このページでは、Security Command Center の検出結果の severity プロパティとその値について説明します。
severity プロパティは、特定の検出結果カテゴリまたはサブカテゴリの検出結果を修正する重要性を示す一般的なインジケーターを提供します。
通常は、重大度が LOW の検出結果の前に重大度が HIGH の検出結果を修正する必要がありますが、影響を受けるリソースやその他の考慮事項によっては、重大度が HIGH の検出結果よりも重大度が LOW の検出結果の修正のほうが重要である場合があります。
重大度と攻撃の発生可能性スコアの比較
検出結果の重大度と攻撃の発生可能性スコアの両方を使用して、検出結果の修正に優先順位を付けることができますが、この 2 つの違いを理解することが重要です。
重大度は、検出結果のカテゴリに基づいて事前に決定される一般的なインジケーターです。特定のカテゴリまたはサブカテゴリ内のすべての検出結果には同じデフォルトの重大度が割り当てられます。
攻撃の発生可能性スコアは、検出結果が発行された後に検出結果に対して計算される動的インジケーターです。このスコアは検出結果インスタンスに固有のものであり、検出結果が影響を与えるリソース インスタンスや、影響を受ける高価値リソースに対して架空の攻撃者が潜在的なアクセス ポイントから侵入する難易度など、多くの要素に基づいて計算されます。
すべての検出結果に重大度がありますが、攻撃パス シミュレーションによってサポートされている脆弱性と構成ミスの検査結果のみに攻撃の発生可能性スコアが割り当てられます。
脆弱性と構成ミスの検出結果を優先する場合は、攻撃の発生可能性スコアが重大度よりも優先されます。
重大度の分類
Security Command Center では次の重大度の分類を使用します。分類は、Google Cloud コンソールに検出結果が表示される際に [重大度] 列に表示されます。
CriticalHighMediumLowUnspecified
重大度: Critical
重大な脆弱性は容易に検出できます。これが悪用されると、任意のコードの実行、データの引き出し、クラウド リソースやワークフローでの追加のアクセス権と権限の取得が直接可能になるおそれがあります。例としては、一般公開されているユーザーデータや、パスワードが弱いかパスワードがない公開 SSH アクセスなどがあります。
重大な脅威では、データへのアクセス、データの変更または削除、既存のリソース内での不正なコードの実行が可能です。
重大な SCC error クラスの検出結果は次のいずれかを意味します。
- 構成エラーにより、Security Command Center がすべての重大度の新しい検出結果を生成できない。
- 構成エラーにより、サービスのすべての検出結果を確認できない。
- 構成エラーにより、攻撃パス シミュレーションによって攻撃の発生可能性スコアと攻撃パスが生成されない。
重大度: High
高リスクの脆弱性は容易に検出できます。これが他の脆弱性とともに悪用されると、直接アクセスして任意のコードの実行またはデータの引き出しが行われ、リソースやワークロードに対する追加のアクセス権と権限が取得されるおそれがあります。たとえば、パスワードが弱いかパスワードがなく、内部でしかアクセスできないデータベースは、内部ネットワークにアクセスできる操作者によって不正使用されるおそれがあります。
高リスクの脅威では、環境内でのコンピューティング リソースの作成は可能ですが、既存のリソースでデータにアクセスすること、またはコードを実行することはできません。
高リスクの SCC error クラスの検出結果は、構成エラーが原因で次のいずれかの問題が発生していることを示します。
- サービスの検出結果の一部を表示またはエクスポートできない。
- 攻撃パス シミュレーションで、攻撃の発生可能性スコアと攻撃パスが不完全または不正確になる場合がある。
重大度: Medium
中リスクの脆弱性は、操作者が悪用してリソースに対するアクセス権または特権を取得し、最終的にはデータの引き出しや任意のコードの実行が可能になるおそれがあります。たとえば、サービス アカウントにプロジェクトへの不要なアクセス権があり、攻撃者がサービス アカウントにアクセスできる場合、攻撃者はそのサービス アカウントを使用してプロジェクトを操作するおそれがあります。
中リスクの脅威では、より深刻な問題につながる可能性があるものの、現在のデータのアクセスや不正なコードの実行を示しているわけではありません。
重大度: Low
低リスクの脆弱性は、セキュリティ チームがデプロイメントの脆弱性や有効な脅威を検出する際の妨げになる可能性があります。また、セキュリティ問題の根本原因の調査を妨げることもあります。たとえば、リソースの構成とアクセスについてモニタリングとログが無効になっている場合が該当します。
低リスクの脅威では、環境に対する最小限の権限が盗まれますが、データへのアクセス、コードの実行、リソースの作成はできません。
重大度: Unspecified
重大度 Unspecified は、検出結果を生成したサービスが検出結果の重大度の値を設定していないことを示します。
重大度が Unspecified の検出結果の場合は、検出結果を調べて、検出結果を生成したプロダクトやサービスのドキュメントを確認して、重大度を評価する必要があります。
重大度: 可変
検出結果カテゴリの検出結果の重大度は、特定の状況によって異なる場合があります。
攻撃の発生可能性スコアによって異なる重大度
Security Command Center の Enterprise ティアを使用している場合、脆弱性と構成ミスの検出結果の重大度は、個々の検出結果のリスクをより正確に反映します。これは、検出結果の重大度が攻撃の発生可能性スコアを反映して変化する可能性があるためです。
Enterprise ティアでは、脆弱性と構成ミスの検出結果は、特定の検出結果カテゴリ内のすべての検出結果に共通するデフォルトまたはベースラインの重大度レベルで発行されます。検出結果が発行された後、Security Command Center の攻撃パス シミュレーションによって、高価値リソースとして指定した 1 つ以上のリソースが検出結果に含まれていると判断された場合、シミュレーションによって検出結果に攻撃の発生可能性スコアが割り当てられ、それに応じて重大度が高くなります。検出結果がアクティブのままで、後でシミュレーションによって攻撃の発生可能性スコアが低下する場合、検出結果の重大度レベルも低下する可能性がありますが、元のデフォルト レベルを下回ることはありません。
Security Command Center の Premium ティアまたは Standard ティアを使用している場合、すべての検出結果の重大度は静的なままです。
検出された問題によって異なる重大度
いくつかの検出結果カテゴリでは、Security Command Center は、検出されたセキュリティの問題の特殊性に応じて、異なるデフォルトの重大度レベルを検出結果に割り当てること可能です。
たとえば、通常、Event Threat Detection によって生成された IAM anomalous grant 検出結果の重大度は HIGH ですが、カスタム IAM ロールに機密情報に関わる権限が付与されるために検出結果が生成された場合、重大度は MEDIUM になります。
Google Cloud コンソールで検出結果の重大度を表示する
次のように、Security Command Center の検出結果は Google Cloud コンソールで重大度別に表示されます。
- [概要] ページの [リソースタイプ別の脆弱性] セクションで、リソースでアクティブな検出結果の数が重大度別に表示されます。
- [脅威] ページには、存在する脅威の検出結果の数が重大度別に表示されます。
- [脆弱性] ページでは、表示された脆弱性検出モジュールを重大度レベルでフィルタして、その重大度レベルでアクティブな検出結果があるモジュールのみを表示できます。
- [検出結果] ページでは、[クイック フィルタ] パネルから検出結果クエリに特定の重大度レベルのフィルタを追加できます。