このページは Cloud Translation API によって翻訳されました。

検出サービス

このページでは、Security Command Center がクラウド環境のセキュリティ問題を検出するために使用する検出サービス（セキュリティソースとも呼ばれます）のリストを示します。

これらのサービスは、問題を検出すると検出結果を生成します。検出結果は、セキュリティの問題を特定し、問題の優先順位付けと解決に必要な情報を提供するレコードです。

Google Cloud コンソールで検出結果を表示して、検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法でフィルタリングできます。セキュリティソースによって、検出結果の整理に役立つフィルタが追加されることがあります。

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクトレベルで付与できます。検出結果、アセット、セキュリティソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

脆弱性検出サービス

脆弱性検出サービスには、クラウド環境におけるソフトウェアの脆弱性、構成ミス、対策違反を検出する組み込みサービスと統合サービスが含まれています。このような種類のセキュリティ問題を総称して、脆弱性と呼びます。

Artifact Registry の脆弱性評価

Artifact Registry の脆弱性評価は、デプロイされたコンテナイメージの脆弱性を検出してアラートを送信するサービスです。

この検出サービスは、次の条件でコンテナイメージの脆弱性検出結果を生成します。

コンテナイメージは Artifact Registry に保存されます。
コンテナイメージは、次のいずれかのアセットにデプロイされます。
- Google Kubernetes Engine クラスタ
- Cloud Run サービス
- Cloud Run ジョブ
- App Engine

Artifact Registry の脆弱性評価では、この条件を満たさないコンテナイメージの検出結果は生成されません。

Security Command Center で Artifact Registry 脆弱性評価を有効にすると、Artifact Registry 脆弱性評価は、重大度「高」と「緊急」の検出結果を Security Command Center に自動的に書き込みます。コンテナイメージに中または低と分類された脆弱性がある場合は、Artifact Registry の脆弱性評価で管理できますが、Security Command Center には表示されません。

Artifact Registry の脆弱性評価の検出結果が生成されると、最後に実行されたコンテナイメージスキャンから最大 5 週間、クエリを実行できます。Security Command Center のデータ保持の詳細については、データの保持をご覧ください。

Artifact Registry の脆弱性評価の検出結果を有効にする

Artifact Registry の脆弱性評価で、Artifact Registry に保存されているデプロイ済みコンテナイメージの検出結果を Security Command Center に生成するには、プロジェクトで Container Scanning API を有効にする必要があります。

Container Scanning API を有効にしていない場合は、次の操作を行います。

Google Cloud コンソールで、[Container Scanning API] ページに移動します。

Container Scanning API に移動
Container Scanning API を有効にするプロジェクトを選択します。
[有効にする] をクリックします。

Security Command Center には、該当するランタイムアセットにアクティブにデプロイされている、スキャンされた脆弱なコンテナイメージの検出結果が表示されます。ただし、検出サービスの動作は、Security Command Center を有効にした時期と Container Scanning API を有効にした時期によって異なります。

イネーブルメントシナリオ	検出サービスの動作
Container Scanning API を有効にしてコンテナイメージをデプロイした後に、Security Command Center を有効にした。	Artifact Registry の脆弱性評価では、有効にしてから 24 時間以内に、以前の Artifact Registry スキャンで検出された既存の脆弱性の検出結果が生成されます。
Container Scanning API を有効にする前に、Security Command Center を有効にしてコンテナイメージをデプロイした。	Artifact Registry の脆弱性評価では、API を有効にする前にデプロイしたコンテナイメージの脆弱性検出は、新しいスキャンがトリガーされるまで自動的に生成されません。新しいスキャンを手動でトリガーするには、コンテナイメージを同じランタイムリソースに再デプロイします。Artifact Registry の脆弱性評価では、スキャン中に脆弱性が検出されると、すぐに検出結果が生成されます。
コンテナイメージをデプロイする前に、Security Command Center と Container Scanning API を有効にしている。	新しくデプロイされたコンテナイメージは Artifact Registry で直ちにスキャンされ、スキャンで脆弱性が検出されると、Artifact Registry の脆弱性評価で検出結果が生成されます。

Artifact Registry の脆弱性評価の検出結果を無効にする

Artifact Registry の脆弱性評価の検出結果を無効にするには、次の操作を行います。

Google Cloud コンソールで、Container Scanning API の [API/サービスの詳細] ページに移動します。

[API/サービスの詳細] に移動
Container Scanning API を無効にするプロジェクトを選択します。
[API を無効にする] をクリックします。

Security Command Center には、今後のコンテナイメージスキャンで検出された脆弱性の検出結果は表示されません。Security Command Center は、最後に実行されたコンテナイメージスキャンの後、少なくとも 35 日間、既存の Artifact Registry 脆弱性評価の検出結果を保持します。Security Command Center のデータ保持の詳細については、データの保持をご覧ください。

Security Command Center の設定で脆弱性評価のソース ID を無効にすることで、Artifact Registry の脆弱性評価を無効にすることもできますが、おすすめしません。脆弱性評価のソース ID を無効にすると、脆弱性評価のソース ID に分類されているすべての検出サービスが無効になります。そのため、上記の手順で Container Scanning API を無効にすることをおすすめします。

