Web Security Scanner の使用

このページでは、Web Security Scanner のマネージド スキャン機能を使用して、Google Cloud コンソールで検出結果を確認する方法について説明します。また、Web Security Scanner の検出例も示します。

Web Security Scanner は、App Engine、Google Kubernetes Engine(GKE)、Compute Engine ウェブ アプリケーションにおける共通のセキュリティ脆弱性を識別する Security Command Center プレミアム ティアの組み込みサービスです。Web Security Scanner の検出結果を表示するには、Security Command Center の [サービス] 設定で有効にする必要があります。

詳しくは、Web Security Scanner の仕組みをご覧ください。

検出結果の確認

Web Security Scanner のマネージド スキャン機能は、スコープ内の各プロジェクトのスキャンを自動的に構成してスケジュールします。サービスが有効になってから、Web Security Scanner のスキャンが開始されまでに最大で 24 時間かかることがあり、最初のスキャン後に毎週実行されます。 検出結果は Security Command Center に表示されます。

コンソールで検出結果を確認する

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

Security Command Center で Web Security Scanner の検出結果を確認するには、次の操作を行います。

Google Cloud Console

  1. Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. Google Cloud プロジェクトまたは組織を選択します。
  3. [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Web Security Scanner] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
  4. 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
  5. [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
  6. 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

Security Operations コンソール

  1. Security Operations コンソールで、[検出結果] ページに移動します。
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

  2. [集計] セクションで、[ソース表示名] サブセクションをクリックして展開します。
  3. [Web Security Scanner] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
  4. 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
  5. [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
  6. 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

特定の URL に関連付けられているすべての検出結果を表示する

スキャンでは、複数のベース URL から検出結果が生成されます。スキャン内の特定の URL に関連付けられているすべての検出結果を表示するには、次の操作を行います。

  1. 検出結果を開いて JSON 定義を表示します。
  2. externalUri の横の URL をコピーします。
  3. 検出結果の詳細ペインを閉じます。
  4. クエリエディタで、次のクエリを入力します。

    externalUri:"AFFECTED_URI"
    

    AFFECTED_URI は、先ほどコピーした URL に置き換えます。

Security Command Center は、URL に関連付けられているすべての検出結果を表示します。

検出結果の例

Web Security Scanner のマネージド スキャンの検出結果の例は次のとおりです。

表 AWeb Security Scanner マネージド スキャン検出結果のタイプ
Vulnerability 説明
混合コンテンツ HTTPS 経由で提供されたページは、HTTP 経由でもリソースを提供します。中間者攻撃によって HTTP リソースが改ざんされ、リソースを読み込んでいるウェブサイトへの完全アクセス権を取得されるか、ユーザーの操作をモニタリングされるおそれがあります。
クリアテキストのパスワード アプリケーションは、無効なコンテンツ タイプとともに、または X-Content-Type-Options: nosniff ヘッダーなしで機密コンテンツを返します。
古いライブラリ

組み込みのライブラリのバージョンに、セキュリティ上の問題が含まれていることが知られています。Cloud Security Scanner は使用中のライブラリのバージョンを、脆弱性があるライブラリの既知のリストと照合します。バージョンの検出に失敗した場合やライブラリに手動でパッチを適用したことがある場合は、誤検出の可能性もあります。

Web Security Scanner は、次の一般的なライブラリの脆弱性があるバージョンを特定します。

このリストは、新しいライブラリで定期的に更新されます。該当する場合は脆弱性も更新されます。

詳しくは、Google Cloud コンソールでの Security Command Center の使用をご覧ください。

Google Cloud コンソールで検出結果をフィルタする

大規模な組織では、デプロイメント全体で確認、優先順位付け、追跡が必要な脆弱性の検出結果が大量に表示される場合があります。Google Cloud コンソールの Security Command Center の [脆弱性] ページと [検出] ページで利用可能なフィルタを使用して、組織全体で最も重大度の高い脆弱性に重点を置き、アセットのタイプやプロジェクトごとに脆弱性を確認できます。

脆弱性の検出結果のフィルタリングの詳細については、Security Command Center で脆弱性の検出結果をフィルタするをご覧ください。

検出結果をミュートする

Security Command Center で検出結果の量を制御するには、手動またはプログラムによって個々の検出結果をミュートするか、定義したフィルタに基づいて現在と将来の検出結果を自動的にミュートするミュートルールを作成します。

ミュートされた検出結果は表示されませんが、監査とコンプライアンスのためには引き続き記録されます。ミュートされた検索結果はいつでも表示できます。また、ミュートを解除することもできます。詳しくは、Security Command Center で検出結果をミュートするをご覧ください。

スキャン構成

Web Security Scanner に対してアクセス認証情報が付与されている場合は、そのアクセスレベルを使用してすべてのアクションを実行します。本番環境リソースのリスクを減らし、本番環境へのデプロイ前に脆弱性を検出するには、開発、テスト、ステージング、品質保証の各環境でスキャンを実行することをおすすめします。

本番環境のリソースをスキャンすると、テスト環境と本番環境でリソースを少し変更するだけで脆弱性が見つかる可能性があるため、便利です。ただし、本番環境のスキャン中はアクセスを制限することをおすすめします。詳しくは、ベスト プラクティスをご覧ください。

マネージド スキャンの構成を確認して手動でスキャンを開始するには、Google Cloud コンソールを使用します。

プロジェクトのマネージド スキャンの構成を表示するには:

