このページでは、Web Security Scanner のマネージド スキャン機能を使用して、Google Cloud コンソールで検出結果を確認する方法について説明します。また、Web Security Scanner の検出例も示します。
Web Security Scanner は、App Engine、Google Kubernetes Engine(GKE)、Compute Engine ウェブ アプリケーションにおける共通のセキュリティ脆弱性を識別する Security Command Center プレミアム ティアの組み込みサービスです。Web Security Scanner の検出結果を表示するには、Security Command Center の [サービス] 設定で有効にする必要があります。
詳しくは、Web Security Scanner の仕組みをご覧ください。
検出結果の確認
Web Security Scanner のマネージド スキャン機能は、スコープ内の各プロジェクトのスキャンを自動的に構成してスケジュールします。サービスが有効になってから、Web Security Scanner のスキャンが開始されるまでに最大で 24 時間かかることがあり、最初のスキャン後に毎週実行されます。検出結果は Security Command Center に表示されます。
Google Cloud コンソールで検出結果を確認する
Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
Security Command Center で Web Security Scanner の検出結果を確認するには、次の操作を行います。
Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Web Security Scanner] を選択します。
[検出結果クエリの結果] パネルが更新され、Web Security Scanner の検出結果のみが表示されます。
特定の検出結果の詳細を表示するには、[カテゴリ] の下にある検出結果の名前をクリックします。[検出の詳細] パネルが開き、次の情報が表示されます。
- 検出結果の AI 生成のサマリープレビュー
- イベントの発生時間
- 検出結果データのソース
- 検出結果の重大度(例: 高)
- 影響を受けるリソース
特定の URL に関連付けられているすべての検出結果を表示する
スキャンでは、複数のベース URL から検出結果が生成されます。スキャン内の特定の URL に関連付けられているすべての検出結果を表示するには、次の操作を行います。
Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Web Security Scanner] を選択します。
[検出結果クエリの結果] パネルが更新され、Web Security Scanner の検出結果のみが表示されます。
[カテゴリ] の下にある検出結果の名前をクリックします。
検出の詳細ペインで、[JSON] タブをクリックします。
externalUriの横の URL をコピーします。検出結果の詳細ペインを閉じます。
クエリエディタで、次のクエリを入力します。
externalUri:"AFFECTED_URI"AFFECTED_URI は、先ほどコピーした URL に置き換えます。
Security Command Center は、URL に関連付けられているすべての検出結果を表示します。
検出結果の例
Web Security Scanner のマネージド スキャンの検出結果の例は次のとおりです。
| 脆弱性 | 説明 |
|---|---|
| 混合コンテンツ | HTTPS 経由で提供されたページは、HTTP 経由でもリソースを提供します。中間者攻撃によって HTTP リソースが改ざんされ、リソースを読み込んでいるウェブサイトへの完全アクセス権を取得されるか、ユーザーの操作をモニタリングされるおそれがあります。 |
| クリアテキストのパスワード | アプリケーションは、無効なコンテンツ タイプとともに、または X-Content-Type-Options: nosniff ヘッダーなしで機密コンテンツを返します。 |
| 古いライブラリ |
組み込みのライブラリのバージョンに、セキュリティ上の問題が含まれていることが確認されています。Cloud Security Scanner は、使用中のライブラリのバージョンと脆弱性があるライブラリの既知のリストを照合します。バージョンの検出に失敗した場合や、ライブラリに手動でパッチが適用されている場合は、誤検知が発生する可能性もあります。 Web Security Scanner は、次の一般的なライブラリの脆弱性があるバージョンを特定します。
このリストは、新しいライブラリで定期的に更新されます。該当する場合は脆弱性も更新されます。 |
詳しくは、Google Cloud コンソールでの Security Command Center の使用をご覧ください。
Google Cloud コンソールで検出結果をフィルタする
大規模な組織では、デプロイメント全体で確認、優先順位付け、追跡が必要な脆弱性の検出結果が大量に表示される場合があります。Google Cloud コンソールの Security Command Center の [脆弱性] ページと [検出] ページで利用可能なフィルタを使用して、組織全体で最も重大度の高い脆弱性に重点を置き、アセットのタイプやプロジェクトごとに脆弱性を確認できます。
脆弱性の検出結果のフィルタリングの詳細については、Security Command Center で脆弱性の検出結果をフィルタするをご覧ください。
検出結果をミュートする
Security Command Center で検出結果の量を制御するには、手動またはプログラムによって個々の検出結果をミュートするか、定義したフィルタに基づいて現在と将来の検出結果を自動的にミュートするミュートルールを作成します。
ミュートされた検出結果は表示されませんが、監査とコンプライアンスのためには引き続き記録されます。ミュートされた検索結果はいつでも表示できます。また、ミュートを解除することもできます。詳しくは、Security Command Center で検出結果をミュートするをご覧ください。
スキャン構成
Web Security Scanner に対してアクセス認証情報が付与されている場合は、そのアクセスレベルを使用してすべてのアクションを実行します。本番環境リソースのリスクを減らし、本番環境へのデプロイ前に脆弱性を検出するには、開発、テスト、ステージング、品質保証の各環境でスキャンを実行することをおすすめします。
本番環境のリソースをスキャンすると、テスト環境と本番環境でリソースを少し変更するだけで脆弱性が見つかる可能性があるため、便利です。ただし、本番環境のスキャン中はアクセスを制限することをおすすめします。詳しくは、ベスト プラクティスをご覧ください。
マネージド スキャンの構成を確認して手動でスキャンを開始するには、Google Cloud コンソールを使用します。
