このページは Cloud Translation API によって翻訳されました。

攻撃パスシミュレーションのサポート

このページでは、Security Command Center の Risk Engine 機能でサポートされているサービスと検出結果、および対象となるサポートの上限について説明します。

Risk Engine は、次の攻撃の発生可能性スコアと攻撃パスシミュレーションを生成します。

Vulnerability と Misconfiguration の検出結果クラスでサポートされている検出カテゴリ。
Toxic combination クラスの検出結果。
Chokepoint クラスの検出結果。
高価値として指定した、サポートされているリソースタイプのリソースインスタンス。詳細については、高価値リソースセットでサポートされるリソースタイプをご覧ください。

Security Command Center は、複数のクラウドサービスプロバイダプラットフォームの攻撃の発生可能性スコアと攻撃パスの可視化を提供できます。検出機能のサポートは、クラウドサービスプロバイダごとに異なります。Risk Engine は、各クラウドサービスプロバイダに固有の脆弱性と構成ミスの検出機能に依存しています。以降のセクションでは、各クラウドサービスプロバイダでサポートされているリソースについて説明します。

Google Cloud
Amazon Web Services（AWS）
Microsoft Azure

組織レベルのサポートのみ

Risk Engine が攻撃の発生可能性スコアと攻撃パスの生成に使用する攻撃パスシミュレーションでは、組織レベルで Security Command Center を有効にする必要があります。Security Command Center をプロジェクトレベルで有効にしている場合、攻撃パスシミュレーションはサポートされません。

攻撃パスを表示するには、 Google Cloud コンソールビューが組織に設定されている必要があります。Google Cloud コンソールでプロジェクトビューまたはフォルダビューを選択すると、攻撃の発生可能性スコアは表示されますが、攻撃パスは表示されません。

必要なロール

攻撃パスは、検出結果や高価値リソースなど、Security Command Center の特定のコンポーネントに関連付けられます。Security Command Center の攻撃パスを表示するには、Security Command Center の各リソースを表示できる適切な IAM ロールが必要です。

攻撃パスを表示するために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。

セキュリティセンターの攻撃パス閲覧者（roles/securitycenter.attackPathsViewer）
検出結果と問題（有害な組み合わせやチョークポイントなど）から生成された攻撃パスを表示する: セキュリティセンターの検出結果閲覧者（roles/securitycenter.findingsViewer）
価値の高いリソースの攻撃パスへのアクセスを許可する:
- セキュリティセンターのアセット閲覧者（roles/securitycenter.assetsViewer）
- セキュリティセンターの貴重なリソースの閲覧者（roles/securitycenter.valuedResourcesViewer）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

組織に対するサイズ上限

攻撃パスシミュレーションの場合、Risk Engine は、組織に含めることができるアクティブなアセットとアクティブな検出結果の数を制限します。

組織が次の表に示す上限を超えると、攻撃パスシミュレーションは実行されません。

上限の対象	使用量上限
アクティブな検出結果の最大数	250,000,000
アクティブなアセットの最大数	26,000,000

組織内のアセット、検出結果、またはその両方が、これらの上限に近づいているか、上回っている場合は、Cloud カスタマーケアに連絡して、引き上げの可能性について組織の評価をリクエストしてください。

高価値リソースセットの上限

高価値リソースセットでは特定のリソースタイプのみがサポートされ、特定の数のリソースインスタンスのみを含めることができます。

クラウドサービスプロバイダプラットフォームの高価値リソースセットには、最大 1,000 個のリソースインスタンスを含めることが可能です。
Google Cloudでは、組織ごとに最大 100 個のリソース値の構成を作成できます。

ユーザーインターフェースのサポート

攻撃の発生可能性スコアは、 Google Cloud コンソール、Security Operations コンソール、Security Command Center API で操作できます。

有害な組み合わせのケースの攻撃の発生可能性スコアと攻撃パスは、Security Operations コンソールでのみ操作できます。

リソース値の構成は、 Google Cloud コンソールの Security Command Center の [設定] ページにある [攻撃パスシミュレーション] タブでのみ作成できます。

