有害な組み合わせの概要

このページでは、有害な組み合わせのコンセプト、およびあなたや脆弱性アナリストまたはクラウド環境の保護を担当するその他のロールが、有害な組み合わせを特定、優先順位付け、修正するために使用できる検出結果とケースの概要について説明します。

有害な組み合わせの検出結果とケースにより、クラウド環境におけるリスクをより効果的に特定し、セキュリティを向上させることができます。

有害な組み合わせの定義

有害な組み合わせとは、セキュリティ上の問題のグループです。特定のパターンで一緒に発生すると、攻撃意思のある攻撃者がそれらのリソースにアクセスして侵害する可能性がある、価値の高いリソースへのパスが作成されます。

セキュリティの問題とは、リソースの特定の構成、構成ミス、ソフトウェアの脆弱性など、クラウドリソースの漏えいの原因となるものです。

Security Command Center Enterprise の Risk Engine は、実行中の攻撃パスシミュレーション中に有害な組み合わせを検出します。 Risk Engine は、有害な組み合わせごとに検出結果を発行します。各検出結果には、クラウド環境の高価値リソースに対する有害な組み合わせのリスクを測定する攻撃の発生可能性スコアが含まれています。また、リスクエンジンは、有害な組み合わせが高価値リソースに対して作成する攻撃パスの可視化も生成します。

ケースを介して有害な組み合わせの検出結果を処理しますが、検出結果自体を表示する必要がある場合は、Google Cloud コンソールの [検出結果] ページで確認できます。このページでは、有害な組み合わせの検出クラスで検出結果をフィルタしたり、有害な組み合わせスコアで検出結果を並べ替えることができます。

有害な組み合わせに関する攻撃の発生可能性スコア

Risk Engine は、有害な組み合わせの検出結果ごとに攻撃の発生可能性スコアを計算します。スコアは、有害な組み合わせが高価値リソースにもたらすリスクの推定値です。

有害な組み合わせの検出結果のスコアは、他の種類の検出結果に対する攻撃の発生可能性スコアと類似していますが、個々のソフトウェアの脆弱性や構成ミスの検出結果ではなく、パスに適用するものと考えることができます。

一般的に、有害な組み合わせは、個々のセキュリティ問題よりもクラウドデプロイメントに対するリスクが高いことを示します。ただし、有害な組み合わせの検出結果のスコアと、他の有害な組み合わせと体制の検出結果のスコアを比較して、どちらを優先するかを判断します。

個別のセキュリティ問題の検出結果のスコアが、有害な組み合わせの検出結果のスコアよりも大幅に高い場合は、スコアの高い検出結果を優先する必要があります。

他の検出結果に対する攻撃の発生可能性スコアと同様に、有害な組み合わせに対する攻撃の発生可能性スコアは次から導出されます。

露出された価値の高いリソースの数と、それらのリソースの優先度と攻撃の発生可能性スコア
攻撃意思のある攻撃者が有害な組み合わせを利用して、価値の高いリソースに到達できる可能性

詳細については、攻撃の発生可能性スコアをご覧ください。

有害な組み合わせに対する攻撃パスの可視化

Risk Engine により、有害な組み合わせが高価値リソースに対して作成する攻撃パスを視覚的に表示します。攻撃パスは、潜在的な攻撃者が高価値リソースに到達するために使用できる一連のセキュリティの問題とリソースを表します。

攻撃パスは、有害な組み合わせ内の問題と、それらが高価値リソースへのパスを形成する範囲との関係を理解するのに役立ちます。パスの可視化では、露出された価値の高いリソースの数と、露出されたリソースの相対的な優先度も表示されます。

セキュリティ運用コンソールで、有害な組み合わせを構成するセキュリティ問題は、攻撃パス上で、ダイヤモンド形の太い黄色の枠線でハイライト表示されます。 Google Cloud コンソールでは、攻撃パスは他の検出結果タイプの攻撃パスと同じように表示されます。