Artifact Registry の脆弱性評価検出機能

検出項目概要

検出項目	概要
`Container image vulnerability` API のカテゴリ名: `CONTAINER_IMAGE_VULNERABILITY`	検出結果の説明: Artifact Registry でスキャンされたコンテナイメージで脆弱性が検出されました。このイメージは、次のいずれかのアセットにデプロイされます。 Google Kubernetes Engine クラスタ Cloud Run サービス Cloud Run ジョブ App Engine 料金ティア: スタンダード、プレミアム、エンタープライズこの問題を修正する: ランタイムリソースのタイプに応じて、次の操作を行います。 Google Kubernetes Engine または Cloud Run サービスアセットの場合は、コンテナイメージのバージョンをアップグレードまたは削除します。 Cloud Run ジョブと App Engine アセットの場合は、ランタイム関連付けからコンテナイメージバージョンを削除して、デプロイを解除します。適切なランタイムリソースに基づく具体的な修復手順については、検出結果の詳細をご覧ください。 Standard 階層のお客様は、Cloud Asset Inventory のアセットクエリ機能を使用して、脆弱なコンテナイメージがデプロイされている場所を特定することはできません。より詳細な情報を取得するには、Premium または Enterprise の階層にアップグレードすることをおすすめします。

Container image vulnerability

API のカテゴリ名: CONTAINER_IMAGE_VULNERABILITY

検出結果の説明: Artifact Registry でスキャンされたコンテナイメージで脆弱性が検出されました。このイメージは、次のいずれかのアセットにデプロイされます。

Google Kubernetes Engine クラスタ
Cloud Run サービス
Cloud Run ジョブ
App Engine

料金ティア: スタンダード、プレミアム、エンタープライズ

この問題を修正する:

ランタイムリソースのタイプに応じて、次の操作を行います。

Google Kubernetes Engine または Cloud Run サービスアセットの場合は、コンテナイメージのバージョンをアップグレードまたは削除します。
Cloud Run ジョブと App Engine アセットの場合は、ランタイム関連付けからコンテナイメージバージョンを削除して、デプロイを解除します。

適切なランタイムリソースに基づく具体的な修復手順については、検出結果の詳細をご覧ください。

Standard 階層のお客様は、Cloud Asset Inventory のアセットクエリ機能を使用して、脆弱なコンテナイメージがデプロイされている場所を特定することはできません。より詳細な情報を取得するには、Premium または Enterprise の階層にアップグレードすることをおすすめします。

コンソールで Artifact Registry の脆弱性評価の検出結果を表示する

Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
[検出結果] に移動
Google Cloud プロジェクトまたは組織を選択します。
[クイックフィルタ] セクションの [ソースの表示名] サブセクションで、[脆弱性評価] を選択します。検出結果クエリの結果が更新され、このソースからの検出結果のみが表示されます。
特定の検出結果の詳細を表示するには、[カテゴリ] 列にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
[概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順（ある場合）など、検出結果の詳細を確認します。
省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

データセキュリティポスチャー管理の検出結果

データセキュリティポスチャー管理（DSPM）は、環境に適用するデータセキュリティフレームワークとクラウド制御に対する潜在的な違反に関する検出結果を作成します。これらの検出結果は、[データセキュリティとコンプライアンス] ページ、[リスクの概要] ページ（[データ] タブの下）、または Security Command Center の [検出結果] ページで確認できます。

コンソールで DSPM の検出結果を表示する

Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
[検出結果] に移動
Google Cloud プロジェクトまたは組織を選択します。
[クイックフィルタ] セクションの [ソースの表示名] サブセクションで、[データセキュリティ対策管理] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
特定の検出結果の詳細を表示するには、[カテゴリ] 列にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
[概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順（ある場合）など、検出結果の詳細を確認します。
省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

GKE セキュリティ対策ダッシュボード

Google Kubernetes Engine（GKE）セキュリティ対策ダッシュボードは、GKE クラスタの潜在的なセキュリティ問題に関する対応可能な検出結果を独自に提供するGoogle Cloud コンソールのページです。

これらの検出結果を表示するには、次のいずれかの GKE セキュリティ対策ダッシュボード機能を有効にします。

GKE セキュリティ対策ダッシュボードペイン	Security Command Center の検出結果のクラス
ワークロード構成の監査¹	`MISCONFIGURATION`
上位の脅威²	`THREAT`
コンテナ OS の脆弱性スキャン¹ 言語パッケージの脆弱性スキャン¹ 対応可能なセキュリティに関する公開情報¹（プレビュー版）上位のソフトウェアの脆弱性² （プレビュー）	`VULNERABILITY`

この機能が GKE で有効になっている場合にのみ使用できます。
Security Command Center Premium と Enterprise のサービスティアで利用できます。

