CIS Benchmark v2.0 の事前定義されたポスチャー テンプレート

このページでは、Center for Internet Security(CIS)Google Cloud Computing Platform Benchmark v2.0.0 の事前定義された体制テンプレートの v1.0 バージョンに含まれる検出ポリシーについて説明します。この事前定義済みのポスチャーは、Google Cloud 環境が CIS Benchmark と一致しない場合に検出するうえで役立ちます。

このポスチャー テンプレートは、変更を加えることなくデプロイできます。

次の表に、このポスチャー テンプレートに含まれる Security Health Analytics の検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。

検出項目の名前 説明
ACCESS_TRANSPARENCY_DISABLED

この検出機能は、アクセスの透明性がオフになっているかどうかを確認します。

ADMIN_SERVICE_ACCOUNT

この検出機能は、サービス アカウントに管理者オーナー、または編集者の権限があるかどうかを確認します。

ESSENTIAL_CONTACTS_NOT_CONFIGURED

この検出機能は、重要な連絡先が 1 つ以上登録されているかどうかを確認します。

API_KEY_APIS_UNRESTRICTED

この検出機能は、API キーが広すぎる範囲で使用されているかどうかを確認します。

API_KEY_EXISTS

この検出機能は、プロジェクトで標準認証ではなく API キーが使用されているかどうかを確認します。

API_KEY_NOT_ROTATED

この検出機能は、API キーが過去 90 日以内にローテーションされているかどうかを確認します。

AUDIT_CONFIG_NOT_MONITORED

この検出機能は、監査構成の変更がモニタリングされているかどうかを確認します。

AUDIT_LOGGING_DISABLED

この検出機能は、リソースの監査ロギングがオフになっているかどうかを確認します。

AUTO_BACKUP_DISABLED

この検出機能は、Cloud SQL データベースで自動バックアップが有効になっていないかどうかを確認します。

BIGQUERY_TABLE_CMEK_DISABLED

この検出機能は、BigQuery テーブルが顧客管理の暗号鍵(CMEK)を使用するように構成されていないかどうかを確認します。詳細については、データセットの脆弱性の検出結果をご覧ください。

BUCKET_IAM_NOT_MONITORED この検出機能は、Cloud Storage で IAM 権限を変更する際にロギングがオフになっているかどうかを確認します。
BUCKET_POLICY_ONLY_DISABLED

この検出機能は、均一なバケットレベルのアクセスが構成されているかどうかを確認します。

CLOUD_ASSET_API_DISABLED

この検出機能は、Cloud Asset Inventory がオフになっているかどうかを確認します。

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

この検出機能は、プロジェクト全体の SSH 認証鍵が使用されているかどうかを確認します。

COMPUTE_SERIAL_PORTS_ENABLED

この検出機能は、シリアルポートが有効になっているかどうかを確認します。

CONFIDENTIAL_COMPUTING_DISABLED

この検出機能は、Confidential Computing がオフになっているかどうかを確認します。

CUSTOM_ROLE_NOT_MONITORED

この検出機能は、カスタムロールの変更に関するロギングがオフになっているかどうかを確認します。

DATAPROC_CMEK_DISABLED

この検出機能は、Dataproc クラスタに対して CMEK のサポートがオフになっているかどうかを確認します。

DATASET_CMEK_DISABLED

この検出機能は、BigQuery データセットに対して CMEK のサポートがオフになっているかどうかを確認します。

DEFAULT_NETWORK

この検出機能は、プロジェクトにデフォルト ネットワークが存在するかどうかを確認します。

DEFAULT_SERVICE_ACCOUNT_USED

この検出機能は、デフォルトのサービス アカウントが使用されているかどうかを確認します。

DISK_CSEK_DISABLED

この検出機能は、VM で顧客指定の暗号鍵(CSEK)のサポートがオフになっているかどうかを確認します。

DNS_LOGGING_DISABLED

この検出機能は、VPC ネットワークで DNS ロギングが有効になっているかどうかを確認します。

DNSSEC_DISABLED

この検出機能は、Cloud DNS ゾーンで DNSSEC が無効になっているかどうかを確認します。

FIREWALL_NOT_MONITORED

この検出機能では、ログ指標とアラートが VPC ファイアウォール ルールの変更をモニタリングするように構成されていないかどうかを確認します。

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

この検出機能は、VPC フローログが有効になっていないかどうかを確認します。

FULL_API_ACCESS

この検出機能は、インスタンスがすべての Google Cloud APIs への完全アクセス権を持つデフォルトのサービス アカウントを使用しているかどうかを確認します。

