電され、保護されるように管理された専用のモバイル デバイス(タブレットまたはスマートフォン)を使用することをおすすめします。(「非個人用の仮想 MFA」)これにより、デバイスの紛失、デバイスの下取り、またはデバイスを所有している個人が会社を退職した場合に MFA にアクセスできなくなるリスクを軽減できます。 料金ティア: Enterprise コンプライアンス標準:
|
root ユーザー アカウントで MFA が有効になっていることを確認してください
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
API のカテゴリ名: |
検出結果の説明: 多要素認証(MFA)では、従来の認証情報に加えて、認証保証が追加されます。MFA を有効にすると、ユーザーが AWS コンソールにログインするときに、ユーザー名とパスワード、および物理または仮想の MFA トークンの認証コードの入力を求められます。コンソール パスワードを持つすべてのアカウントで MFA を有効にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
コンソール パスワードを持つすべての IAM ユーザーに対して、多要素認証(MFA)が有効になっていることを確認してください
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
API のカテゴリ名: |
検出結果の説明: ネットワーク アクセス制御リスト(NACL)関数は、AWS リソースへの上り(内向き)と下り(外向き)のネットワーク トラフィックのステートレス フィルタリングを提供します。TDP(6)、UDP(17)、または ALL(-1)プロトコルのいずれかを使用して、リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 料金ティア: Enterprise コンプライアンス標準:
|
0.0.0.0/0 からリモート サーバー管理ポートへの上り(内向き)を許可するネットワーク ACL がないことを確認してください
|
No Root User Account Access Key Exists
API のカテゴリ名: |
検出結果の説明: 「root」ユーザー アカウントは、AWS アカウント内で最も権限のあるユーザーです。AWS アクセスキーを使用すると、特定の AWS アカウントにプログラムからアクセスできます。「root」ユーザー アカウントに関連付けられているすべてのアクセスキーを削除することをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
root ユーザー アカウントのアクセスキーが存在しないことを確認してください
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
API のカテゴリ名: |
検出結果の説明: セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。TDP(6)、UDP(17)、または ALL(-1)プロトコルのいずれかを使用して、リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 料金ティア: Enterprise コンプライアンス標準:
|
0.0.0.0/0 からリモート サーバー管理ポートへの上り(内向き)を許可するセキュリティ グループがないことを確認してください
|
No Security Groups Allow Ingress 0 Remote Server Administration
API のカテゴリ名: |
検出結果の説明: セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。リモート サーバー管理ポートへの無制限の上り(内向き)アクセス(ポート 料金ティア: Enterprise コンプライアンス標準:
|
::/0 からリモート サーバー管理ポートへの上り(内向き)を許可するセキュリティ グループがないことを確認してください
|
One Active Access Key Available Any Single Iam User
API のカテゴリ名: |
検出結果の説明: アクセスキーは、IAM ユーザーまたは AWS アカウントの「root」ユーザーの長期的な認証情報です。アクセスキーを使用して、AWS CLI または AWS API へのプログラムによるリクエストに署名できます(直接または AWS SDK を使用)。 料金ティア: Enterprise コンプライアンス標準:
|
単一の IAM ユーザーが利用できるアクティブなアクセスキーが 1 つだけであることを確認してください
|
Public Access Given Rds Instance
API のカテゴリ名: |
検出結果の説明: セキュリティ リスクを最小限に抑えるために、AWS アカウントでプロビジョニングされている RDS データベース インスタンスで不正アクセスが制限されていることを確認します。一般公開されている RDS データベース インスタンスへのアクセスを制限するには、データベースの Publicly Accessible フラグを無効にして、インスタンスに関連付けられた VPC セキュリティ グループを更新する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
RDS インスタンスにパブリック アクセスが付与されていないことを確認してください
|
Rds Enhanced Monitoring Enabled
API のカテゴリ名: |
検出結果の説明: 拡張モニタリングは、インスタンスにインストールされているエージェントを介して、RDS インスタンスが実行されているオペレーティング システムに関するリアルタイム指標を提供します。 詳細については、拡張モニタリングを使用した OS 指標のモニタリングをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての RDS DB インスタンスに対して拡張モニタリングが有効になっていることを確認してください
|
Rds Instance Deletion Protection Enabled
API のカテゴリ名: |
検出結果の説明: インスタンスの削除保護を有効にすると、データベースの偶発的な削除や権限のないエンティティによる削除に対して保護レイヤを追加できます。 削除からの保護が有効になっている場合は、RDS DB インスタンスを削除できません。削除リクエストが成功するには、削除保護を無効にする必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
すべての RDS インスタンスで削除保護が有効になっていることを確認してください
|
Rds In Backup Plan
API のカテゴリ名: |
検出結果の説明: このチェックにより、Amazon RDS DB インスタンスがバックアップ プランの対象かどうかを評価します。RDS DB インスタンスがバックアップ プランでカバーされていない場合、このコントロールは失敗します。 AWS Backup は、AWS サービス間でデータのバックアップを一元化して自動化するフルマネージド バックアップ サービスです。AWS Backup では、バックアップ プランと呼ばれるバックアップ ポリシーを作成できます。これらのプランを使用して、データをバックアップする頻度やバックアップを保持する期間などのバックアップ要件を定義できます。バックアップ プランに RDS DB インスタンスを含めると、意図しない損失や削除からデータを保護できます。 料金ティア: Enterprise コンプライアンス標準:
|
RDS DB インスタンスをバックアップ プランの対象にする必要があります
|
Rds Logging Enabled
API のカテゴリ名: |
検出結果の説明: これにより、次の Amazon RDS のログが有効で、CloudWatch に送信されるかどうかを確認します。 RDS データベースで関連するログが有効になっている必要があります。データベース ロギングでは、RDS に対して行われたリクエストの詳細レコードが提供されます。データベース ログは、セキュリティとアクセスの監査、可用性の問題の診断に役立ちます。 料金ティア: Enterprise コンプライアンス標準:
|
エクスポートされたログがすべての RDS DB インスタンスに対して有効になっていることを確認してください
|
Rds Multi Az Support
API のカテゴリ名: |
検出結果の説明: RDS DB インスタンスは、複数のアベイラビリティ ゾーン(AZ)用に構成する必要があります。これにより、保存されたデータの可用性が確保されます。マルチ AZ デプロイでは、アベイラビリティ ゾーンの可用性で問題が発生した場合や、RDS の定期メンテナンス中に自動フェイルオーバーが可能になります。 料金ティア: Enterprise コンプライアンス標準:
|
すべての RDS DB インスタンスに対して高可用性が有効になっていることを確認してください
|
Redshift Cluster Configuration Check
API のカテゴリ名: |
検出結果の説明: これにより、Redshift クラスタの重要な要素(保存データの暗号化、ロギング、ノードタイプ)を確認。 これらの構成項目は、安全で監視可能な Redshift クラスタのメンテナンスにおいて重要です。 料金ティア: Enterprise コンプライアンス標準:
|
すべての Redshift クラスタに保存データの暗号化、ロギング、ノードタイプがあることを確認してください。
|
Redshift Cluster Maintenancesettings Check
API のカテゴリ名: |
検出結果の説明: メジャー バージョンの自動アップグレードはメンテナンスの時間枠に従って行われます 料金ティア: Enterprise コンプライアンス標準:
|
すべての Redshift クラスタで allowVersionUpgrade が有効になっており、preferredMaintenanceWindow と automaticSnapshotRetentionPeriod が設定されていることを確認してください
|
Redshift Cluster Public Access Check
API のカテゴリ名: |