セキュリティ運用コンソールでは、Security Command Center に有害な組み合わせ攻撃パスの 2 つのバージョンがあります。1 つ目は、有害な組み合わせのケースの [ケースの概要] タブに表示される簡略版です。 2 つ目のバージョンでは、攻撃パス全体が表示されます。簡略化された攻撃パスの [完全な攻撃パスを調べる] をクリックするか、ケースビューの右上にある [有害な組み合わせの攻撃パスを調べる] をクリックすると、完全な攻撃パスが開きます。

次のスクリーンショットは、簡略化された攻撃パスの例です。

セキュリティ運用コンソールに表示される簡略化された攻撃パス

Google Cloud コンソールでは、完全な攻撃パスが常に表示されます。

詳細については、攻撃パスをご覧ください。

有害な組み合わせのケース

Security Command Center Enterprise では、リスクエンジンによって発行される有害な組み合わせの検出結果ごとにケースがセキュリティ運用コンソールで開かれます。

ケースは、有害な組み合わせを調査して修正を追跡するための主な方法です。ケースビューでは、次の情報を確認できます。

有害な組み合わせの説明
有害な組み合わせの攻撃の発生可能性スコア
有害な組み合わせによって作成される攻撃パスの可視化
影響を受けるリソースに関する情報
有害な組み合わせを修正するために実施できる手順に関する情報
他の Security Command Center 検出サービスからの関連する検出結果に関する情報（関連するケースへのリンクを含む）
該当するハンドブック
関連するチケット

有害な組み合わせのケースには、有害な組み合わせの検出結果またはアラートが複数含まれることはありません。

セキュリティ運用コンソールの Security Command Center の [ポスチャーの概要] ページでは、環境の有害な組み合わせケースすべての概要を説明します。[ポスチャーの概要] ページには、優先度、攻撃の発生可能性スコア、サービスレベル契約（SLA）の残り時間別に有害な組み合わせのケースを示すウィジェットが含まれています。

セキュリティ運用コンソールの [ケース] ページでは、含まれる TOXIC_COMBINATION タグを使用して、有害な組み合わせのケースをクエリまたはフィルタできます。次のアイコンを使用すると、有害な組み合わせのケースを視覚的に識別することもできます。

Google Cloud コンソールでは、Security Command Center の [リスクの概要] ページには、攻撃の発生可能性スコアが最も高い、有害な組み合わせの検出結果も表示されます。一覧表示された検出結果には、セキュリティ運用コンソールの対応するケースへのリンクが含まれています。

有害な組み合わせのケースの表示について詳しくは、有害な組み合わせのケースを表示をご覧ください。

ケースの優先度

デフォルトでは、有害な組み合わせのケースの優先度は、有害な組み合わせの検出結果の重大度と、有害な組み合わせのケースに関連付けられたアラートの重大度に一致するように Critical に設定されます。

ケースを開いた後に、ケースやアラートの優先度を変更できます。

ケースまたはアラートの優先度を変更しても、検出結果の重大度は変更されません。

ケースを閉じる

有害な組み合わせのケースの処分は、基となる検出結果の状態によって決まります。検出結果が最初に発行されたときの状態は Active です。

有害な組み合わせを修正すると、Risk Engine は次の攻撃パスシミュレーション中に修正を自動的に検出し、ケースを閉じます。シミュレーションは約 6 時間ごとに実行されます。

また、有害な組み合わせによるリスクが許容可能または回避できないと判断した場合は、有害な組み合わせの検出をミュートしてケースを閉じることができます。

有害な組み合わせの検出結果をミュートすると、検出結果は有効なままになりますが、Security Command Center はケースを閉じ、デフォルトのクエリとビューから検出結果を除外します。

詳細については次のトピックをご覧ください。

Risk Engine による有害な組み合わせの検出方法

Risk Engine は、すべてのクラウドリソースに対して約 6 時間ごとに攻撃パスシミュレーションを実行します。

シミュレーション中、Risk Engine はクラウド環境内の高価値リソースへの攻撃パスを特定し、検出結果と高価値リソースの攻撃の発生可能性スコアを計算します。 Risk Engine は、シミュレーション中に有害な組み合わせを検出すると検出結果を発行します。

攻撃パスシミュレーションの詳細については、攻撃パスシミュレーションをご覧ください。