検出結果には、セキュリティ問題に関する情報と、ワークロードやクラスタの問題を解決するための推奨事項が表示されます。

重要: Security Command Center で公開されたセキュリティに関する公開情報の検出結果には、関連する CVE を一覧で表示する cve フィールドは含まれません。CVE を確認するには、検出結果の description フィールドを確認するか、セキュリティポスチャーダッシュボードでセキュリティに関する公開情報を確認します。

コンソールで GKE セキュリティ対策ダッシュボードの検出結果を表示する

Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
[検出結果] に移動
Google Cloud プロジェクトまたは組織を選択します。
[クイックフィルタ] セクションの [ソースの表示名] サブセクションで、[GKE セキュリティポスチャー] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
特定の検出結果の詳細を表示するには、[カテゴリ] 列にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
[概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順（ある場合）など、検出結果の詳細を確認します。
省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

IAM Recommender

IAM Recommender は、プリンシパルに不要な IAM ロールがロールに含まれている場合に、プリンシパルから IAM ロールを削除または置換することで、セキュリティを強化するための推奨事項を生成します。

Security Command Center を有効にすると、IAM Recommender が自動的に有効になります。

IAM Recommender の検出結果を有効または無効にする

Security Command Center で IAM Recommender の検出結果を有効または無効にする手順は次のとおりです。

Google Cloud コンソールで Security Command Center の [設定] ページに移動し、[統合サービス] タブに移動します。

[統合されたサービス] に移動
IAM Recommender エントリに移動します。
入力項目の右側で、[有効にする] または [無効にする] を選択します。

IAM Recommender の検出結果は脆弱性に分類されます。

IAM Recommender の検出結果を修正するには、次のセクションを開いて、IAM Recommender の検出結果のテーブルを表示します。テーブルのエントリには、各検出結果の修正手順が含まれています。

IAM Recommender 検出機能

検出項目概要

検出項目	概要
`IAM role has excessive permissions` API のカテゴリ名: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	検出結果の説明: IAM Recommender が、ユーザーアカウントに過剰な権限を付与する 1 つ以上の IAM ロールを持つサービスアカウントを検出しました。料金ティア: Premium サポートされているアセット: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization この問題を修正する: IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。 Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて `Enter` キーを押します。[IAM] ページが表示されます。 [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。テーブルに推奨事項が表示されます。 [セキュリティ分析情報] 列で、過剰な権限に関連する推奨事項をクリックします。推奨事項の詳細パネルが開きます。この問題を解決するために実施できるアクションの推奨事項を確認してください。 [適用] をクリックします。問題が解決すると、IAM Recommender は10 日以内に検出結果のステータスを `INACTIVE` に更新します。
`Service agent role replaced with basic role` API のカテゴリ名: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	検出結果の説明: IAM Recommender は、サービスエージェントに付与された元のデフォルトの IAM ロールが IAM 基本ロール（オーナー、編集者、閲覧者）のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービスエージェントに付与しないでください。料金ティア: Premium サポートされているアセット: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization この問題を修正する: IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。 Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて `Enter` キーを押します。[IAM] ページが表示されます。 [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。 [セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。過剰な権限を確認します。 [適用] をクリックします。問題が解決すると、IAM Recommender は10 日以内に検出結果のステータスを `INACTIVE` に更新します。
`Service agent granted basic role` API のカテゴリ名: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	検出結果の説明: IAM Recommender は、サービスエージェントに IAM 基本ロール（オーナー、編集者、閲覧者）のいずれかが付与されていることを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービスエージェントに付与しないでください。料金ティア: Premium サポートされているアセット: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization この問題を修正する: IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。 Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて `Enter` キーを押します。[IAM] ページが表示されます。 [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。 [セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。過剰な権限を確認します。 [適用] をクリックします。問題が解決すると、IAM Recommender は10 日以内に検出結果のステータスを `INACTIVE` に更新します。
`Unused IAM role` API のカテゴリ名: `UNUSED_IAM_ROLE`	検出結果の説明: IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザーアカウントを検出しました。料金ティア: Premium サポートされているアセット: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization この問題を修正する: IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。 Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて `Enter` キーを押します。[IAM] ページが表示されます。 [IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。 [セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。過剰な権限を確認します。 [適用] をクリックします。問題が解決すると、IAM Recommender は10 日以内に検出結果のステータスを `INACTIVE` に更新します。

`IAM role has excessive permissions`

API のカテゴリ名: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

検出結果の説明: IAM Recommender が、ユーザーアカウントに過剰な権限を付与する 1 つ以上の IAM ロールを持つサービスアカウントを検出しました。

料金ティア: Premium

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
[IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。テーブルに推奨事項が表示されます。
[セキュリティ分析情報] 列で、過剰な権限に関連する推奨事項をクリックします。推奨事項の詳細パネルが開きます。
この問題を解決するために実施できるアクションの推奨事項を確認してください。
[適用] をクリックします。

問題が解決すると、IAM Recommender は10 日以内に検出結果のステータスを INACTIVE に更新します。

`Service agent role replaced with basic role`

API のカテゴリ名: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

検出結果の説明: IAM Recommender は、サービスエージェントに付与された元のデフォルトの IAM ロールが IAM 基本ロール（オーナー、編集者、閲覧者）のいずれかに置き換えられたことを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービスエージェントに付与しないでください。