検出結果の説明: Amazon Redshift クラスタ構成の PubliclyAccessible 属性は、クラスタが一般公開されているかどうかを示します。クラスタが PubliclyAccessible を true に設定して構成されている場合、これは一般公開された解決可能な DNS 名を持つインターネット接続インスタンスであり、パブリック IP アドレスに解決されます。 クラスタが一般公開されていない場合、プライベート IP アドレスに解決される DNS 名を持つ内部インスタンスです。クラスタを一般公開する場合を除き、クラスタでは PubliclyAccessible を true に設定しないでください。 料金ティア: Enterprise コンプライアンス標準:
|
Redshift クラスタが公開されていてアクセス可能かどうかを確認してください
|
Restricted Common Ports
API のカテゴリ名: |
検出結果の説明: これにより、セキュリティ グループへの無制限の受信トラフィックが、リスクが最も高い、指定されたポートにアクセスできるかどうかを確認します。セキュリティ グループ内のいずれかのルールでこれらのポートの「0.0.0.0/0」または「::/0」からの上り(内向き)トラフィックが許可される場合、このコントロールは失敗します。 無制限のアクセス(0.0.0.0/0)は、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティを発生させる機会を増やします。 セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。どのセキュリティ グループでも、次のポートへの無制限の上り(内向き)アクセスを許可しないでください。
料金ティア: Enterprise コンプライアンス標準:
|
セキュリティ グループでは、リスクの高いポートへの無制限のアクセスを許可しないでください
|
Restricted Ssh
API のカテゴリ名: |
検出結果の説明: セキュリティ グループは、AWS リソースに上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。 CIS は、セキュリティ グループでポート 22 への無制限の上り(内向き)アクセスを許可しないことを推奨しています。SSH などのリモート コンソール サービスへの無制限の接続を削除することで、サーバーの露出リスクが軽減されます。 料金ティア: Enterprise コンプライアンス標準:
|
セキュリティ グループでは、0.0.0.0/0 からポート 22 への上り(内向き)を許可しないでください
|
Rotation Customer Created Cmks Enabled
API のカテゴリ名: |
検出結果の説明: 鍵ごとに鍵の自動ローテーションが有効になっているかどうか、顧客作成の AWS KMS 鍵の鍵 ID と一致するかどうかを確認します。リソースの AWS Config レコーダーのロールに kms:DescribeKey 権限がない場合、ルールは NON_COMPLIANT です。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
顧客作成の CMK のローテーションが有効になっていることを確認してください
|
Rotation Customer Created Symmetric Cmks Enabled
API のカテゴリ名: |
検出結果の説明: AWS 鍵管理サービス(KMS)では、顧客作成の顧客マスター鍵(CMK)の鍵 ID に関連付けられた KMS に保存されている鍵のマテリアルを、顧客がローテーションできます。これは、暗号化や復号などの暗号オペレーションの実行に使用されるバックアップ鍵です。現在、鍵の自動ローテーションでは以前のバッキング鍵がすべて保持されるため、暗号化されたデータの復号は透過的に行うことができます。対称鍵の CMK 鍵のローテーションを有効にすることをおすすめします。非対称 CMK では鍵のローテーションを有効にできません。 料金ティア: Enterprise コンプライアンス標準:
|
顧客作成の対称 CMK のローテーションが有効になっていることを確認してください
|
Routing Tables Vpc Peering Are Least Access
API のカテゴリ名: |
検出結果の説明: VPC ピアリングのルートテーブルが、最小権限のプリンシパルで構成されているかどうかを確認します。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
VPC ピアリングのルーティング テーブルが「最小限のアクセス権」であることを確認してください
|
S3 Account Level Public Access Blocks
API のカテゴリ名: |
検出結果の説明: Amazon S3 Block Public Access では、Amazon S3 リソースへの公開アクセスを管理するためのアクセス ポイント、バケット、アカウントを設定できます。デフォルトでは、新しいバケット、アクセス ポイント、オブジェクトは公開アクセスを許可しません。 料金ティア: Enterprise コンプライアンス標準: この検出結果カテゴリは、コンプライアンス標準コントロールにマッピングされていません。 |
必要な S3 公開アクセス ブロック設定がアカウント レベルで構成されているかどうかを確認してください
|
S3 Bucket Logging Enabled
API のカテゴリ名: |
検出結果の説明: AWS S3 サーバー アクセス ロギング機能は、ストレージ バケットへのアクセス リクエストを記録します。これは、セキュリティ監査に役立ちます。デフォルトでは、S3 バケットではサーバー アクセス ロギングは有効になっていません。 料金ティア: Enterprise コンプライアンス標準:
|
すべての S3 バケットでロギングが有効になっているか確認します
|
S3 Bucket Policy Set Deny Http Requests
API のカテゴリ名: |
検出結果の説明: Amazon S3 バケットレベルでは、バケット ポリシーを使用して権限を構成し、HTTPS 経由でのみオブジェクトにアクセスできるようにできます。 料金ティア: Enterprise コンプライアンス標準:
|
S3 バケット ポリシーが HTTP リクエストを拒否するように設定されていることを確認してください
|
S3 Bucket Replication Enabled
API のカテゴリ名: |
検出結果の説明: このコントロールでは、Amazon S3 バケットでクロスリージョン レプリケーションが有効になっているかどうかを確認します。バケットでクロスリージョン レプリケーションが有効になっていない場合、または同一リージョン レプリケーションが有効になっている場合でも、コントロールは失敗します。 レプリケーションは、同じまたは異なる AWS リージョン内のバケット間でのオブジェクトの自動非同期コピーです。レプリケーションにより、新しく作成されたオブジェクトとオブジェクトの更新が、ソースバケットから転送先バケットにコピーされます。AWS のベスト プラクティスでは、同じ AWS アカウントが所有するソースバケットと転送先バケットのレプリケーションが推奨されています。可用性だけでなく、他のシステム強化設定も検討する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
S3 バケットでクロスリージョン レプリケーションが有効になっているか確認します
|
S3 Bucket Server Side Encryption Enabled
API のカテゴリ名: |
検出結果の説明: これにより、S3 バケットで Amazon S3 のデフォルトの暗号化が有効になっていること、またはサーバーサイドの暗号化なしで put-object リクエストが S3 バケット ポリシーで明示的に拒否されているかどうかを確認します。 料金ティア: Enterprise コンプライアンス標準:
|
すべての S3 バケットで保存データの暗号化が使用されていることを確認してください
|
S3 Bucket Versioning Enabled
API のカテゴリ名: |
検出結果の説明: Amazon S3 を使用すると、1 つのオブジェクトの複数のバリアントを同じバケット内に維持できるため、意図しないユーザー操作やアプリケーションの障害から容易に復旧できます。 料金ティア: Enterprise コンプライアンス標準:
|
すべての S3 バケットでバージョニングが有効になっていることを確認します
|
S3 Default Encryption Kms
API のカテゴリ名: |
検出結果の説明: Amazon S3 バケットが AWS 鍵管理サービス(AWS KMS)で暗号化されているかどうかを確認する 料金ティア: Enterprise コンプライアンス標準:
|
すべてのバケットが KMS を使用して暗号化されていることを確認します
|
Sagemaker Notebook Instance Kms Key Configured
API のカテゴリ名: |
検出結果の説明: Amazon SageMaker ノートブック インスタンスに AWS 鍵管理サービス(AWS KMS)鍵が構成されているかどうかを確認します。SageMaker ノートブック インスタンスに「KmsKeyId」が指定されていない場合、ルールは NON_COMPLIANT です。 料金ティア: Enterprise コンプライアンス標準:
|
すべての SageMaker ノートブック インスタンスが KMS を使用するように構成されていることを確認してください
|
Sagemaker Notebook No Direct Internet Access
API のカテゴリ名: |
検出結果の説明: SageMaker ノートブック インスタンスでインターネットからの直接アクセスが無効になっているかどうかを確認します。これを行うには、ノートブック インスタンスの DirectInternetAccess フィールドが無効になっているかどうかを確認します。 VPC を使用せずに SageMaker インスタンスを構成すると、デフォルトでインスタンスで直接インターネット アクセスが有効になります。VPC を使用してインスタンスを構成し、デフォルト設定を [無効 - VPC 経由でインターネットにアクセス] に変更します。 ノートブックからモデルをトレーニングまたはホストするには、インターネット アクセスが必要です。インターネット アクセスを有効にするには、VPC に NAT ゲートウェイがあり、セキュリティ グループでアウトバウンド接続が許可されていることを確認します。ノートブック インスタンスを VPC のリソースに接続する方法の詳細については、Amazon SageMaker デベロッパー ガイドの「VPC 内のリソースにノートブック インスタンスを接続する」をご覧ください。 また、SageMaker 構成へのアクセスは、承認されたユーザーのみに制限する必要もあります。SageMaker の設定とリソースを変更するユーザーの IAM 権限を制限します。 料金ティア: Enterprise コンプライアンス標準:
