このページでは、Payment Card Industry Data Security Standard(PCI DSS)バージョン 3.2.1 とバージョン 1.0 の事前定義されたポスチャー テンプレートの v1.0 バージョンに含まれる検出ポリシーについて説明します。このテンプレートには、PCI DSS 基準を遵守する必要があるワークロードに適用される Security Health Analytics 検出項目を定義するポリシーセットが含まれています。
このポスチャー テンプレートは、変更を加えることなくデプロイできます。
Security Health Analytics の検出機能
次の表に、このポスチャー テンプレートに含まれる Security Health Analytics の検出機能を示します。
| 検出項目の名前 | 説明 |
|---|---|
PUBLIC_DATASET |
この検出機能は、データセットが一般公開のアクセスを受け入れるように構成されているかどうかを確認します。詳細については、データセットの脆弱性の検出結果をご覧ください。 |
NON_ORG_IAM_MEMBER |
この検出機能は、ユーザーが組織の認証情報を使用していないかどうかを確認します。 |
KMS_PROJECT_HAS_OWNER |
この検出機能は、キーを含むプロジェクトに対するオーナー権限がユーザーに付与されているかどうかを確認します。 |
AUDIT_LOGGING_DISABLED |
この検出機能は、リソースの監査ロギングが無効になっているかどうかを確認します。 |
SSL_NOT_ENFORCED |
この検出機能は、Cloud SQL データベース インスタンスがすべての受信接続で SSL を使用していないかどうかを確認します。詳細については、SQL の脆弱性の検出結果をご覧ください。 |
LOCKED_RETENTION_POLICY_NOT_SET |
この検出機能は、ロックされた保持ポリシーがログに設定されているかどうかを確認します。 |
KMS_KEY_NOT_ROTATED |
この検出機能は、Cloud Key Management Service の暗号化のローテーションが有効になっていないかどうかを確認します。 |
OPEN_SMTP_PORT |
この検出機能は、一般的なアクセスを許可する開いている SMTP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
SQL_NO_ROOT_PASSWORD |
この検出機能は、パブリック IP アドレスを持つ Cloud SQL データベースに root アカウントのパスワードが構成されていないかどうかを確認します。 |
OPEN_LDAP_PORT |
この検出機能は、一般的なアクセスを許可する開いている LDAP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_ORACLEDB_PORT |
この検出機能は、一般的なアクセスを許可する開いている Oracle データベース ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_SSH_PORT |
この検出機能は、一般的なアクセスを許可する開いている SSH ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
MFA_NOT_ENFORCED |
この検出機能は、ユーザーが 2 段階認証プロセスを使用していないかどうかを確認します。 |
COS_NOT_USED |
この検出機能は、Compute Engine VM が Container-Optimized OS を使用していないかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
HTTP_LOAD_BALANCER |
この検出機能は、Compute Engine インスタンスがターゲット HTTPS プロキシではなく、ターゲット HTTP プロキシを使用するように構成されているロードバランサを使用しているかどうかを確認します。詳細については、コンピューティング インスタンスの脆弱性の検出結果をご覧ください。 |
EGRESS_DENY_RULE_NOT_SET |
この検出機能は、下り(外向き)拒否ルールがファイアウォールに設定されていないかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
PUBLIC_LOG_BUCKET |
この検出機能は、ログシンクを含むバケットが一般公開されているかどうかを確認します。 |
OPEN_DIRECTORY_SERVICES_PORT |
この検出機能は、ファイアウォールに一般的なアクセスを許可するオープン DIRECTORY_SERVICES ポートがあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_MYSQL_PORT |
この検出機能は、一般的なアクセスを許可する開いている MySQL ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_FTP_PORT |
この検出機能は、一般的なアクセスを許可する開いている FTP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_FIREWALL |
この検出機能は、ファイアウォールが公開アクセスを受け入れているかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
WEAK_SSL_POLICY |
この検出機能は、インスタンスに脆弱な SSL ポリシーが設定されているかどうかを確認します。 |
OPEN_POP3_PORT |
この検出機能は、一般的なアクセスを許可する開いている POP3 ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_NETBIOS_PORT |
この検出機能は、一般的なアクセスを許可する開いている NETBIOS ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
FLOW_LOGS_DISABLED |
この検出機能は、VPC サブネットワークでフローログが有効になっているかどうかを確認します。 |
OPEN_MONGODB_PORT |
この検出機能は、ファイアウォールに一般的なアクセスを許可するオープン Mongo データベース ポートがあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
MASTER_AUTHORIZED_NETWORKS_DISABLED |
この検出機能は、GKE クラスタでコントロール プレーン承認済みネットワークが有効になっていないかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
OPEN_REDIS_PORT |
この検出機能は、一般的なアクセスを許可する開いている REDIS ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_DNS_PORT |
この検出機能は、一般的なアクセスを許可する開いている DNS ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_TELNET_PORT |
この検出機能は、一般的なアクセスを許可する開いている TELNET ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_HTTP_PORT |