料金ティア: Premium

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
[IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。
[セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。
過剰な権限を確認します。
[適用] をクリックします。

問題が解決すると、IAM Recommender は10 日以内に検出結果のステータスを INACTIVE に更新します。

`Service agent granted basic role`

API のカテゴリ名: SERVICE_AGENT_GRANTED_BASIC_ROLE

検出結果の説明: IAM Recommender は、サービスエージェントに IAM 基本ロール（オーナー、編集者、閲覧者）のいずれかが付与されていることを検出しました。基本ロールは制限が緩すぎるレガシーロールであり、サービスエージェントに付与しないでください。

料金ティア: Premium

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
[IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。
[セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。
過剰な権限を確認します。
[適用] をクリックします。

問題が解決すると、IAM Recommender は10 日以内に検出結果のステータスを INACTIVE に更新します。

`Unused IAM role`

API のカテゴリ名: UNUSED_IAM_ROLE

検出結果の説明: IAM Recommender が、過去 90 日間使用されていない IAM ロールを持つユーザーアカウントを検出しました。

料金ティア: Premium

サポートされているアセット:

この問題を修正する:

IAM Recommender を使用して、この検出結果に推奨される修正を適用するには、次の操作を行います。

Google Cloud コンソールで、検出結果の詳細の [次のステップ] セクションにある [IAM] ページの URL をコピーし、ブラウザのアドレスバーに貼り付けて Enter キーを押します。[IAM] ページが表示されます。
[IAM] ページの右側の上部にある [推奨事項を表で表示] をクリックします。推奨事項が表に表示されます。
[セキュリティ分析情報] 列で、過剰な権限に関連する権限をクリックします。推奨事項の詳細パネルが開きます。
過剰な権限を確認します。
[適用] をクリックします。

問題が解決すると、IAM Recommender は10 日以内に検出結果のステータスを INACTIVE に更新します。

コンソールで IAM Recommender の検出結果を表示する

Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
[検出結果] に移動
Google Cloud プロジェクトまたは組織を選択します。
[クイックフィルタ] セクションの [ソースの表示名] サブセクションで、[IAM Recommender] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
特定の検出結果の詳細を表示するには、[カテゴリ] 列にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
[概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順（ある場合）など、検出結果の詳細を確認します。
省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

Security Command Center Premium では、[脆弱性] ページで [IAM Recommender] のクエリプリセットを選択して、IAM Recommender の検出結果を確認することもできます。

Mandiant Attack Surface Management

Mandiant は、最前線の脅威インテリジェンスの世界的リーダーです。Mandiant Attack Surface Management は、外部攻撃対象領域の脆弱性と構成ミスを特定し、最新のサイバー攻撃に関する最新情報の入手に役立ちます。

Security Command Center のエンタープライズティアを有効にすると、Mandiant Attack Surface Management が自動的に有効になります。また、 Google Cloud コンソールで検出結果を確認できます。

スタンドアロンの Mandiant Attack Surface Management プロダクトと Security Command Center 内の Mandiant Attack Surface Management の統合の違いについては、Mandiant ドキュメントポータルの ASM と Security Command Center をご覧ください。このリンクには Mandiant 認証が必要です。

コンソールで Mandiant Attack Surface Management の検出結果を確認する

Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
[検出結果] に移動
Google Cloud プロジェクトまたは組織を選択します。
[クイックフィルタ] セクションの [ソースの表示名] サブセクションで、[Mandiant Attack Surface Management] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
特定の検出結果の詳細を表示するには、[カテゴリ] 列にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
[概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順（ある場合）など、検出結果の詳細を確認します。
省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

Security Command Center も Mandiant Attack Surface Management も、検出結果を解決済みとしてマークしません。問題を解決したら、手動で問題を解決済みにすることができます。次の Mandiant Attack Surface Management スキャンで特定されなければ、解決されたままになります。

Model Armor

Model Armor は、LLM のプロンプトとレスポンスをスクリーニングすることで、AI アプリケーションのセキュリティと安全性を強化するフルマネージド Google Cloud サービスです。

Model Armor サービスによる脆弱性の検出

検出結果概要

検出結果	概要
`Floor settings violation` API のカテゴリ名: `FLOOR_SETTINGS_VIOLATION`	検出結果の説明: Model Armor テンプレートがリソース階層のフロア設定で定義された最小セキュリティ基準を満たしていない場合に発生するフロア設定の違反。料金ティア: Premium この問題を修正する: この検出結果では、リソース階層で定義されたフロア設定に準拠するように、Model Armor テンプレートを更新する必要があります。

`Floor settings violation`

API のカテゴリ名: FLOOR_SETTINGS_VIOLATION

検出結果の説明: Model Armor テンプレートがリソース階層のフロア設定で定義された最小セキュリティ基準を満たしていない場合に発生するフロア設定の違反。

料金ティア: Premium

この問題を修正する:

この検出結果では、リソース階層で定義されたフロア設定に準拠するように、Model Armor テンプレートを更新する必要があります。

Notebook Security Scanner

Notebook Security Scanner は、Security Command Center の組み込みのパッケージ脆弱性検出サービスです。Notebook Security Scanner を有効にすると、24 時間ごとに Colab Enterprise ノートブック（ファイル名拡張子が ipynb のファイル）が自動的にスキャンされ、Python パッケージの脆弱性が検出されます。検出結果は Security Command Center の [検出結果] ページに公開されます。

Notebook Security Scanner は、us-central1、us-east4、us-west1、europe-west4 のリージョンで作成された Colab Enterprise ノートブックで使用できます。

Notebook Security Scanner の使用を開始するには、Notebook Security Scanner を有効にして使用するをご覧ください。

Policy Controller

Policy Controller では、Kubernetes クラスタにプログラム可能なポリシーを適用し、利用できます。ポリシーはガードレールとして機能し、クラスタとフリートのベストプラクティス、セキュリティ、コンプライアンス管理に役立ちます。

Policy Controller をインストールし、Policy Controller バンドルのいずれかを有効にすると、Policy Controller が Misconfiguration クラスの検出として自動的にクラスタ違反を Security Command Center に書き込みます。Security Command Center の検出結果の説明と次のステップは、対応する Policy Controller バンドルの制約の説明や修正手順と同じです。

Policy Controller の検出結果は、次の Policy Controller バンドルから取得されます。

CIS Kubernetes Benchmark v.1.5.1。強固なセキュリティ体制をサポートするように Kubernetes を構成するための一連の推奨事項。このバンドルに関する情報は、cis-k8s-v1.5.1 の GitHub リポジトリで確認することもできます。
PCI-DSS v3.2.1。Payment Card Industry Data Security Standard（PCI-DSS）v3.2.1 の一部に対してクラスタリソースのコンプライアンスを評価するバンドルです。このバンドルに関する情報は、pci-dss-v3 の GitHub リポジトリで確認することもできます。

Policy Controller の検出結果を確認して修正するには、Policy Controller の検出結果の修正をご覧ください。

リスクエンジン

Security Command Center Risk Engine は、クラウドデプロイのリスクエクスポージャーを評価し、脆弱性の検出結果と価値の高いリソースに攻撃の発生可能性スコアを割り当て、潜在的な攻撃者が高価値リソースに到達できるパスを図示します。

Security Command Center の Enterprise または Premium 階層では、Risk Engine は、特定のパターンで一緒に発生すると、攻撃意思のある攻撃者がそれらのリソースにアクセスして侵害する可能性がある価値の高いリソースへのパスが作成されるセキュリティ上の問題のグループを検出します。

Risk Engine がこれらの組み合わせのいずれかを検出すると、TOXIC_COMBINATION クラスの検出結果が生成されます。検出結果では、Risk Engine が検出結果のソースとしてリストされます。

Risk Engine は、複数の攻撃パスが収束する共通のリソースまたはリソースグループを特定し、CHOKEPOINT クラスの検出結果を生成します。

詳細については、有害な組み合わせとチョークポイントの概要をご覧ください。

Security Health Analytics

Security Health Analytics は、クラウドリソースのマネージドスキャンを提供して一般的な構成ミスを検出する Security Command Center の組み込み検出サービスです。

構成ミスが検出されると、Security Health Analytics は検出結果を生成します。Security Health Analytics の検出結果のほとんどは、セキュリティ標準管理にマッピングされるため、コンプライアンスを評価できます。

Security Health Analytics は、 Google Cloudのリソースをスキャンします。Enterprise ティアを使用していて、他のクラウドプラットフォームへの接続を確立している場合、Security Health Analytics はそれらのクラウドプラットフォーム上のリソースをスキャンすることもできます。

使用している Security Command Center のサービスティアに応じて、使用可能な検出機能が異なります。

スタンダードティアの Security Health Analytics には、中および高レベルの脆弱性に対する検出機能の基本グループのみが含まれています。
プレミアムティアには、 Google Cloudのすべての脆弱性検出機能が含まれます。
エンタープライズティアには、他のクラウドプラットフォーム用の追加の検出機能が含まれます。

Security Command Center を有効にすると、Security Health Analytics が自動的に有効になります。

詳しくは以下をご覧ください。

セキュリティ対策サービス

セキュリティ対策サービスは、Security Command Center Premium ティアの組み込みサービスで、 Google Cloudでのセキュリティの全体的なステータスを定義、評価、モニタリングできます。お客様の環境が、セキュリティ対策で定義したポリシーとどのように適合しているかに関する情報を提供します。