|
すべての Amazon SageMaker ノートブック インスタンスでインターネットからの直接アクセスが無効になっているかどうかを確認してください
|
Secretsmanager Rotation Enabled Check
API のカテゴリ名: |
検出結果の説明: AWS Secret Manager に保存されているシークレットが自動ローテーションで構成されているかどうかを確認します。シークレットが自動ローテーションで構成されていない場合、コントロールは失敗します。 Secret Manager は、組織のセキュリティ対策の強化に役立ちます。シークレットには、データベースの認証情報、パスワード、サードパーティの API キーが含まれます。Secret Manager を使用すると、シークレットの一元的な保存、シークレットの自動暗号化、シークレットへのアクセスの制御、シークレットの安全かつ自動的なローテーションを行えます。 Secret Manager はシークレットをローテーションできます。ローテーションを使用して、長期シークレットを短期シークレットに置き換えることができます。シークレットをローテーションすると、権限のないユーザーが不正使用のシークレットを使用できる期間が制限されます。そのため、シークレットのローテーションを頻繁に行う必要があります。ローテーションの詳細については、AWS Secret Manager ユーザーガイドの AWS Secret Manager シークレットのローテーションをご覧ください。 料金ティア: Enterprise コンプライアンス標準:
|
すべての AWS Secrets Manager シークレットでローテーションが有効になっていることを確認してください
|
Sns Encrypted Kms
API のカテゴリ名: |
検出結果の説明: SNS トピックが AWS KMS を使用して保存時に暗号化されているかどうかを確認します。SNS トピックがサーバーサイドの暗号化(SSE)に KMS 鍵を使用していない場合、コントロールは失敗します。 保存データの暗号化により、AWS に認証されていないユーザーがディスクに保存されているデータにアクセスするリスクを軽減できます。また、権限のないユーザーのデータへのアクセスを制限するアクセス制御セットも追加します。たとえば、データを読み取る前に復号するには、API 権限が必要です。セキュリティ強化のために、SNS トピックを保存時に暗号化する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
すべての SNS トピックが KMS で暗号化されていることを確認してください
|
Vpc Default Security Group Closed
API のカテゴリ名: |
検出結果の説明: このコントロールでは、VPC のデフォルトのセキュリティ グループが受信トラフィックと送信トラフィックのどちらを許可しているかを確認します。セキュリティ グループが受信トラフィックまたはアウトバウンド トラフィックを許可している場合、このコントロールは失敗します。 デフォルトのセキュリティ グループのルールでは、同じセキュリティ グループに割り当てられているネットワーク インターフェース(および関連するインスタンス)からのすべてのアウトバウンド トラフィックとインバウンド トラフィックが許可されます。デフォルトのセキュリティ グループは使用しないことをおすすめします。デフォルトのセキュリティ グループは削除できないため、デフォルトのセキュリティ グループのルール設定を変更して、インバウンド トラフィックとアウトバウンド トラフィックを制限する必要があります。これにより、EC2 インスタンスなどのリソースに対してデフォルトのセキュリティ グループが誤って構成されている場合に、意図しないトラフィックが発生するのを防ぎます。 料金ティア: Enterprise コンプライアンス標準:
|
それぞれの VPC のデフォルト セキュリティ グループがすべてのトラフィックを制限することを確認してください
|
Vpc Flow Logging Enabled All Vpcs
API のカテゴリ名: |
検出結果の説明: VPC フローログは、VPC 内のネットワーク インターフェースを経由する IP トラフィックに関する情報を取得できる機能です。フローログを作成すると、Amazon CloudWatch Logs でそのデータを表示および取得できます。VPC のパケットの「拒否」に対して、VPC フローログを有効にすることをおすすめします。 料金ティア: Enterprise コンプライアンス標準:
|
すべての VPC で VPC フローロギングが有効になっていることを確認してください
|
Vpc Sg Open Only To Authorized Ports
API のカテゴリ名: |
検出結果の説明: このコントロールは、Amazon EC2 セキュリティ グループが未承認のポートからの無制限の受信トラフィックを許可するかどうかを確認します。コントロール ステータスは次のように決定されます。 AuthorizationTcpPorts にデフォルト値を使用する場合、セキュリティ グループがポート 80 と 443 以外のポートからの無制限の受信トラフィックを許可すると、コントロールが失敗します。 authorizedTcpPorts または authorizedUdpPorts にカスタム値を指定した場合、セキュリティ グループがリストされていないポートからの無制限の受信トラフィックを許可すると、コントロールが失敗します。 パラメータが使用されていない場合、無制限の受信トラフィックのルールがあるセキュリティ グループに対するコントロールが失敗します。 セキュリティ グループは、AWS に上り(内向き)と下り(外向き)のネットワーク トラフィックのステートフル フィルタリングを提供します。セキュリティ グループのルールは、最小権限アクセスのプリンシパルに従う必要があります。無制限のアクセス(/0 接尾辞を持つ IP アドレス)は、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティを発生させる可能性が高くなります。ポートが特に許可されていない限り、そのポートは無制限のアクセスを拒否する必要があります。 料金ティア: Enterprise コンプライアンス標準:
|
任意の VPC の 0.0.0.0/0 を持つセキュリティ グループが、特定のインバウンド TCP/UDP トラフィックのみを許可していることを確認してください
|
Both VPC VPN Tunnels Up
API のカテゴリ名: |
検出結果の説明: VPN トンネルは、AWS サイト間 VPN 接続内で顧客ネットワークと AWS との間でデータをやり取りできる暗号化されたリンクです。各 VPN 接続には 2 つの VPN トンネルがあり、高可用性を確保するためにそれらを同時に使用できます。AWS VPC とリモート ネットワーク間の安全で可用性の高い接続を確保するために、両方の VPN トンネルが VPN 接続で稼働していることを確認することが重要です。 このコントロールにより、AWS サイト間 VPN によって提供される両方の VPN トンネルが UP ステータスであることを確認します。1 つまたは両方のトンネルが DOWN ステータスの場合、コントロールは失敗します。 料金ティア: Enterprise コンプライアンス標準:
|
AWS サイト間で提供される両方の AWS VPN トンネルが UP ステータスになっていることを確認してください
|
Web Security Scanner の検出結果
Web Security Scanner のカスタム スキャンとマネージド スキャンでは、次のタイプの検出結果が識別されます。スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。
| カテゴリ | 検出結果の説明 | OWASP 2017 Top 10 | OWASP 2021 Top 10 |
|---|---|---|---|
Accessible Git repository
API のカテゴリ名: |
Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。 料金ティア: スタンダード |
A5 | A01 |
Accessible SVN repository
API のカテゴリ名: |
SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。 料金ティア: スタンダード |
A5 | A01 |
Cacheable password input
API のカテゴリ名: |
ウェブ アプリケーションに入力したパスワードは、安全なパスワード ストレージではなく、通常のブラウザ キャッシュに保存できます。 料金ティア: プレミアム |
A3 | A04 |
Clear text password
API のカテゴリ名: |
パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。 料金ティア: スタンダード |
A3 | A02 |
Insecure allow origin ends with validation
API のカテゴリ名: |
クロスサイト HTTP または HTTPS エンドポイントは、Origin リクエスト ヘッダーのサフィックスのみを検査してから、Access-Control-Allow-Origin レスポンス ヘッダー内に反映されます。この検出結果を解決するには、想定どおりのルートドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値の一部になっていることを確認します。サブドメインのワイルドカードの場合は、ルートドメインに先頭にドットを追加します(例: .endsWith(".google.com"))。料金ティア: プレミアム |