プロジェクトのマネージド スキャンの構成を表示するには:
- Google Cloud コンソールの [Web Security Scanner] ページに移動します。
[Web Security Scanner] ページに移動 - プロジェクトを選択します。ページにマネージド スキャンとカスタム スキャンのリストが表示されます。
- [スキャンの構成] で
managed_scanをクリックします。表示されたページに、スキャンのステータス、クロールされた URL、検出された脆弱性など、最新のマネージド スキャンの結果が表示されます。プルダウン リストを使用すると、以前のスキャンの結果を表示できます。
Web Security Scanner はマネージド スキャンを管理、維持するため、スキャンの構成を変更することはできません。マネージド スキャンの無効化で説明されているように、Security Command Center でのみ、マネージド スキャンを編集または削除できます。
マネージド スキャン用の静的 IP アドレス範囲
Security Command Center で Web Security Scanner が有効になっている場合、マネージド スキャンは 34.66.18.0/26~34.66.114.64/26 の範囲内の静的 IP アドレスを使用して自動的に開始されます。
オンデマンド スキャン
設定したスキャンでマネージド スキャンが自動的に行われます。ただし、Web Security Scanner インターフェースを使用して、オンデマンドのマネージド スキャンを実行できます。
- Google Cloud コンソールの [Web Security Scanner] ページに移動します。
[Web Security Scanner] ページに移動 - プロジェクトを選択します。ページにマネージド スキャンとカスタム スキャンのリストが表示されます。
- [スキャンの構成] で
managed_scanをクリックします。 - 次のページで、上部にある [実行] をクリックします。または
- [結果] タブで [Run scan again] をクリックします。
スキャンが開始され、完了すると Security Command Center で検出結果が更新されます。オンデマンド マネージド スキャンは、スケジュール スキャンの間で、新規または更新されたプロジェクトの検出結果を取得する際に便利です。オンデマンド スキャンは、スケジュールされた毎週のスキャンのタイミングには影響しません。
スキャンについての詳細情報は、プロジェクトのログページで確認できます。
マネージド スキャンを無効にする
すべてのスコープ内プロジェクトで、Web Security Scanner を有効にしておくことをおすすめします。ただし、Security Command Center で Web Security Scanner を無効にすることができます。また、Security Command Center が組織レベルで有効になっている場合は、特定のプロジェクトやフォルダで Web Security Scanner のマネージド スキャンを無効にできます。
プロジェクトまたはフォルダの Web Security Scanner スキャンを無効にする
フォルダまたはプロジェクトのマネージド スキャンを無効にするには:
Security Command Center の [サービス] ページに移動します。
プロジェクトまたは組織を選択します。
[Web Security Scanner] カードで、[設定を管理] をクリックします。Web Security Scanner の [サービスの有効化] ページが開きます。
[サービスの有効化] パネルで、次のいずれかの方法を使用してプロジェクトまたはフォルダの Web Security Scanner を無効にします。
- プロジェクトまたはフォルダに移動します。
- 必要であれば、[サービスの有効化] パネルで親組織またはフォルダをスクロールして開き、プロジェクトまたはフォルダに移動します。
- プロジェクトまたはフォルダの行で、[Web Security Scanner] 列のメニューから [無効にする] を選択します。
- プロジェクトとフォルダの場合は、プロジェクトまたはフォルダの名前で検索できます。
- [フォルダまたはプロジェクトを検索] をクリックします。
- [リソースの検索] ダイアログで、プロジェクト、フォルダ、または組織の名前を入力します。ダイアログにプロジェクトが表示されます。
- ダイアログの [Web Security Scanner] 列のメニューから [無効にする] を選択します。
- プロジェクトまたはフォルダに移動します。
無効なプロジェクトがマネージド スキャンから除外されました。
Security Command Center で Web Security Scanner を無効にする
Security Command Center で Web Security Scanner サービスを無効にするには:
Security Command Center の [サービス] ページに移動します。
プロジェクトまたは組織を選択します。
[Web Security Scanner] カードで、[設定を管理] をクリックします。Web Security Scanner の [サービスの有効化] ページが開きます。
[サービスの有効化] の最上位にあるプロジェクトまたは組織の行で、[Web Security Scanner] 列のメニューから [無効にする] を選択します。
Security Command Center で Web Security Scanner が無効になり、マネージド スキャンは行われなくなります。
Google Cloud コンソールで Web Security Scanner インターフェースから次の変更を行うことで、引き続き Web Security Scanner をスタンドアロン プロダクトとして使用できます。
- プロジェクトごとにカスタム スキャンを構成して管理する必要があります。
- マネージド スキャンの構成はアーカイブされ、既存のマネージド スキャンの検出結果は Google Cloud コンソールで引き続き表示できます。
- マネージド スキャンは Security Command Center プレミアム ティアでのみ使用可能なため、マネージド スキャンの構成と、既存のマネージド スキャンの検出結果は Web Security Scanner インターフェースから削除されます。
Security Command Center で Web Security Scanner を再度有効にすると、Web Security Scanner のインターフェースでマネージド スキャンの構成と検出結果が再び表示されます。通常、新しいスキャン中に同じ脆弱性が見つかると、既存の検出結果が更新されます。前回のスキャン以降にアプリケーションやウェブサイトが大幅に変更された場合、新しい検出結果が作成される可能性があります。
次のステップ
- Web Security Scanner の検出結果の修正について確認する。