セキュリティ対策サービスは、GKE クラスタの検出結果のみを表示する GKE セキュリティ対策ダッシュボードとは関係しません。

セキュリティ対策サービスの検出結果

検出結果概要

検出結果	概要
`SHA Canned Module Drifted` API のカテゴリ名: `SECURITY_POSTURE_DETECTOR_DRIFT`	検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics 検出機能への変更を検出しました。料金ティア: Premium この問題を修正する: この検出結果では、変更を受け入れるか、対策の検出機能の設定と環境が一致するように変更を元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics 検出機能を更新するか、対策と対策のデプロイを更新するかです。変更を元に戻すには、 Google Cloud コンソールで Security Health Analytics の検出機能を更新します。手順については、検出機能を有効または無効にするをご覧ください。変更を受け入れるには、次の手順を行います。変更内容で `posture.yaml` ファイルを更新します。 `gcloud scc postures update` コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
`SHA Custom Module Drifted` API のカテゴリ名: `SECURITY_POSTURE_DETECTOR_DRIFT`	検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics カスタムモジュールへの変更を検出しました。料金ティア: Premium この問題を修正する: この検出結果により、対策と環境のカスタムモジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタムモジュールを更新するか、対策と対策のデプロイを更新するかです。変更を元に戻すには、 Google Cloud コンソールで Security Health Analytics のカスタムモジュールを更新します。手順については、カスタムモジュールを更新するをご覧ください。変更を受け入れるには、次の手順を行います。変更内容で `posture.yaml` ファイルを更新します。 `gcloud scc postures update` コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
`SHA Custom Module Deleted` API のカテゴリ名: `SECURITY_POSTURE_DETECTOR_DELETE`	検出結果についての説明: セキュリティ対策サービスが、Security Health Analytics のカスタムモジュールが削除されたことを検出しました。この削除は、対策の更新外で発生しました。料金ティア: Premium この問題を修正する: この検出結果により、対策と環境のカスタムモジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタムモジュールを更新するか、対策と対策のデプロイを更新するかです。変更を元に戻すには、 Google Cloud コンソールで Security Health Analytics のカスタムモジュールを更新します。手順については、カスタムモジュールを更新するをご覧ください。変更を受け入れるには、次の手順を行います。変更内容で `posture.yaml` ファイルを更新します。 `gcloud scc postures update` コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
`Org Policy Canned Constraint Drifted` API のカテゴリ名: `SECURITY_POSTURE_POLICY_DRIFT`	検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のポリシーの変更を検出しました。料金ティア: Premium この問題を修正する: この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。変更を元に戻すには、 Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。変更を受け入れるには、次の手順を行います。変更内容で `posture.yaml` ファイルを更新します。 `gcloud scc postures update` コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
`Org Policy Canned Constraint Deleted` API のカテゴリ名: `SECURITY_POSTURE_POLICY_DELETE`	検出結果についての説明: セキュリティ対策サービスが、組織のポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。料金ティア: Premium この問題を修正する: この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。変更を元に戻すには、 Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。変更を受け入れるには、次の手順を行います。変更内容で `posture.yaml` ファイルを更新します。 `gcloud scc postures update` コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
`Org Policy Custom Constraint Drifted` API のカテゴリ名: `SECURITY_POSTURE_POLICY_DRIFT`	検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のカスタムポリシーの変更を検出しました。料金ティア: Premium この問題を修正する: この検出結果により、対策と環境の組織のカスタムポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタムポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。変更を元に戻すには、 Google Cloud コンソールで組織のカスタムポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。変更を受け入れるには、次の手順を行います。変更内容で `posture.yaml` ファイルを更新します。 `gcloud scc postures update` コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。
`Org Policy Custom Constraint Deleted` API のカテゴリ名: `SECURITY_POSTURE_POLICY_DELETE`	検出結果についての説明: セキュリティ対策サービスが、組織のカスタムポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。料金ティア: Premium この問題を修正する: この検出結果により、対策と環境の組織のカスタムポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタムポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。変更を元に戻すには、 Google Cloud コンソールで組織のカスタムポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。変更を受け入れるには、次の手順を行います。変更内容で `posture.yaml` ファイルを更新します。 `gcloud scc postures update` コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

`SHA Canned Module Drifted`

API のカテゴリ名: SECURITY_POSTURE_DETECTOR_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics 検出機能への変更を検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果では、変更を受け入れるか、対策の検出機能の設定と環境が一致するように変更を元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics 検出機能を更新するか、対策と対策のデプロイを更新するかです。

変更を元に戻すには、 Google Cloud コンソールで Security Health Analytics の検出機能を更新します。手順については、検出機能を有効または無効にするをご覧ください。

変更を受け入れるには、次の手順を行います。

変更内容で posture.yaml ファイルを更新します。
gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

`SHA Custom Module Drifted`

API のカテゴリ名: SECURITY_POSTURE_DETECTOR_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した Security Health Analytics カスタムモジュールへの変更を検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果により、対策と環境のカスタムモジュール設定が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決する方法は 2 つあります。Security Health Analytics のカスタムモジュールを更新するか、対策と対策のデプロイを更新するかです。

変更を元に戻すには、 Google Cloud コンソールで Security Health Analytics のカスタムモジュールを更新します。手順については、カスタムモジュールを更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

変更内容で posture.yaml ファイルを更新します。
gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

`SHA Custom Module Deleted`

API のカテゴリ名: SECURITY_POSTURE_DETECTOR_DELETE

検出結果についての説明: セキュリティ対策サービスが、Security Health Analytics のカスタムモジュールが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