A5 | A01 |
Insecure allow origin starts with validation
API のカテゴリ名: |
クロスサイト HTTP または HTTPS エンドポイントは、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのプレフィックスのみを検証します。この検出結果を解決するには、想定どおりのドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値に完全に一致しているかどうか確認します。例: .equals(".google.com")料金ティア: プレミアム |
A5 | A01 |
Invalid content type
API のカテゴリ名: |
レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この検出結果を解決するには、X-Content-Type-Options HTTP ヘッダーに正しい値を設定します。料金ティア: スタンダード |
A6 | A05 |
Invalid header
API のカテゴリ名: |
セキュリティ ヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。
料金ティア: スタンダード |
A6 | A05 |
Mismatching security header values
API のカテゴリ名: |
セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。
料金ティア: スタンダード |
A6 | A05 |
Misspelled security header name
API のカテゴリ名: |
セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。
料金ティア: スタンダード |
A6 | A05 |
Mixed content
API のカテゴリ名: |
HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。 料金ティア: スタンダード |
A6 | A05 |
Outdated library
API のカテゴリ名: |
既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。 料金ティア: スタンダード |
A9 | A06 |
Server side request forgery
API のカテゴリ名: |
サーバー側のリクエスト フォージェリ(SSRF)の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブ アプリケーションがリクエストできるドメインと IP アドレスを制限します。 料金ティア: スタンダード |
該当なし | A10 |
Session ID leak
API のカテゴリ名: |
クロスドメイン リクエストを行う場合は、ウェブ アプリケーションの Referer リクエスト ヘッダーにユーザーのセッション ID を含めます。この脆弱性により、受信側ドメインにセッション ID へのアクセス権が付与されます。この ID は、ユーザーになりすますことや、ユーザーを一意に識別するために使用される可能性があります。料金ティア: プレミアム |
A2 | A07 |
SQL injection
API のカテゴリ名: |
潜在的な SQL インジェクション脆弱性が検出された。この問題を解決するには、パラメータ化されたクエリを使用して、ユーザー入力が SQL クエリの構造に影響を与えないようにします。 料金ティア: プレミアム |
A1 | A03 |
Struts insecure deserialization
API のカテゴリ名: |
脆弱なバージョンの Apache Struts の使用が検出された。この問題を解決するには、Apache Struts を最新バージョンにアップグレードしてください。 料金ティア: プレミアム |
A8 | A08 |
XSS
API のカテゴリ名: |
このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 料金ティア: スタンダード |
A7 | A03 |
XSS angular callback
API のカテゴリ名: |
ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。 料金ティア: スタンダード |
A7 | A03 |
XSS error
API のカテゴリ名: |
このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。 料金ティア: スタンダード |
A7 | A03 |
XXE reflected file leakage
API のカテゴリ名: |
XML 外部エンティティ(XXE)の脆弱性が検出された。この脆弱性により、ウェブ アプリケーションによりホスト上のファイルが漏洩する可能性があります。この検出結果を解決するには、外部エンティティを許可しないように XML パーサーを構成します。 料金ティア: プレミアム |
A4 | A05 |
Prototype pollution
API のカテゴリ名: |
このアプリケーションはプロトタイプ汚染に対して脆弱性があります。この脆弱性は、Object.prototype オブジェクトのプロパティに攻撃者が制御可能な値が割り当てられる場合に発生します。一般的に、これらのプロトタイプに入力された値は、クロスサイト スクリプティング、類似したクライアントサイドの脆弱性、およびロジックのバグにつながると見なされています。料金ティア: スタンダード |
A1 | A03 |
Rapid Vulnerability Detection の検出結果と改善策
Rapid Vulnerability Detection は、脆弱な認証情報、不完全なソフトウェアのインストール、悪用の可能性が高いその他の重大な脆弱性を検出します。このサービスは、ネットワーク エンドポイント、プロトコル、開いているポート、ネットワーク サービス、インストールされているソフトウェア パッケージを自動的に検出します。
Rapid Vulnerability Detection の検出結果は脆弱性の早期警告で、直ちに修正することをおすすめします。
検出結果を表示する方法については、Security Command Center で検出結果を確認するをご覧ください。
Rapid Vulnerability Detection スキャンでは、次のタイプの検出結果が識別されます。
| 検出結果のタイプ | 検出結果の説明 | OWASP トップ 10 コード |
|---|---|---|
| 脆弱な認証情報の検出 | ||
WEAK_CREDENTIALS
|
この検出機能は、ncrack ブルート フォース手法を使用して、脆弱な認証情報をチェックします。 サポートされているサービス: SSH、RDP、FTP、WordPress、TELNET、POP3、IMAP、VCS、SMB、SMB2、VNC、SIP、REDIS、PSQL、MYSQL、MSSQL、MQTT、MONGODB、WINRM、DICOM 改善策: 安全なパスワード ポリシーを適用します。サービスに固有の認証情報を作成します。辞書に載っている単語をパスワードに使用しないでください。 |
2021 A07 2017 A2 |
| 公開されたインターフェースの検出 | ||
ELASTICSEARCH_API_EXPOSED
|
Elasticsearch API を使用すると、呼び出し元は任意のクエリの実行、スクリプトの作成と実行、サービスへのドキュメントの追加を行うことができます。 改善策: アプリケーションからリクエストをルーティングすることで Elasticsearch API への直接アクセスを削除するか、認証されたユーザーのみにアクセスを制限します。詳細については、Elasticsearch のセキュリティ設定をご覧ください。 |
2021 A01、A05 2017 A5、A6 |
EXPOSED_GRAFANA_ENDPOINT
|
Grafana 8.0.0 から 8.3.0 では、ユーザーはディレクトリ トラバーサルの脆弱性があるエンドポイントに認証なしでアクセスできます。この脆弱性を悪用すると、認証なしでサーバー上のファイルを読み取ることができます。詳細については、CVE-2021-43798 をご覧ください。 改善策: Grafana にパッチを適用するか、Grafana を新しいバージョンにアップグレードします。詳細については、Grafana のパス トラバーサルをご覧ください。 |
2021 A06、A07 2017 A2、A9 |
EXPOSED_METABASE
|
オープンソースのデータ分析プラットフォームである Metabase のバージョン x.40.0~x.40.4 には、カスタム GeoJSON マップサポートの脆弱性が存在し、環境変数などのローカル ファイルへのインクルードが行われる可能性があります。URL は読み込み前に検証されていません。詳細については、CVE-2021-41277 をご覧ください。 改善策: メンテナンス リリース 0.40.5 以降または 1.40.5 以降にアップグレードします。詳細については、GeoJSON URL 検証で未承認のユーザーにサーバー ファイルと環境変数が公開される可能性をご覧ください。 |
2021 A06 2017 A3、A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
この検出機能は、Spring Boot アプリケーションの機密性の高い Actuator エンドポイントが公開されているかどうかを確認します。/heapdump など、一部のデフォルトのエンドポイントでは機密情報が公開される可能性があります。/env などの他のエンドポイントでは、リモートからコードが実行されるおそれがあります。現在のところ、/heapdump のみがチェックされます。改善策: 機密性の高い Actuator エンドポイントへのアクセスを無効にします。詳細については、HTTP エンドポイントの保護をご覧ください。 |
2021 A01、A05 2017 A5、A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
