Web Security Scanner の使用

>

このページでは、Web Security Scanner のマネージド スキャン機能を使用して、Security Command Center のダッシュボードで検出結果を確認する方法について説明します。また、Web Security Scanner の検出例も示されます。

Web Security Scanner は、App Engine、Google Kubernetes Engine(GKE)、Compute Engine ウェブ アプリケーションにおける共通のセキュリティ脆弱性を識別する Security Command Center プレミアム ティアの組み込みサービスです。Web Security Scanner の検出結果を表示するには、Security Command Center の [Services] 設定で有効にする必要があります。

次の動画では、Web Security Scanner を設定して、Security Command Center ダッシュボードを使用する手順について説明しています。Web Security Scanner の検出結果の表示と管理、マネージド スキャン機能の使用については、このページの後半で説明します。

詳しくは、Web Security Scanner の仕組みをご覧ください。

検出結果の確認

Web Security Scanner のマネージド スキャン機能は、対象となる各プロジェクトのスキャンを自動的に構成してスケジュールします。サービスが有効になってから、Web Security Scanner のスキャンが開始されまでに最大で 24 時間かかることがあり、最初のスキャン後に毎週実行されます。 検出結果は Security Command Center に表示されます。

Security Command Center で検出結果を確認する

Security Command Center で Web Security Scanner の検出結果を確認するには:

  1. Google Cloud Console で Security Command Center の [検出] タブに移動します。
    [検出] タブに移動
  2. [表示] の横にある [ソースの種類] をクリックします。
  3. [ソースタイプ] リストで [Web Security Scanner] を選択します。選択したソースタイプの検出結果がテーブルに表示されます。
  4. 特定の検出結果の詳細を表示するには、[category] の下の検出結果名をクリックします。検出結果の詳細パネルが展開され、次の情報が表示されます。
    • イベントの内容
    • イベントの発生時間
    • 検出データのソース
    • 検出の重大度(例: 高い
    • 影響を受ける URL

スキャンでは、複数のベース URL から検出結果が生成されます。スキャン内の特定の URL に関連付けられているすべての検出結果を表示するには:

  1. category で検出結果名をクリックします。
  2. [検出結果の詳細] パネルで、externalUri の横にある URL をコピーします。
  3. 検出の詳細パネルを閉じます。
  4. [フィルタ] ボックスに「externalUri:affected-uri」と入力します。ここで affected-uri は、先ほどコピーした URL です。Security Command Center は、URL に関連付けられているすべての検出結果を表示します。

検出結果の例

Web Security Scanner のマネージド スキャンの検出結果の例は次のとおりです。

表 AWeb Security Scanner マネージド スキャン検出結果のタイプ
脆弱性 説明
混合コンテンツ HTTPS 経由で提供されたページは、HTTP 経由でもリソースを提供します。中間者攻撃によって HTTP リソースが改ざんされ、リソースを読み込んでいるウェブサイトへの完全アクセス権を取得されるか、ユーザーの操作をモニタリングされるおそれがあります。
クリアテキストのパスワード アプリケーションは、無効なコンテンツ タイプとともに、または X-Content-Type-Options: nosniff ヘッダーなしで機密コンテンツを返します。
古いライブラリ

組み込みのライブラリのバージョンに、セキュリティ上の問題が含まれていることが知られています。Cloud Security Scanner は使用中のライブラリのバージョンを、脆弱性があるライブラリの既知のリストと照合します。バージョンの検出に失敗した場合やライブラリに手動でパッチを適用したことがある場合は、誤検出の可能性もあります。

Web Security Scanner は、次の一般的なライブラリの脆弱性があるバージョンを特定します。

このリストは、新しいライブラリで定期的に更新され、該当する場合は脆弱性も更新されます。

Security Command Center のダッシュボードの使用について確認します。

スキャン構成

マネージド スキャン構成を確認し、手動でスキャンを開始するには、Cloud Console を使用します。

プロジェクトのマネージド スキャン構成を表示するには:

  1. Cloud Console の [Web Security Scanner] ページに移動します。
    [Web Security Scanner] ページに移動
  2. プロジェクトを選択します。ページにマネージド スキャンとカスタム スキャンのリストが表示されます。
  3. [スキャンの構成] で managed_scan をクリックします。表示されたページに、スキャンのステータス、クロールされた URL、検出された脆弱性など、最新のマネージド スキャンの結果が表示されます。プルダウン リストを使用すると、以前のスキャンの結果を表示できます。

Web Security Scanner はマネージド スキャンを管理、維持するため、スキャンの構成を変更することはできません。マネージド スキャンの無効化で説明されているように、Security Command Center でのみ、マネージド スキャンを編集または削除できます。

オンデマンド スキャン

設定したスキャンでマネージド スキャンが自動的に行われます。ただし、Web Security Scanner インターフェースを使用して、オンデマンドのマネージド スキャンを行えます。

  1. Cloud Console の [Web Security Scanner] ページに移動します。
    [Web Security Scanner] ページに移動
  2. プロジェクトを選択します。ページにマネージド スキャンとカスタム スキャンのリストが表示されます。
  3. [スキャンの構成] で managed_scan をクリックします。
  4. 次のページで、上部にある [実行] をクリックします。または
  5. [結果] タブで [Run scan again] をクリックします。

スキャンが開始され、完了すると Security Command Center で検出結果が更新されます。オンデマンド マネージド スキャンは、スケジュールされたスキャン間で、新規または更新されたプロジェクトの検出結果を取得する際に便利です。オンデマンド スキャンは、スケジュールされた毎週のスキャンのタイミングには影響しません。

スキャンについての詳細情報は、プロジェクトのログページで確認できます。

マネージド スキャンを無効にする

対象のすべてのプロジェクトで Web Security Scanner を有効にしておくことをおすすめします。ただし、Web Security Scanner を無効にするか、Web Security Scanner マネージド スキャンから特定のプロジェクトを削除できます。

マネージド スキャンからプロジェクトを削除するには:

  1. Security Command Center の [Services] ページに移動します。
    [Services] ページに移動
  2. 組織を選択します。
  3. [詳細設定] に移動し、メニューを展開してフォルダとプロジェクトを表示します。
  4. [Web Security Scanner] 列で、マネージド スキャンから削除する各プロジェクトのプルダウン リストから [デフォルトで無効] を選択します。

無効なプロジェクトはマネージド スキャンに含まれなくなりました。

Security Command Center で Web Security Scanner を無効にするには:

  1. Security Command Center の [Services] ページに移動します。
    [Services] ページに移動
  2. 組織を選択します。
  3. Web Security Scanner の横にあるプルダウン リストで、[デフォルトで無効] を選択します。

Security Command Center で Web Security Scanner が無効になり、マネージド スキャンは行われなくなります。

Cloud Console で Web Security Scanner インターフェースを介して、次の変更を加えることで引き続き Web Security Scanner をスタンドアロン プロダクトとして使用できます。

  • プロジェクトごとにカスタム スキャンを構成して管理する必要があります。
  • マネージド スキャンの構成はアーカイブされ、既存のマネージド スキャンの検出結果は Security Command Center のダッシュボードに表示されたままになります。
  • マネージド スキャンは Security Command Center プレミアム ティアでのみ使用可能なため、マネージド スキャンの構成と、既存のマネージド スキャンの検出結果は Web Security Scanner インターフェースから削除されます。

Security Command Center で Web Security Scanner が再び有効になった場合、マネージド スキャンの構成と検出結果が Web Security Scanner インターフェースに再表示されます。通常、新しいスキャン中に同じ脆弱性が見つかると、既存の検出結果が更新されます。前回のスキャン以降にアプリケーションまたはウェブサイトが大幅に変更された場合、新しい検出結果が作成されることがあります。

次のステップ