Google Cloud のサポート

以降のセクションでは、 Google Cloudに対する Risk Engine のサポートについて説明します。

Risk Engine でサポートされているGoogle Cloud サービス

Risk Engine が実行するシミュレーションには、次の Google Cloud サービスが含まれます。

Artifact Registry
BigQuery
Cloud Run functions
Cloud Key Management Service
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud SQL
Cloud Storage
Compute Engine
Identity and Access Management
Google Kubernetes Engine
Virtual Private Cloud（サブネットとファイアウォール構成を含む）
Resource Manager

高価値リソースセットでサポートされるGoogle Cloud リソースタイプ

高価値リソースセットには、次のタイプの Google Cloud リソースのみを追加できます。

aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/TrainingPipeline

aiplatform.googleapis.com/Model
artifactregistry.googleapis.com/Repository
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance

container.googleapis.com/Cluster

spanner.googleapis.com/Instance
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket

データ機密性の分類でサポートされているGoogle Cloud リソースタイプ

攻撃パスシミュレーションでは、次のデータリソースタイプに対してのみ、Sensitive Data Protection の検出のデータ機密性の分類に基づいて優先度値を自動的に設定できます。

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket

サポートされている検出結果カテゴリ

攻撃パスシミュレーションでは、このセクションに記載されている Security Command Center 検出サービスの Security Command Center の検出結果のカテゴリに対してのみ、攻撃の発生可能性スコアと攻撃パスが生成されます。

Risk Engine の検出結果

Risk Engine によって生成される有害な組み合わせとチョークポイントの検出結果カテゴリは、攻撃の発生可能性スコアをサポートしています。

Google Cloud の脆弱性評価の検出結果

攻撃パスシミュレーションでは、次の Google Cloudの脆弱性評価の検出結果カテゴリがサポートされています。

GCE OS vulnerability
GCE Software vulnerability
GKE OS vulnerability
GKE Software vulnerability

GKE セキュリティポスチャーの検出結果

攻撃パスシミュレーションでは、次の GKE セキュリティポスチャーの検出結果のカテゴリがサポートされています。

GKE runtime OS vulnerability

Mandiant Attack Surface Management の検出結果

攻撃パスシミュレーションでは、次の Mandiant Attack Surface Management の検出結果のカテゴリがサポートされています。

Software vulnerability

VM Manager の検出結果

VM Manager が生成する OS Vulnerability 検出結果のカテゴリは、攻撃の発生可能性スコアをサポートしています。

Pub/Sub 通知のサポート

攻撃の発生可能性スコアの変更は、Pub/Sub への通知のトリガーとして使用できません。

また、検出結果が作成される際に Pub/Sub に送信される検出結果は、スコアの計算前に送信されるため、検出結果には攻撃の発生可能性スコアは含まれません。

AWS サポート

Security Command Center は、AWS 上のリソースの攻撃の発生可能性スコアと攻撃パスの可視化を計算できます。

Risk Engine でサポートされている AWS サービス

シミュレーションには、次の AWS サービスが含まれます。

Identity and Access Management（IAM）
Security Token Service（STS）
Simple Storage Service（S3）
Web Application Firewall（WAFv2）
Elastic Compute Cloud（EC2）
Elastic Load Balancing（ELB と ELBv2）
Relational Database Service（RDS）
Key Management Service（KMS）
Elastic Container Registry（ECR）
Elastic Container Service（ECS）
ApiGateway と ApiGatewayv2
Organizations（アカウント管理サービス）
CloudFront
AutoScaling
Lambda
DynamoDB

高価値リソースセットでサポートされる AWS リソースタイプ

高価値リソースセットには、次のタイプの AWS リソースのみを追加できます。

DynamoDB 表
EC2 インスタンス
LAMBDA 関数
RDS DBCluster
RDS DBInstance
S3 バケット

データ機密性の分類でサポートされている AWS リソースタイプ

攻撃パスシミュレーションでは、次の AWS データリソースタイプに対してのみ、Sensitive Data Protection の検出のデータ機密性の分類に基づいて優先度値を自動的に設定できます。

