有害な組み合わせの概要

このページでは、有害な組み合わせのコンセプト、およびあなたや脆弱性アナリストまたはクラウド環境の保護を担当するその他のロールが、有害な組み合わせを特定、優先順位付け、修正するために使用できる検出結果とケースの概要について説明します。

有害な組み合わせの検出結果とケースにより、Google Cloud や Amazon Web Services(AWS)(プレビュー)などのクラウド環境におけるリスクをより効果的に特定し、セキュリティを向上させることができます。

有害な組み合わせの定義

有害な組み合わせとは、セキュリティ上の問題のグループです。特定のパターンで一緒に発生すると、攻撃意思のある攻撃者がそれらのリソースにアクセスして侵害する可能性がある、価値の高いリソースへのパスが作成されます。

セキュリティ上の問題とは、リソースの特定の構成、構成ミス、ソフトウェアの脆弱性など、クラウド リソースの露出につながる問題のことです。

Security Command Center Enterprise の Risk Engine は、実行中の攻撃パス シミュレーション中に有害な組み合わせを検出します。 Risk Engine は、検出された有害な組み合わせごとに検出結果を発行します。有害な組み合わせには、それぞれ「有害な組み合わせスコア」と呼ばれる固有の攻撃の発生可能性スコアが含まれます。これにより、クラウド環境内の高価値リソースセットに対する有害な組み合わせのリスクが測定されます。また、Risk Engine は、有害な組み合わせが高価値リソースセット内のリソースに対して作成する攻撃パスの可視化も生成します。

ケースを介して有害な組み合わせの検出結果を処理しますが、検出結果自体を表示する必要がある場合は、Google Cloud コンソールの [検出結果] ページで確認できます。このページでは、有害な組み合わせの検出クラスで検出結果をフィルタすることや、有害な組み合わせスコアで検出結果を並べ替えることができます。

有害な組み合わせに関する攻撃の発生可能性スコア

Risk Engine は、有害な組み合わせごとに攻撃の発生可能性スコアを計算します。これらの攻撃の発生可能性スコアは、Google Cloud コンソールの [検出結果] ページなど、いくつかのコンテキストでは「有害な組み合わせスコア」とも呼ばれます。このスコアは、有害な組み合わせによって高価値リソースセット内の 1 つ以上のリソースが潜在的な攻撃にどの程度露出されるかを示す尺度です。

有害な組み合わせスコアは、他の種類の検出結果に対する攻撃の発生可能性スコアと類似していますが、個々のソフトウェアの脆弱性や構成ミスの検出結果ではなく、一連の攻撃の過程に対して適用されます。

デフォルトでは、有害な組み合わせは重大度の検出結果と重大な優先度のケースとして分類されます。有害な組み合わせスコアを比較すると、有害な組み合わせのケースの優先順位付けに役立ちます。

他の検出結果の攻撃の発生可能性スコアと同様に、有害な組み合わせスコアは次の要素から導出されます。

  • 露出している高価値リソースセット内のリソースの数、およびそれらのリソースの優先度と攻撃の発生可能性スコア。
  • 攻撃意思のある攻撃者が有害な組み合わせを利用して、価値の高いリソースに到達できる可能性

詳細については、攻撃の発生可能性スコアをご覧ください。

有害な組み合わせに対する攻撃パスの可視化

Risk Engine により、有害な組み合わせが高価値リソースセット内のリソースに対して作成する攻撃パスが視覚的に表示されます。攻撃パスは、潜在的な攻撃者がリソースに到達するために使用する可能性のある一連の攻撃の過程と、それらに関連するセキュリティの問題とリソースを表します。

攻撃パスは、有害な組み合わせの問題間の関係と、それらがどのように組み合わさって高価値リソースセット内のリソースへのパスを形成するかを把握するのに役立ちます。パスの可視化によって、公開されている価値のあるリソースの数と、クラウド環境に対する相対的な重要度もわかります。

セキュリティ運用コンソールでは、有害な組み合わせを構成するセキュリティ問題のあるリソースが、攻撃パス上でダイヤモンド形の太い黄色の枠線でハイライト表示されます。Google Cloud コンソールでは、攻撃パスは他の検出結果タイプの攻撃パスと同じように表示されます。

セキュリティ運用コンソールでは、Security Command Center に有害な組み合わせ攻撃パスの 2 つのバージョンがあります。1 つ目は、有害な組み合わせのケースの [ケースの概要] タブに表示される簡略版です。 2 つ目のバージョンには、完全な攻撃パスが表示されます。簡略化された攻撃パスの [完全な攻撃パスを調べる] をクリックするか、ケースビューの右上にある [有害な組み合わせの攻撃パスを調べる] をクリックすると、完全な攻撃パスが開きます。