INSTANCE_OS_LOGIN_DISABLED

この検出機能は、OS Login が有効になっていないかどうかを確認します。

IP_FORWARDING_ENABLED

この検出機能は、IP 転送が有効になっているかどうかを確認します。

KMS_KEY_NOT_ROTATED

この検出機能は、Cloud Key Management Service の暗号化のローテーションが有効になっていないかどうかを確認します。

KMS_PROJECT_HAS_OWNER

この検出機能は、キーを含むプロジェクトに対するオーナー権限がユーザーに付与されているかどうかを確認します。

KMS_PUBLIC_KEY

この検出機能は、Cloud Key Management Service 暗号鍵が一般公開されているかどうかを確認します。詳細については、KMS の脆弱性の検出結果をご覧ください。

KMS_ROLE_SEPARATION

この検出機能は、Cloud KMS 鍵の職掌分散を確認します。

LEGACY_NETWORK

この検出機能は、プロジェクトに以前のネットワークが存在するかどうかを確認します。

LOCKED_RETENTION_POLICY_NOT_SET

この検出機能は、ロックされた保持ポリシーがログに設定されているかどうかを確認します。

LOAD_BALANCER_LOGGING_DISABLED

この検出機能は、ロードバランサのロギングがオフになっているかどうかを確認します。

LOG_NOT_EXPORTED

この検出機能は、リソースにログシンクが構成されていないかどうかを確認します。

MFA_NOT_ENFORCED

この検出機能は、ユーザーが 2 段階認証プロセスを使用していないかどうかを確認します。

NETWORK_NOT_MONITORED

この検出機能は、ログ指標とアラートが VPC ネットワークの変更をモニタリングするように構成されていないかどうかを確認します。

NON_ORG_IAM_MEMBER

この検出機能は、ユーザーが組織の認証情報を使用していないかどうかを確認します。

OPEN_RDP_PORT

この検出機能は、開いている RDP ポートがファイアウォールにあるかどうかを確認します。

OPEN_SSH_PORT

この検出機能は、一般的なアクセスを許可する開いている SSH ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。

OS_LOGIN_DISABLED

この検出機能は、OS Login がオフになっているかどうかを確認します。

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

この検出機能は、ユーザーに特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ロールが付与されているかどうかを確認します。

OWNER_NOT_MONITORED

この検出機能は、プロジェクト所有権の割り当てと変更のロギングがオフになっているかどうかを確認します。

PUBLIC_BUCKET_ACL

この検出機能は、バケットが一般公開されているかどうかを確認します。

PUBLIC_DATASET

この検出機能は、データセットが一般公開のアクセスを受け入れるように構成されているかどうかを確認します。詳細については、データセットの脆弱性の検出結果をご覧ください。

PUBLIC_IP_ADDRESS

この検出機能は、インスタンスに外部 IP アドレスがあるかどうかを確認します。

PUBLIC_SQL_INSTANCE

この検出機能は、Cloud SQL がすべての IP アドレスからの接続を許可しているかどうかを確認します。

ROUTE_NOT_MONITORED

この検出機能は、ログ指標とアラートが VPC ネットワーク ルートの変更をモニタリングするように構成されていないかどうかを確認します。

RSASHA1_FOR_SIGNING

この検出機能は、Cloud DNS ゾーンの鍵署名に RSASHA1 が使用されているかどうかを確認します。

SERVICE_ACCOUNT_KEY_NOT_ROTATED

この検出機能は、サービス アカウント キーが過去 90 日以内にローテーションされているかどうかを確認します。

SERVICE_ACCOUNT_ROLE_SEPARATION

この検出機能は、サービス アカウント キーの職掌分散を確認します。

SHIELDED_VM_DISABLED

この検出機能は、Shielded VM がオフになっているかどうかを確認します。

SQL_CONTAINED_DATABASE_AUTHENTICATION

この検出機能は、Cloud SQL for SQL Server の contained database authentication フラグがオフになっていないかどうかを確認します。