この検出機能は、Hadoop クラスタの計算リソースとストレージ リソースを制御する Hadoop Yarn ResourceManager API が公開され、未認証のコード実行を許可しているかどうかをチェックします。 改善策: API でアクセス制御リストを使用します。 |
2021 A01、A05 2017 A5、A6 |
JAVA_JMX_RMI_EXPOSED
|
Java Management Extension(JMX)を使用すると、Java アプリケーションに対してリモート モニタリングと診断を行うことができます。保護されていない Remote Method Invocation エンドポイントで JMX を実行すると、リモート ユーザーは javax.management.loading.MLet MBean を作成し、それを使用して任意の URL から新しい MBeans を作成できます。 改善策: リモート モニタリングを適切に構成するには、JMX テクノロジーを使用したモニタリングと管理をご覧ください。 |
2021 A01、A05 2017 A5、A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
この検出機能は、未認証の Jupyter Notebook が公開されているかどうかをチェックします。Jupyter では、ホストマシン上で設計することでリモートコードの実行が可能となります。未認証の Jupyter Notebook を使用すると、ホストしている VM がリモートコード実行の危険にさらされます。 改善策: Jupyter Notebook サーバーにトークン認証を追加するか、デフォルトでトークン認証を使用する最新バージョンの Jupyter Notebook を使用します。 |
2021 A01、A05 2017 A5、A6 |
KUBERNETES_API_EXPOSED
|
Kubernetes API が公開されており、未認証の呼出し元からもアクセス可能です。これにより、Kubernetes クラスタで任意のコードを実行できます。 改善策: すべての API リクエストで認証を必須にします。詳細については、Kubernetes API の認証ガイドをご覧ください。 |
2021 A01、A05 2017 A5、A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
この検出機能は、WordPress のインストールが完了していないかどうかチェックします。WordPress のインストールが完了していないと /wp-admin/install.php ページが表示されるため、攻撃者が管理者パスワードを設定できます。場合によってはシステムが侵害される可能性があります。改善策: WordPress のインストールを完了します。 |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
この検出機能は、/view/all/newJob エンドポイントに匿名ユーザーとして、プローブ ping を送信することにより、未認証の Jenkins インスタンスをチェックします。認証済みの Jenkins インスタンスは createItem フォームを表示しますが、このフォームを使用すると、リモートコード実行を引き起こす可能性のある任意のジョブを作成できます。改善策: Jenkins のセキュリティ管理ガイドに沿って、未認証アクセスをブロックします。 |
2021 A01、A05 2017 A5、A6 |
| 脆弱なソフトウェアの検出 | ||
APACHE_HTTPD_RCE
|
Apache HTTP Server 2.4.49 に、パス トラバーサル攻撃により、想定されるドキュメント ルート以外のファイルに URL がマッピングされ、CGI スクリプトなどの解釈されたファイルのソースが開示される脆弱性が見つかりました。この問題は、実際に悪用されていることが確認されています。この問題は、Apache 2.4.49 と 2.4.50 に影響しますが、以前のバージョンには影響しません。この脆弱性の詳細については、以下をご覧ください。 改善策: Apache HTTP Server で「すべての拒否」ディレクティブを構成することで、ドキュメント ルートの外部にあるファイルを保護します。 |
2021 A01、A06 2017 A5、A9 |
APACHE_HTTPD_SSRF
|
改善策: Apache HTTP サーバーを新しいバージョンにアップグレードします。 |
2021 A06、A10 2017 A9 |
CONSUL_RCE
|
Consul インスタンスの
検証後、Rapid Vulnerability Detection は 改善策: コンソール インスタンス構成で enable-script-checks を |
2021 A05、A06 2017 A6、A9 |
DRUID_RCE
|
Apache Druid には、さまざまなタイプのリクエストに埋め込まれたユーザー提供の JavaScript コードを実行する機能があります。この機能は高信頼性環境で使用することを想定しており、デフォルトでは無効になっています。 ただし、Druid 0.20.0 以前では、認証済みユーザーは特別なリクエストを送信して、Druid にユーザー指定の JavaScript コードを実行させることができます。これはサーバー構成に関係なく可能です。これにより、Druid サーバー プロセスの権限を使用してターゲット マシンでコードを実行できます。詳細については、CVE-2021-25646 の詳細をご覧ください。 改善策: Apache Druid を新しいバージョンにアップグレードします。 |
2021 A05、A06 2017 A6、A9 |
DRUPAL_RCE
このカテゴリには Drupal の 2 つの脆弱性が含まれています。このタイプの検出結果が複数ある場合、複数の脆弱性を示している可能性があります。 |
Drupal の 7.58 より前のバージョン、8.3.9 より前のバージョン 8.x、8.4.6 より前のバージョン 8.4.x、8.5.1 より前のバージョン 8.5.x は、Form API AJAX リクエストでのリモートコード実行に対して脆弱です。 改善策: 代替バージョンの Drupal にアップグレードします。 |
2021 A06 2017 A9 |
| Drupal の 8.5.11 より前のバージョン 8.5.x、8.6.10 より前のバージョン 8.6.x では、RESTful Web Service モジュールまたは JSON:API のいずれかが有効になっている場合、リモートコード実行に対して脆弱です。この脆弱性は、悪意のある非人称ユーザーがカスタム POST リクエストを使用して悪用する可能性があります。 改善策: 代替バージョンの Drupal にアップグレードします。 |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Apache Flink バージョン 1.11.0、1.11.1、1.11.2 に脆弱性があります。これにより、JobManager プロセスの REST インターフェースを介して JobManager のローカル ファイルシステム上のファイルが読み取られる可能性があります。アクセスは、JobManager プロセスがアクセスできるファイルに制限されます。 改善策: Flink インスタンスが公開されている場合は、Flink 1.11.3 または 1.12.0 にアップグレードします。 |
2021 A01、A05、A06 2017 A5、A6、A9 |
GITLAB_RCE
|
GitLab Community Edition(CE)と Enterprise Edition(EE)バージョン 11.9 以降で、GitLab はファイル パーサーに渡される画像ファイルを正しく検証しません。この脆弱性が悪用され、リモートからコマンドが実行される可能性があります。 改善策: GitLab CE または EE リリース 13.10.3、13.9.6、13.8.8 以降にアップグレードします。詳細については、CVE-2021-22205 に対してセルフマネージド型のお客様が行う必要がある対応をご覧ください。 |
2021 A06 2017 A9 |
GoCD_RCE
|
GoCD 21.2.0 以前に、認証なしでアクセスできるエンドポイントがあります。このエンドポイントにはディレクトリ トラバーサルの脆弱性があり、ユーザーは認証なしでサーバー上の任意のファイルを読み取ることができます。 改善: バージョン 21.3.0 以降にアップグレードします。詳細については、GoCD 21.3.0 のリリースノートをご覧ください。 |
2021 A06、A07 2017 A2、A9 |
JENKINS_RCE
|
Jenkins バージョン 2.56 以前と 2.46.1 LTS 以前に、リモートコード実行の脆弱性が存在します。この脆弱性は、未認証の攻撃者がシリアル化された不正な Java オブジェクトを使用してトリガーする可能性があります。 改善策: 代替バージョンの Jenkins をインストールします。 |
2021 A06、A08 2017 A8、A9 |
JOOMLA_RCE
このカテゴリには、Joomla の脆弱性が 2 つ含まれています。このタイプの検出結果が複数ある場合、複数の脆弱性を示している可能性があります。 |
Joomla の 3.4.6 より前のバージョン 1.5.x、2.x、3.x には、リモートコード実行の脆弱性が存在します。この脆弱性は、シリアル化された PHP オブジェクトを含む詳細なヘッダーによってトリガーされる可能性があります。 改善策: 代替バージョンの Joomla をインストールします。 |
2021 A06、A08 2017 A8、A9 |
| Joomla のバージョン 3.0.0~3.4.6 にリモートコード実行の脆弱性が存在します。この脆弱性は、シリアル化された不正な PHP オブジェクトを含む POST リクエストを送信することでトリガーされる可能性があります。 改善策: 代替バージョンの Joomla をインストールします。 |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