次のスクリーンショットは、簡略化された攻撃パスの例です。

セキュリティ運用コンソールに表示される簡略化された攻撃パス

Google Cloud コンソールでは、完全な攻撃パスが常に表示されます。

詳細については、攻撃パスをご覧ください。

有害な組み合わせのケース

Security Command Center Enterprise では、リスクエンジンによって発行される有害な組み合わせの検出結果ごとにケースがセキュリティ運用コンソールで開かれます。

ケースは、有害な組み合わせを調査して修正を追跡するための主な方法です。ケースビューでは、次の情報を確認できます。

  • 有害な組み合わせの説明
  • 有害な組み合わせの攻撃の発生可能性スコア
  • 有害な組み合わせによって作成される攻撃パスの可視化
  • 影響を受けているリソースに関する情報
  • 有害な組み合わせを修正するために実施できる手順に関する情報
  • 他の Security Command Center 検出サービスからの関連する検出結果に関する情報(関連するケースへのリンクを含む)
  • 該当するハンドブック
  • 関連するチケット

セキュリティ運用コンソールの Security Command Center の [ポスチャーの概要] ページでは、環境の有害な組み合わせケースすべての概要を説明します。[ポスチャーの概要] ページには、優先度、攻撃の発生可能性スコア、サービスレベル契約(SLA)の残り時間別に有害な組み合わせのケースを示すウィジェットが含まれています。

セキュリティ運用コンソールの [ケース] ページでは、含まれる TOXIC_COMBINATION タグを使用して、有害な組み合わせのケースをクエリまたはフィルタできます。セキュリティ運用コンソールで、次のアイコンで有害な組み合わせのケースを視覚的に識別することもできます。

Google Cloud コンソールの Security Command Center の [リスクの概要] ページには、[上位のリスクケース] テーブルも表示されます。このテーブルには、攻撃の発生可能性スコアが最も高い有害な組み合わせのケースと、優先度が最も高い個々のケースが混在する可能性があります。表示される検出結果には、セキュリティ運用コンソールの対応するケースへのリンクが含まれます。

有害な組み合わせのケースの表示について詳しくは、有害な組み合わせのケースを表示をご覧ください。

ケースの優先度

デフォルトでは、有害な組み合わせのケースの優先度は、有害な組み合わせの検出結果の重大度と、有害な組み合わせのケースに関連付けられたアラートの重大度に一致するように Critical に設定されます。

ケースを開いた後に、ケースやアラートの優先度を変更できます。

ケースまたはアラートの優先度を変更しても、検出結果の重大度は変更されません。

ケースを閉じる

有害な組み合わせのケースの処分は、基となる検出結果の状態によって決まります。検出結果が最初に発行されたときの状態は Active です。

有害な組み合わせを修正すると、Risk Engine は次の攻撃パス シミュレーション中に修正を自動的に検出し、ケースを閉じます。シミュレーションは約 6 時間ごとに実行されます。

有害な組み合わせによって生じるリスクが許容範囲内であるか、回避できないと判断した場合は、有害な組み合わせの検出結果をミュートしてケースをクローズできます。

有害な組み合わせの検出結果をミュートすると、検出結果は有効なままになりますが、Security Command Center はケースを閉じ、デフォルトのクエリとビューから検出結果を除外します。

詳細については次のトピックをご覧ください。

Risk Engine が検出する有害な組み合わせを構成する個々のセキュリティの問題の多くは、他の Security Command Center 検出サービスによっても検出されます。これらの検出サービスは、これらの問題について個別の検出結果を出力します。これらの検出結果は、有害な組み合わせのケースに関連する検出結果として表示されます。

関連する検出結果は有害な組み合わせの検出結果とは別に出されるため、それらに対して個別のケースが開かれ、異なるハンドブックが実行されます。また、チームの他のメンバーが、有害な組み合わせの検出結果の修正とは別に、それらの修正に取り組んでいる可能性があります。

ケースのステータスでこれらの関連する検出結果を確認し、必要に応じてケースのオーナーに、有害な組み合わせの解決に役立つ修復の優先順位付けを行うよう依頼します。

有害な組み合わせのケースでは、関連する検出結果は、概要タブの [検出結果] ウィジェットに表示されます。関連する検出結果ごとに、ウィジェットには対応するケースへのリンクが表示されます。

関連する検出結果も有害な組み合わせによる攻撃パスで特定されます。

Risk Engine が有害な組み合わせを検出する方法

Risk Engine は、すべてのクラウド リソースに対してほぼ 6 時間ごとに攻撃パス シミュレーションを実行します。

シミュレーション中、Risk Engine はクラウド環境内の高価値リソースセットへの攻撃パスを特定し、検出結果と価値のあるリソースの攻撃の発生可能性スコアを計算します。Risk Engine がシミュレーション中に有害な組み合わせを検出すると、検出結果が発行されます。

攻撃パス シミュレーションの詳細については、攻撃パス シミュレーションをご覧ください。