SQL_CROSS_DB_OWNERSHIP_CHAINING

この検出機能は、Cloud SQL for SQL Server の cross_db_ownership_chaining フラグがオフになっていないかどうかを確認します。

SQL_EXTERNAL_SCRIPTS_ENABLED

この検出機能は、Cloud SQL for SQL Server の external scripts enabled フラグがオフになっていないかどうかを確認します。

SQL_INSTANCE_NOT_MONITORED

この検出機能は、Cloud SQL 構成の変更に関するロギングがオフになっているかどうかを確認します。

SQL_LOCAL_INFILE

この検出機能は、Cloud SQL for MySQL の local_infile フラグがオフになっていないかどうかを確認します。

SQL_LOG_CONNECTIONS_DISABLED

この検出機能は、Cloud SQL for PostgreSQL の log_connections フラグがオンになっていないかどうかを確認します。

SQL_LOG_DISCONNECTIONS_DISABLED

この検出機能は、Cloud SQL for PostgreSQL の log_disconnections フラグがオンになっていないかどうかを確認します。

SQL_LOG_ERROR_VERBOSITY

この検出機能は、Cloud SQL for PostgreSQL の log_error_verbosity フラグが default に設定されていないかどうかを確認します。

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

この検出機能は、Cloud SQL for PostgreSQL の log_min_duration_statement フラグが -1 に設定されていないかどうかを確認します。

SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

この検出機能は、Cloud SQL for PostgreSQL の log_min_error_statement フラグに適切な重大度レベルが設定されていないかどうかを確認します。

SQL_LOG_MIN_MESSAGES

この検出機能は、Cloud SQL for PostgreSQL の log_min_messages フラグが warning に設定されていないかどうかを確認します。

SQL_LOG_STATEMENT

この検出機能は、Cloud SQL for PostgreSQL Server の log_statement フラグが ddl に設定されていないかどうかを確認します。

SQL_NO_ROOT_PASSWORD

この検出機能は、外部 IP アドレスを持つ Cloud SQL データベースに root アカウントのパスワードがないかどうかを確認します。

SQL_PUBLIC_IP

この検出機能は、Cloud SQL データベースに外部 IP アドレスがあるかどうかを確認します。

SQL_REMOTE_ACCESS_ENABLED

この検出機能は、Cloud SQL for SQL Server の remote_access フラグがオフになっていないかどうかを確認します。

SQL_SKIP_SHOW_DATABASE_DISABLED

この検出機能は、Cloud SQL for MySQL の skip_show_database フラグがオンになっていないかどうかを確認します。

SQL_TRACE_FLAG_3625

この検出機能は、Cloud SQL for SQL Server の 3625 (trace flag) フラグがオンになっていないかどうかを確認します。

SQL_USER_CONNECTIONS_CONFIGURED

この検出機能は、Cloud SQL for SQL Server の user connections フラグが構成されているかどうかを確認します。

SQL_USER_OPTIONS_CONFIGURED

この検出機能は、Cloud SQL for SQL Server の user options フラグが構成されているかどうかを確認します。

USER_MANAGED_SERVICE_ACCOUNT_KEY

この検出機能は、ユーザーがサービス アカウント キーを管理しているかどうかを確認します。

WEAK_SSL_POLICY

この検出機能は、インスタンスに脆弱な SSL ポリシーが設定されているかどうかを確認します。

対策テンプレートを表示する

CIS Benchmark v2.0 の対策テンプレートを表示するには、次のようにします。

gcloud

後述のコマンドデータを使用する前に、次のように置き換えます。

  • ORGANIZATION_ID: 組織の数値 ID

gcloud scc posture-templates describe コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows(PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows(cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

レスポンスには、対策テンプレートが含まれます。

REST

リクエストのデータを使用する前に、次のように置き換えます。

  • ORGANIZATION_ID: 組織の数値 ID

HTTP メソッドと URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

リクエストを送信するには、次のいずれかのオプションを展開します。

レスポンスには、対策テンプレートが含まれます。

次のステップ