Apache Log4j2 2.14.1 以前では、構成、ログメッセージ、パラメータで使用される JNDI 機能は、攻撃者が制御する LDAP やその他の JNDI 関連エンドポイントを阻止しません。詳細については、CVE-2021-44228 をご覧ください。 改善策: 改善策の詳細については、Apache Log4j のセキュリティ脆弱性をご覧ください。 |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT バージョン 2.3.0 では、verify.php に空の confirm_hash 値を指定することで、任意のパスワードのリセットと未認証ユーザーによる管理者アクセスが可能になります。改善策: MantisBT を新しいバージョンに更新するか、Mantis の手順に沿って重要なセキュリティ修正を適用します。 |
2021 A06 2017 A9 |
OGNL_RCE
|
Confluence Server インスタンスと Data Center インスタンスには、未認証の攻撃者が任意のコードを実行する可能性のある OGNL インジェクションの脆弱性が存在します。詳細については、CVE-2021-26084 をご覧ください。 改善策: 改善策の詳細については、Confluence Server Webwork OGNL インジェクション - CVE-2021-26084 をご覧ください。 |
2021 A03 2017 A1 |
OPENAM_RCE
|
OpenAM サーバー 14.6.2 以前と ForgeRock AM サーバー 6.5.3 以前には、複数のページの 改善策: より新しいバージョンにアップグレードします。ForgeRock の改善策については、AM セキュリティ アドバイザリ #202104 をご覧ください。 |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Oracle Fusion Middleware(コンポーネント: コンソール)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に脆弱性が存在します。この脆弱性は悪用されやすく、ネットワーク アクセス権限のある未認証のユーザーが HTTP 経由で Oracle WebLogic Server を侵害できます。この脆弱性が攻撃されると、Oracle WebLogic Server が乗っ取られる可能性があります。詳細については、CVE-2020-14882 をご覧ください。 回避策: パッチの情報については、Oracle Critical Patch Update Advisory - October 2020 をご覧ください。 |
2021 A06、A07 2017 A2、A9 |
PHPUNIT_RCE
|
5.6.3 より前のバージョンの PHPUnit では、未認証の POST リクエストによってリモートコードが実行される可能性があります。 改善策: 新しい PHPUnit バージョンにアップグレードします。 |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
PHP のバージョン 5.3.12 以前と 5.4.2 より前のバージョン 5.4.x では、CGI スクリプトとして構成されているリモートコードの実行が可能です。脆弱性のあるコードでは、=(等号)文字のないクエリ文字列が適切に処理されません。攻撃者は、サーバー上で実行されるコマンドライン オプションを追加できます。改善策: 代替バージョンの PHP をインストールします。 |
2021 A05、A06 2017 A6、A9 |
PORTAL_RCE
|
7.2.1 CE GA2 より前の Liferay Portal バージョンでは、信頼できないデータを逆シリアル化することで、リモートの攻撃者が JSON ウェブサービス経由で任意のコードを実行できます。 改善策: Liferay Portal の新しいバージョンにアップグレードします。 |
2021 A06、A08 2017 A8、A9 |
REDIS_RCE
|
Redis インスタンスで管理者コマンドを実行するための認証が不要な場合、攻撃者は任意のコードを実行できる可能性があります。 回避策: 認証を要求するように Redis を構成します。 |
2021 A01、A05 2017 A5、A6 |
SOLR_FILE_EXPOSED
|
オープンソースの検索サーバーである Apache Solr で認証が有効になっていません。Apache Solr が認証を必要としない場合、攻撃者は特定の構成を有効にするリクエストを直接作成できます。最終的には、サーバー側のリクエスト フォージェリ(SSRF)を実装したり、任意のファイルを読み取ることが可能になります。 改善策: 代替バージョンの Apache Solr にアップグレードします。 |
2021 A07、A10 2017 A2 |
SOLR_RCE
|
Apache Solr のバージョン 5.0.0~8.3.1 で、params.resource.loader.enabled が true に設定されていると、VelocityResponseWriter からリモートコードが実行される可能性があります。この設定により、攻撃者が悪意のあるベロシティ テンプレートを含むパラメータを作成する可能性があります。改善策: 代替バージョンの Apache Solr にアップグレードします。 |
2021 A06 2017 A9 |
STRUTS_RCE
このカテゴリには、Apache Struts の脆弱性が 3 つ含まれています。このタイプの検出結果が複数ある場合、複数の脆弱性を示している可能性があります。 |
Apache Struts の 2.3.32 より前のバージョンと 2.5.10.1 より前のバージョン 2.5.x には、リモートコード実行の脆弱性が存在します。この脆弱性は、未認証の攻撃者が不正な Content-Type ヘッダーを提供することでトリガーされる可能性があります。 改善策: 代替バージョンの Apache Struts をインストールします。 |
2021 A06 2017 A9 |
| Apache Struts の 2.3.34 より前のバージョン 2.1.1~2.3.x と、2.5.13 より前のバージョン 2.5.x の REST プラグインで、不正な XML ペイロードのシリアル化を解除するときに、リモートからコードが実行される可能性があります。 改善策: 代替バージョンの Apache Struts をインストールします。 |
2021 A06、A08 2017 A8、A9 |
|
Apache Struts のバージョン 2.3~2.3.34、2.5~2.5.16 で、alwaysSelectFullNamespace が true に設定されていて、特定のバージョン他のアクション構成が存在する場合、リモートコードが実行される可能性があります。改善策: バージョン 2.3.35 または 2.5.17 をインストールします。 |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat のバージョン 9.x(9.0.31 より前)、8.x(8.5.51 より前)、7.x(7.0.100 より前)、6.x(すべて)に、公開されている Apache JServ Protocol コネクタを介してソースコードと構成が開示される脆弱性が存在します。ファイルのアップロードが許可されている場合、この脆弱性がリモートコードの実行に利用されることがあります。 改善策: 代替バージョンの Apache Tomcat にアップグレードします。 |
2021 A06 2017 A3、A9 |
VBULLETIN_RCE
|
バージョン 5.0.0 から 5.5.4 を実行する vBulletin サーバーに、リモートコード実行の脆弱性が存在します。この脆弱性は、routestring リクエストでクエリ パラメータを使用している未認証の攻撃者によって悪用される可能性があります。改善策: 代替バージョンの VMware vCenter Server にアップグレードします。 |
2021 A03、A06 2017 A1、A9 |
VCENTER_RCE
|
VMware vCenter Server の 7.0 U1c より前のバージョン 7.x、6.7 U3l より前のバージョン 6.7、6.5 U3n より前のバージョン 6.5 に、リモートコード実行の脆弱性が存在します。この脆弱性により、攻撃者は不正な Java Server Pages ファイルをウェブアクセス可能なディレクトリにアップロードして、そのファイルを実行する可能性があります。 改善策: 代替バージョンの VMware vCenter Server にアップグレードします。 |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Oracle Fusion Middleware(コンポーネント: コンソール)の Oracle WebLogic Server プロダクトの特定のバージョン(10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 など)に、リモートコード実行の脆弱性が存在します。この脆弱性は、CVE-2020-14750、CVE-2020-14882、CVE-2020-14883 に関連しています。詳細については、CVE-2020-14883 をご覧ください。 回避策: パッチの情報については、Oracle Critical Patch Update Advisory - October 2020 をご覧ください。 |
2021 A06、A07 2017 A2、A9 |
IAM Recommender の検出結果
次の表に、IAM Recommender によって生成される Security Command Center の検出結果を示します。
各 IAM Recommender の検出結果には、Google Cloud 環境のプリンシパルの過剰な権限を含むロールを削除または置換するための具体的な推奨事項が含まれています。
IAM Recommender によって生成された検出結果は、影響を受けるプロジェクト、フォルダ、または組織の IAM ページの Google Cloud コンソールに表示される推奨事項に対応しています。
IAM Recommender と Security Command Center の統合の詳細については、セキュリティ ソースをご覧ください。
| 検出機能 | 概要 |
|---|---|
IAM role has excessive permissions
API のカテゴリ名: |
検出結果の説明: IAM Recommender が、ユーザー アカウントに過剰な権限を付与する IAM ロールを持つサービス アカウントを検出しました。 料金ティア: プレミアム サポートされているアセット:
この問題を修正する: IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。
問題が解決すると、IAM Recommender は、24 時間以内に検出結果のステータスを |
Service agent role replaced with basic role
API のカテゴリ名: |
検出結果の説明: IAM Recommender は、サービス エージェントに付与された元のデフォルトの IAM ロールが IAM 基本ロール(オーナー、編集者、閲覧者)のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービス エージェントに付与しないでください。 料金ティア: プレミアム サポートされているアセット:
この問題を修正する: IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。
問題が解決すると、IAM Recommender は、24 時間以内に検出結果のステータスを |
Service agent granted basic role
API のカテゴリ名: |
検出結果の説明: IAM Recommender は、サービス エージェントに IAM 基本ロール(オーナー、編集者、閲覧者)のいずれかが付与されていることを検出しました。基本ロールは制限が緩すぎるレガシーロールであるため、サービス エージェントに付与しないでください。 料金ティア: プレミアム サポートされているアセット:
この問題を修正する: IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。
問題が解決すると、IAM Recommender は、24 時間以内に検出結果のステータスを |
Unused IAM role
API のカテゴリ名: |
検出結果の説明: IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザー アカウントを検出しました。 料金ティア: プレミアム サポートされているアセット:
この問題を修正する: IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。
問題が解決すると、IAM Recommender は、24 時間以内に検出結果のステータスを |
セキュリティ対策サービスの検出結果
次の表に、セキュリティ対策サービスによって生成される Security Command Center の検出結果を示します。
各セキュリティ対策サービスの検出結果では、定義したセキュリティ対策からのブレのインスタンスを識別します。
| 検索中 | まとめ |
|---|---|
SHA Canned Module Drifted
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics 検出機能への変更を検出しました。 料金ティア: プレミアム
この問題を修正する: この検出結果では、変更を受け入れるか、対策の検出機能の設定と環境が一致するように変更を元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics 検出機能を更新するか、対策と対策のデプロイを更新するかです。 変更を元に戻すには、Google Cloud コンソールで Security Health Analytics 検出機能を更新します。手順については、検出機能を有効または無効にするをご覧ください。 変更を受け入れるには、次の手順を行います。
|
SHA Custom Module Drifted
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics カスタム モジュールへの変更を検出しました。 料金ティア: プレミアム この問題を修正する: この検出結果により、対策と環境のカスタム モジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタム モジュールを更新するか、対策と対策のデプロイを更新するかです。 変更を元に戻すには、Google Cloud コンソールで Security Health Analytics カスタム モジュールを更新します。手順については、カスタム モジュールを更新するをご覧ください。 変更を受け入れるには、次の手順を行います。
|
SHA Custom Module Deleted
API のカテゴリ名: |
検出結果についての説明: セキュリティ ポスチャー サービスが、Security Health Analytics のカスタム モジュールが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 料金ティア: プレミアム この問題を修正する: この検出結果により、対策と環境のカスタム モジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタム モジュールを更新するか、対策と対策のデプロイを更新するかです。 変更を元に戻すには、Google Cloud コンソールで Security Health Analytics カスタム モジュールを更新します。手順については、カスタム モジュールを更新するをご覧ください。 変更を受け入れるには、次の手順を行います。
|
Org Policy Canned Constraint Drifted
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のポリシーの変更を検出しました。 料金ティア: プレミアム この問題を修正する: この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。 変更を元に戻すには、Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。 変更を受け入れるには、次の手順を行います。
|
Org Policy Canned Constraint Deleted
API のカテゴリ名: |
検出結果についての説明: セキュリティ対策サービスが、組織のポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 料金ティア: プレミアム この問題を修正する: この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。 変更を元に戻すには、Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。 変更を受け入れるには、次の手順を行います。
|
Org Policy Custom Constraint Drifted
API のカテゴリ名: |
検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のカスタム ポリシーの変更を検出しました。 料金ティア: プレミアム この問題を修正する: この検出結果により、対策と環境の組織のカスタム ポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタム ポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。 変更を元に戻すには、Google Cloud コンソールで組織のカスタム ポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。 変更を受け入れるには、次の手順を行います。
|
Org Policy Custom Constraint Deleted
API のカテゴリ名: |
検出結果についての説明: セキュリティ対策サービスが、組織のカスタム ポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。 料金ティア: プレミアム この問題を修正する: この検出結果により、対策と環境の組織のカスタム ポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタム ポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。 変更を元に戻すには、Google Cloud コンソールで組織のカスタム ポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。 変更を受け入れるには、次の手順を行います。
|
VM Manager
VM Manager は、Compute Engine 上で Windows と Linux を実行している大規模な仮想マシン(VM)フリートでオペレーティング システムの管理を行うためのツールです。
組織レベルで Security Command Center Premium を使用して VM Manager を有効にすると、VM Manager は脆弱性レポート(現在はプレビュー版)の検出結果を Security Command Center に送信します。このレポートは、VM にインストールされたオペレーティング システムの Common Vulnerability and Exposures(CVE)などの脆弱性を特定します。
Security Command Center Premium でプロジェクト レベルの有効化を行って VM Manager を使用するには、親組織で Security Command Center Standard を有効にします。
Security Command Center Standard では、脆弱性レポートを使用できません。
検出結果を使用することで、VM Manager のパッチ コンプライアンス機能(プレビュー段階)を使用するプロセスが簡略化されます。この機能を使用すると、すべてのプロジェクトで組織レベルでパッチ管理を行うことができます。
VM Manager から受信する脆弱性の検出結果の重大度は、常に CRITICAL または HIGH です。
VM Manager の検出結果
このタイプの脆弱性はすべて、サポートされている Compute Engine VM にインストールされたオペレーティング システム パッケージに関連しています。
| 検出機能 | 概要 | アセットのスキャン設定 | コンプライアンス標準 |
|---|---|---|---|
OS vulnerability
API のカテゴリ名: |