Amazon S3 バケット

AWS 向け Security Health Analytics での検出結果のサポート

Risk Engine は、次の Security Health Analytics の検出結果カテゴリのスコアと攻撃パスの可視化を提供します。

90 日以内でローテーションされるアクセスキー
45 日以上使用されていない認証情報が無効
デフォルトのセキュリティグループ VPC がすべてのトラフィックを制限
パブリック IP のない EC2 インスタンス
IAM パスワードポリシー
IAM パスワードポリシーでパスワードの再利用を禁止
IAM パスワードポリシーで 14 文字以上の長さを要求
IAM ユーザーの未使用の認証情報のチェック
IAM ユーザーが権限グループを取得
KMS cmk の削除予定なし
MFA の削除が有効な S3 バケット
MFA が有効になっている root ユーザーアカウント
すべての IAM ユーザーコンソールで多要素認証 MFA が有効
root ユーザーアカウントのアクセスキーなし
0 リモートサーバー管理への上り（内向き）を許可するセキュリティグループなし
0 0 0 0 リモートサーバー管理への上り（内向き）を許可するセキュリティグループなし
単一の IAM ユーザーが利用できるアクティブなアクセスキーが 1 つ
公開アクセス可能な RDS インスタンス
制限付き共通ポート
制限付き SSH
顧客作成の CMK のローテーションが有効
顧客作成の対称 CMK のローテーションが有効
S3 バケット構成ブロックパブリックアクセスバケット設定
S3 バケットポリシーが HTTP リクエストの拒否に設定
S3 のデフォルトの暗号化 KMS
VPC デフォルトセキュリティグループをクローズ

Amazon Web Services の脆弱性評価の検出結果

EC2 脆弱性評価が生成する Software vulnerability 検出結果カテゴリは、攻撃の発生可能性スコアをサポートしています。

Azure サポート

Risk Engine は、Microsoft Azure のリソースの攻撃の発生可能性スコアと攻撃パスの可視化を生成できます。

Azure への接続を確立したら、 Google Cloud と AWS のリソースと同様に、リソース値の構成を作成して Azure の高価値リソースを指定できます。手順については、高価値リソースセットを定義して管理するをご覧ください。

Azure の最初のリソース値の構成を作成するまで、Security Command Center はクラウドサービスプロバイダに固有のデフォルトの高価値リソースセットを使用します。

Security Command Center は、他のクラウドプラットフォームで実行されるシミュレーションとは独立したクラウドプラットフォームのシミュレーションを実行します。

Risk Engine でサポートされている Azure サービス

攻撃パスシミュレーションには、次の Azure サービスを含めることができます。

アプリサービス
Azure Kubernetes Service（AKS）
仮想ネットワーク
Container Registry
Cosmos DB
関数
Key Vault
MySQL データベース
ネットワークセキュリティグループ
PostgreSQL データベース
ロールベースアクセス制御（RBAC）
Service Bus
SQL Database
ストレージアカウント
Virtual Machine Scale Sets
仮想マシン

高価値リソースセットで指定できる Azure リソースタイプ

高価値リソースセットには、次のタイプの Azure リソースのみを追加できます。

Microsoft.Compute/virtualMachines
- Linux VM
- Windows VM
Microsoft.ContainerService/managedClusters
- Kubernetes クラスタ
Microsoft.DBforMySQL/flexibleServers/databases
- MySQL データベース
Microsoft.DBforPostgreSQL/flexibleServers/databases
- PostgreSQL データベース
Microsoft.DocumentDB/databaseAccounts
- Cosmos DB アカウント
Microsoft.Sql/servers/databases
- SQL Database
Microsoft.Storage/storageAccounts
- ストレージアカウント
Microsoft.Web/sites
- アプリサービス
- Function アプリ

デフォルトの高価値リソースセットに含まれる Azure リソース

デフォルトの高価値リソースセットに含まれるリソースは次のとおりです。

Microsoft.Compute/virtualMachines
- Linux VM
- Windows VM
Microsoft.DBforPostgreSQL/flexibleServers/databases
- PostgreSQL データベース
Microsoft.DBforMySQL/flexibleServers/databases
- MySQL データベース
Microsoft.DocumentDB/databaseAccounts
- Cosmos DB アカウント
Microsoft.Sql/servers/databases
- SQL Database
Microsoft.Storage/storageAccounts
- ストレージアカウント
Microsoft.Web/sites
- アプリサービス
- Function アプリ