料金ティア: Premium

この問題を修正する:

変更を受け入れるには、次の手順を行います。

変更内容で posture.yaml ファイルを更新します。
gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

`Org Policy Canned Constraint Drifted`

API のカテゴリ名: SECURITY_POSTURE_POLICY_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のポリシーの変更を検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果により、対策と環境の組織のポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、 Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。

変更を受け入れるには、次の手順を行います。

変更内容で posture.yaml ファイルを更新します。
gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

`Org Policy Canned Constraint Deleted`

API のカテゴリ名: SECURITY_POSTURE_POLICY_DELETE

検出結果についての説明: セキュリティ対策サービスが、組織のポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

料金ティア: Premium

この問題を修正する:

変更を元に戻すには、 Google Cloud コンソールで組織のポリシーを更新します。手順については、ポリシーの作成と編集をご覧ください。

変更を受け入れるには、次の手順を行います。

変更内容で posture.yaml ファイルを更新します。
gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

`Org Policy Custom Constraint Drifted`

API のカテゴリ名: SECURITY_POSTURE_POLICY_DRIFT

検出結果の説明: セキュリティ対策サービスが、対策の更新外で発生した組織のカスタムポリシーの変更を検出しました。

料金ティア: Premium

この問題を修正する:

この検出結果により、対策と環境の組織のカスタムポリシー定義が一致するように、変更を受け入れるか元に戻す必要があります。この検出結果を解決するには、組織のカスタムポリシーを更新するか、対策と対策のデプロイを更新するという 2 つの方法があります。

変更を元に戻すには、 Google Cloud コンソールで組織のカスタムポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

変更内容で posture.yaml ファイルを更新します。
gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

`Org Policy Custom Constraint Deleted`

API のカテゴリ名: SECURITY_POSTURE_POLICY_DELETE

検出結果についての説明: セキュリティ対策サービスが、組織のカスタムポリシーが削除されたことを検出しました。この削除は、対策の更新外で発生しました。

料金ティア: Premium

この問題を修正する:

変更を元に戻すには、 Google Cloud コンソールで組織のカスタムポリシーを更新します。手順については、カスタム制約を更新するをご覧ください。

変更を受け入れるには、次の手順を行います。

変更内容で posture.yaml ファイルを更新します。
gcloud scc postures update コマンドを実行します。手順については、対策でポリシー定義を更新するをご覧ください。
新しいリビジョン ID で、更新された対策をデプロイします。手順については、対策のデプロイを更新するをご覧ください。

Sensitive Data Protection

Sensitive Data Protection は、機密データの検出、分類、保護を支援するフルマネージドの Google Cloud サービスです。Sensitive Data Protection を使用すると、次のような機密情報や個人を特定できる情報（PII）を保存しているかどうかを判断できます。

個人名
クレジットカード番号
国民 ID または州 ID の番号
健康保険の ID 番号
Secret

機密データの保護では、検索対象の各タイプのデータは infoTypeinfoType と呼ばれます。

Security Command Center に結果を送信するように Sensitive Data Protection オペレーションを構成すると、Sensitive Data Protection セクションに加えて、 Google Cloud コンソールの Security Command Center セクションで検出結果を直接確認できます。

Sensitive Data Protection 検出サービスによる脆弱性の検出

Sensitive Data Protection の検出サービスを使用すると、保護されていない機密性の高いデータが保存されているかどうかを判断できます。

カテゴリ概要

カテゴリ	概要
`Public sensitive data` API のカテゴリ名: `PUBLIC_SENSITIVE_DATA`	検出結果の説明: 指定したリソースに、インターネット上の誰でもアクセスできる高機密データが含まれています。サポートされているアセット: `aiplatform.googleapis.com/Dataset` `bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Table` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Amazon S3 バケット Azure Blob Storage コンテナ修復: Google Cloud データの場合は、データアセットの IAM ポリシーから `allUsers` と `allAuthenticatedUsers` を削除します。 Amazon S3 データの場合は、公開アクセスのブロック設定を構成するか、オブジェクトの ACL を更新して一般公開の読み取りアクセスを拒否します。詳細については、AWS ドキュメントの S3 バケットの公開アクセスブロック設定を構成すると ACL を構成するをご覧ください。 Azure Blob Storage データの場合は、コンテナと blob への公開アクセスを削除します。詳細については、Azure ドキュメントの概要: Blob データの匿名読み取りアクセスを修復するをご覧ください。コンプライアンス標準: マッピングされていません
`Secrets in environment variables` API のカテゴリ名: `SECRETS_IN_ENVIRONMENT_VARIABLES`	検出結果の説明: 環境変数に、パスワード、認証トークン、 Google Cloud 認証情報などのシークレットがあります。この検出機能を有効にするには、Sensitive Data Protection ドキュメントの環境変数のシークレットを Security Command Center に報告するをご覧ください。サポートされているアセット: `cloudfunctions.googleapis.com/CloudFunction` `run.googleapis.com/Revision` 修復: Cloud Run functions の環境変数の場合は、環境変数からシークレットを削除し、代わりに Secret Manager にシークレットを保存します。 Cloud Run サービスリビジョンの環境変数の場合は、すべてのトラフィックをリビジョンから移動してから、リビジョンを削除します。コンプライアンス標準: CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18
`Secrets in storage` API のカテゴリ名: `SECRETS_IN_STORAGE`	検出結果の説明: 指定されたリソースに、パスワード、認証トークン、クラウド認証情報などのシークレットがあります。サポートされているアセット: `aiplatform.googleapis.com/Dataset` `bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Table` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Amazon S3 バケット Azure Blob Storage コンテナ修復: Google Cloud データの場合は、Sensitive Data Protection を使用して指定したリソースの詳細な検査スキャンを実行し、影響を受けるすべてのリソースを特定します。Cloud SQL データの場合は、そのデータを Cloud Storage バケットの CSV または AVRO ファイルにエクスポートし、バケットの詳細な検査スキャンを実行します。他のクラウドプロバイダのデータについては、指定されたバケットまたはコンテナを手動で検査します。検出されたシークレットを削除します。認証情報のリセットを検討してください。 Google Cloud データの場合は、代わりに、検出されたシークレットを Secret Manager に保存することを検討してください。コンプライアンス標準: マッピングされていません