この検出機能は、一般的なアクセスを許可する開いている HTTP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
CLUSTER_LOGGING_DISABLED |
この検出機能は、GKE クラスタのロギングが有効になっていないことを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
FULL_API_ACCESS |
この検出機能は、インスタンスがすべての Google Cloud API への完全アクセス権を持つデフォルトのサービス アカウントを使用しているかどうかを確認します。 |
OBJECT_VERSIONING_DISABLED |
この検出機能は、シンクがあるストレージ バケットでオブジェクトのバージョニングが有効になっているかどうかを確認します。 |
PUBLIC_IP_ADDRESS |
この検出機能は、インスタンスにパブリック IP アドレスがあるかどうかを確認します。 |
AUTO_UPGRADE_DISABLED |
この検出機能は、GKE クラスタの自動アップグレード機能が無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
LEGACY_AUTHORIZATION_ENABLED |
この検出機能は、GKE クラスタで以前の承認が有効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
CLUSTER_MONITORING_DISABLED |
この検出機能は、GKE クラスタでモニタリングが無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
OPEN_CISCOSECURE_WEBSM_PORT |
この検出機能は、ファイアウォールに一般的なアクセスを許可するオープン CISCOSECURE_WEBSM ポートがあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OPEN_RDP_PORT |
この検出機能は、一般的なアクセスを許可するオープン RDP ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
WEB_UI_ENABLED |
この検出機能は、GKE ウェブ UI が有効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
FIREWALL_RULE_LOGGING_DISABLED |
この検出機能は、ファイアウォール ルールのロギングが無効になっているかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
この検出機能は、ユーザーに特定のサービス アカウントではなく、プロジェクト レベルのサービス アカウント ロールが付与されているかどうかを確認します。 |
PRIVATE_CLUSTER_DISABLED |
この検出機能は、GKE クラスタで限定公開クラスタが無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
PRIMITIVE_ROLES_USED |
この検出機能は、ユーザーに基本ロール(オーナー、編集者、閲覧者)が付与されているかどうかを確認します。詳細については、IAM の脆弱性の検出結果をご覧ください。 |
REDIS_ROLE_USED_ON_ORG |
この検出機能は、Redis IAM ロールが組織またはフォルダに割り当てられているかどうかを確認します。詳細については、IAM の脆弱性の検出結果をご覧ください。 |
PUBLIC_BUCKET_ACL |
この検出機能は、バケットが一般公開されているかどうかを確認します。 |
OPEN_MEMCACHED_PORT |
この検出機能は、一般的なアクセスを許可するオープン Memcache ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
OVER_PRIVILEGED_ACCOUNT |
この検出機能は、サービス アカウントがクラスタ内で過度に広い範囲のプロジェクトへのアクセス権を持っているかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
AUTO_REPAIR_DISABLED |
この検出機能は、GKE クラスタの自動修復機能が無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
NETWORK_POLICY_DISABLED |
この検出機能は、クラスタでネットワーク ポリシーが無効になっているかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED |
この検出機能は、Google API へのアクセスにプライベート内部 IP アドレスのみを使用するようにクラスタホストが構成されていないかどうかを確認します。詳細については、コンテナの脆弱性の検出をご覧ください。 |
OPEN_CASSANDRA_PORT |
この検出機能は、一般的なアクセスを許可する開いている Cassandra ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
TOO_MANY_KMS_USERS |
この検出機能は、暗号鍵のユーザーが 3 人を超えているかどうかを確認します。詳細については、KMS の脆弱性の検出結果をご覧ください。 |
OPEN_POSTGRESQL_PORT |
この検出機能は、一般的なアクセスを許可する開いている SSH ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
IP_ALIAS_DISABLED |
この検出機能は、GKE クラスタがエイリアス IP アドレス範囲を無効にして作成されたかどうかを確認します。詳細については、コンテナの脆弱性の検出結果をご覧ください。 |
PUBLIC_SQL_INSTANCE |
この検出機能は、Cloud SQL がすべての IP アドレスからの接続を許可しているかどうかを確認します。 |
OPEN_ELASTICSEARCH_PORT |
この検出機能は、一般的なアクセスを許可する開いている Elasticsearch ポートがファイアウォールにあるかどうかを確認します。詳しくは、ファイアウォールの脆弱性の検出結果をご覧ください。 |
対策テンプレートを表示する
PCI DSS のポスチャー テンプレートを表示する手順は次のとおりです。
gcloud
後述のコマンドデータを使用する前に、次のように置き換えます。
-
ORGANIZATION_ID: 組織の数値 ID
gcloud scc posture-templates
describe コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows(PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
Windows(cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
レスポンスには、対策テンプレートが含まれます。
REST
リクエストのデータを使用する前に、次のように置き換えます。
-
ORGANIZATION_ID: 組織の数値 ID
HTTP メソッドと URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/pci_dss_v_3_2_1
リクエストを送信するには、次のいずれかのオプションを展開します。
レスポンスには、対策テンプレートが含まれます。