検出結果の説明: VM Manager が、Compute Engine VM にインストールされているオペレーティング システム(OS)パッケージに脆弱性を検出しました。 料金ティア: プレミアム
サポートされているアセット |
VM Manager の脆弱性レポートでは、Compute Engine VM のインストール済みオペレーティング システム パッケージの脆弱性(共通脆弱性識別子(CVE)など)が詳細に説明されています。 サポートされているオペレーティング システムの完全なリストについては、オペレーティング システムの詳細をご覧ください。脆弱性が検出されると、Security Command Center に検出結果がすぐに表示されます。VM Manager の脆弱性レポートは次のように生成されます。
|
VM Manager の検出結果の修正
OS_VULNERABILITY の検出結果は、VM Manager が Compute Engine VM にインストールされているオペレーティング システム パッケージで脆弱性を検出したことを示します。
この検出結果を修正するには、次の手順に沿って操作します。
Security Command Center の [検出結果] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[クイック フィルタ] の [カテゴリ] サブセクションで、[OS vulnerability] を選択します。[検出結果クエリの結果] は、OS の脆弱性の検出結果のみを表示するようにフィルタリングされています。
[検出結果クエリの結果] リストの [カテゴリ] 列で、修正する検出結果のカテゴリ名をクリックします。[OS vulnerability] の詳細ページが開きます。
[JSON] タブをクリックします。この検出結果の JSON が表示されます。
externalUriフィールドの値をコピーします。この値は、脆弱性のあるオペレーティング システムがインストールされている Compute Engine VM インスタンスの [OS 情報] ページの URI です。[基本情報] セクションに表示されている OS に、適切なパッチをすべて適用します。パッチをデプロイする手順については、パッチジョブを作成するをご覧ください。
この検出結果のタイプでサポートされているアセットとスキャンの設定についての説明をご覧ください。
Google Cloud コンソールで検出結果を確認する
Google Cloud コンソールで検出結果を確認するには、次の操作を行います。
Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[VM Manager] を選択します。
このテーブルには VM Manager の検出結果が表示されます。
特定の検出の詳細を表示するには、[
Category] の下にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。[概要] タブで、検出された内容、影響を受けたリソースなど、検出結果に関する情報を確認します。
VM Manager の検出結果の修正については、VM Manager の検出結果の修正をご覧ください。
VM Manager の検出結果をミュートする
セキュリティ要件に関連しない VM Manager の検出結果がある場合は、Security Command Center で一部またはすべての検出結果を非表示にできます。
VM Manager の検出結果を非表示にするには、ミュートルールを作成し、非表示にする VM Manager の検出結果に固有のクエリ属性を追加します。
Google Cloud コンソールを使用して VM Manager のミュートルールを作成するには、次の操作を行います。
Google Cloud コンソールで、Security Command Center の [検出] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[ミュート オプション] をクリックし、[ミュートルールを作成] を選択します。
ミュートルール ID を入力します。この値は必須です。
検出結果をミュートする理由を [ミュートルールの説明] に入力します。この値は省略可能ですが、指定することをおすすめします。
[親リソース] の値を確認して、ミュートルールの範囲を確認します。
[検出クエリ] フィールドで [フィルタを追加] をクリックして、クエリ ステートメントを作成します。また、クエリ ステートメントを手動で入力することもできます。
- [フィルタを選択] ダイアログで、[検出結果] > [ソースの表示名] > [VM Manager] を選択します。
- [適用] をクリックします。
非表示にする属性がすべてミュートクエリに含まれるまで、この操作を繰り返します。
たとえば、VM Manager の脆弱性検出で特定の CVE ID を非表示にするには、[脆弱性] > [CVE ID] を選択してから、非表示にする CVE ID を選択します。
検出結果クエリは次のようになります。
[一致する検出をプレビュー] をクリックします。
クエリに一致する検索結果がテーブルに表示されます。
[保存] をクリックします。
機密データの保護
このセクションでは、機密データの保護が生成する脆弱性の検出結果、サポートするコンプライアンス標準、検出結果の修正方法について説明します。
機密データの保護は、観察の検出結果を Security Command Center にも送信します。観察の検出結果と機密データの保護の詳細については、機密データの保護をご覧ください。
検出結果の表示方法については、Google Cloud コンソールで Sensitive Data Protection の検出結果を確認するをご覧ください。
機密データ保護の検出サービスにより、Cloud Functions の環境変数にパスワード、認証トークン、Google Cloud 認証情報などのシークレットが含まれているかどうかを判断できます。この機能で機密データ保護によって検出されるシークレットの種類の完全なリストについては、認証情報とシークレットをご覧ください。
| 知見のタイプ | 検出結果の説明 | コンプライアンス標準 |
|---|---|---|
Secrets in environment variablesAPI のカテゴリ名: SECRETS_IN_ENVIRONMENT_VARIABLES
|
この検出機能は、Cloud Functions の環境変数に含まれるシークレットをチェックします。 改善策: 環境変数からシークレットを削除し、代わりに Secret Manager に保存します。 |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18 |
この検出機能を有効にするには、機密データの保護に関するドキュメントの環境変数のシークレットを Security Command Center に報告するをご覧ください。
Policy Controller
Policy Controller により、フリート メンバーシップとして登録された Kubernetes クラスタに対するプログラム可能なポリシーの応用と適用が可能になります。ポリシーはガードレールとして機能し、クラスタとフリートのベスト プラクティス、セキュリティ、コンプライアンス管理に役立ちます。
このページには、すべての Policy Controller の検出結果がすべて一覧表示されるわけではありませんが、Policy Controller が Security Command Center に書き込む Misconfiguration クラスの検出結果に関する情報は、各 Policy Controller バンドルに記載されているクラスタ違反と同じです。個々の Policy Controller の検出結果タイプに関するドキュメントは、次の Policy Controller バンドルにあります。
- CIS Kubernetes Benchmark v1.5.1。強固なセキュリティ体制をサポートするように Kubernetes を構成するための一連の推奨事項。このバンドルに関する情報は、
cis-k8s-v1.5.1の GitHub リポジトリで確認することもできます。 - PCI-DSS v3.2.1。Payment Card Industry Data Security Standard(PCI-DSS)v3.2.1 の一部に対してクラスタ リソースのコンプライアンスを評価するバンドルです。このバンドルに関する情報は、
pci-dss-v3の GitHub リポジトリで確認することもできます。
この機能は、Stackdriver API の VPC Service Controls サービス境界と互換性がありません。
Policy Controller の検出結果の検出と修正
Policy Controller のカテゴリは、Policy Controller のバンドルのドキュメントに記載されている制約名に対応しています。たとえば、require-namespace-network-policies の検出結果は、Namespace が、クラスタ内のすべての Namespace に NetworkPolicy を持つというポリシーに違反していることを示します。
検出結果を修正するには、次の操作を行います。
Security Command Center の [検出結果] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[クイック フィルタ] の [カテゴリ] で、修正する Policy Controller の検出結果の名前を選択します。[検出結果クエリの結果] がそのカテゴリの検出結果のみを表示するようにフィルタリングされます。
[検出結果クエリの結果] リストの [カテゴリ] 列で、修正する検出結果のカテゴリ名をクリックします。検出結果の詳細ページが開きます。
[概要] タブで、検出された内容、影響を受けたリソースなど、検出結果に関する情報を確認します。
[次のステップ] で、検出結果の修正方法に関する情報(問題に関する Kubernetes ドキュメントへのリンクなど)を確認します。
次のステップ
- Security Health Analytics の使用方法を学習する。
- Web Security Scanner の使用方法を学習する。
- Rapid Vulnerability Detection の使用方法を学習する。
- Security Health Analytics の検出結果の修正と Web Security Scanner の検出結果の修正の提案を確認する。