  1. Google Cloud コンソール の [Web Security Scanner] ページに移動します。
    [Web Security Scanner] ページに移動
  2. プロジェクトを選択します。ページにマネージド スキャンとカスタム スキャンのリストが表示されます。
  3. [スキャンの構成] で managed_scan をクリックします。表示されたページに、スキャンのステータス、クロールされた URL、検出された脆弱性など、最新のマネージド スキャンの結果が表示されます。プルダウン リストを使用すると、以前のスキャンの結果を表示できます。

Web Security Scanner はマネージド スキャンを管理、維持するため、スキャンの構成を変更することはできません。マネージド スキャンの無効化で説明されているように、Security Command Center でのみ、マネージド スキャンを編集または削除できます。

マネージド スキャン用の静的 IP アドレス範囲

Security Command Center で Web Security Scanner が有効になっている場合、マネージド スキャンは 34.66.18.0/2634.66.114.64/26 の範囲内の静的 IP アドレスを使用して自動的に開始されます。

オンデマンド スキャン

設定したスキャンでマネージド スキャンが自動的に行われます。ただし、Web Security Scanner インターフェースを使用して、オンデマンドのマネージド スキャンを実行できます。

  1. Google Cloud コンソール の [Web Security Scanner] ページに移動します。
    [Web Security Scanner] ページに移動
  2. プロジェクトを選択します。ページにマネージド スキャンとカスタム スキャンのリストが表示されます。
  3. [スキャンの構成] で managed_scan をクリックします。
  4. 次のページで、上部にある [実行] をクリックします。または
  5. [結果] タブで [Run scan again] をクリックします。

スキャンが開始され、完了すると Security Command Center で検出結果が更新されます。オンデマンド マネージド スキャンは、スケジュールされたスキャン間で、新規または更新されたプロジェクトの検出結果を取得する際に便利です。オンデマンド スキャンは、スケジュールされた毎週のスキャンのタイミングには影響しません。

スキャンについての詳細情報は、プロジェクトのログページで確認できます。

マネージド スキャンを無効にする

すべてのスコープ内プロジェクトで、Web Security Scanner を有効にしておくことをおすすめします。ただし、Security Command Center で Web Security Scanner を無効にしたり、Security Command Center が組織レベルで有効になっている場合は、特定のプロジェクトやフォルダで Web Security Scanner のマネージド スキャンを無効にしたりできます。

プロジェクトまたはフォルダの Web Security Scanner スキャンを無効にする

フォルダまたはプロジェクトのマネージド スキャンを無効にするには:

  1. Security Command Center の [サービス] ページに移動します。

    サービス ページに移動

  2. プロジェクトまたは組織を選択します。

  3. [Web Security Scanner] カードで、[設定を管理] をクリックします。Web Security Scanner の [サービスの有効化] ページが開きます。

  4. [サービスの有効化] パネルで、次のいずれかの方法を使用してプロジェクトまたはフォルダの Web Security Scanner を無効にします。

    • プロジェクトまたはフォルダに移動します。
      1. 必要であれば、[サービスの有効化] パネルで親組織またはフォルダをスクロールして開き、プロジェクトまたはフォルダに移動します。
      2. プロジェクトまたはフォルダの行で、[Web Security Scanner] 列のメニューから [無効にする] を選択します。
    • プロジェクトとフォルダの場合は、プロジェクトまたはフォルダの名前で検索できます。
      1. フォルダまたはプロジェクトを検索をクリックします。
      2. [リソースの検索] ダイアログで、プロジェクト、フォルダ、または組織の名前を入力します。ダイアログにプロジェクトが表示されます。
      3. ダイアログの [Web Security Scanner] 列のメニューから [無効にする] を選択します。

無効なプロジェクトがマネージド スキャンから除外されました。

Security Command Center で Web Security Scanner を無効にする

Security Command Center で Web Security Scanner サービスを無効にするには:

  1. Security Command Center の [サービス] ページに移動します。

    サービス ページに移動

  2. プロジェクトまたは組織を選択します。

  3. [Web Security Scanner] カードで、[設定を管理] をクリックします。Web Security Scanner の [サービスの有効化] ページが開きます。

  4. [サービスの有効化] の最上位のプロジェクトまたは組織の行で、[Web Security Scanner] 列のメニューから [無効にするを選択します。

Security Command Center で Web Security Scanner が無効になり、マネージド スキャンは行われなくなります。

Google Cloud コンソールで Web Security Scanner インターフェースから次の変更を行うことで、引き続き Web Security Scanner をスタンドアロン プロダクトとして使用できます。

  • プロジェクトごとにカスタム スキャンを構成して管理する必要があります。
  • マネージド スキャンの構成はアーカイブされ、既存のマネージド スキャンの検出結果は Google Cloud コンソールで引き続き表示できます。
  • マネージド スキャンは Security Command Center プレミアム ティアでのみ使用可能なため、マネージド スキャンの構成と、既存のマネージド スキャンの検出結果は Web Security Scanner インターフェースから削除されます。

Security Command Center で Web Security Scanner を再度有効にすると、Web Security Scanner のインターフェースでマネージド スキャンの構成と検出結果が再び表示されます。通常、新しいスキャン中に同じ脆弱性が見つかると、既存の検出結果が更新されます。前回のスキャン以降にアプリケーションやウェブサイトが大幅に変更された場合、新しい検出結果が作成される可能性があります。

次のステップ