`Public sensitive data`

API のカテゴリ名:

PUBLIC_SENSITIVE_DATA

検出結果の説明: 指定したリソースに、インターネット上の誰でもアクセスできる高機密データが含まれています。

サポートされているアセット:

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Table
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Amazon S3 バケット
Azure Blob Storage コンテナ

修復:

Google Cloud データの場合は、データアセットの IAM ポリシーから allUsers と allAuthenticatedUsers を削除します。

Amazon S3 データの場合は、公開アクセスのブロック設定を構成するか、オブジェクトの ACL を更新して一般公開の読み取りアクセスを拒否します。詳細については、AWS ドキュメントの S3 バケットの公開アクセスブロック設定を構成すると ACL を構成するをご覧ください。

Azure Blob Storage データの場合は、コンテナと blob への公開アクセスを削除します。詳細については、Azure ドキュメントの概要: Blob データの匿名読み取りアクセスを修復するをご覧ください。

コンプライアンス標準: マッピングされていません

`Secrets in environment variables`

API のカテゴリ名:

SECRETS_IN_ENVIRONMENT_VARIABLES

検出結果の説明: 環境変数に、パスワード、認証トークン、 Google Cloud 認証情報などのシークレットがあります。

この検出機能を有効にするには、Sensitive Data Protection ドキュメントの環境変数のシークレットを Security Command Center に報告するをご覧ください。

サポートされているアセット:

修復:

Cloud Run functions の環境変数の場合は、環境変数からシークレットを削除し、代わりに Secret Manager にシークレットを保存します。

Cloud Run サービスリビジョンの環境変数の場合は、すべてのトラフィックをリビジョンから移動してから、リビジョンを削除します。

コンプライアンス標準:

CIS GCP Foundation 1.3: 1.18
CIS GCP Foundation 2.0: 1.18

`Secrets in storage`

API のカテゴリ名:

SECRETS_IN_STORAGE

検出結果の説明: 指定されたリソースに、パスワード、認証トークン、クラウド認証情報などのシークレットがあります。

サポートされているアセット:

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Table
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Amazon S3 バケット
Azure Blob Storage コンテナ

修復:

Google Cloud データの場合は、Sensitive Data Protection を使用して指定したリソースの詳細な検査スキャンを実行し、影響を受けるすべてのリソースを特定します。Cloud SQL データの場合は、そのデータを Cloud Storage バケットの CSV または AVRO ファイルにエクスポートし、バケットの詳細な検査スキャンを実行します。

他のクラウドプロバイダのデータについては、指定されたバケットまたはコンテナを手動で検査します。
検出されたシークレットを削除します。
認証情報のリセットを検討してください。
Google Cloud データの場合は、代わりに、検出されたシークレットを Secret Manager に保存することを検討してください。

コンプライアンス標準: マッピングされていません

Sensitive Data Protection 検出サービスによる構成ミスの検出

Sensitive Data Protection の検出サービスは、機密データを公開する可能性がある構成ミスがあるかどうかを判断するのに役立ちます。

カテゴリ概要

カテゴリ	概要
`Sensitive data CMEK disabled` API のカテゴリ名: `SENSITIVE_DATA_CMEK_DISABLED`	検出結果の説明: 指定したリソースに高機密データまたは中程度の機密データが含まれていますが、リソースで顧客管理の暗号鍵（CMEK）を使用していません。サポートされているアセット: `aiplatform.googleapis.com/Dataset` `bigquery.googleapis.com/Dataset` `bigquery.googleapis.com/Table` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Amazon S3 バケット Azure Blob Storage コンテナ修復: BigQuery データの場合は、テーブルまたはデータセットで CMEK を使用します。 Cloud SQL データについては、Cloud SQL for MySQL または Cloud SQL for PostgreSQL の CMEK ドキュメントをご覧ください。 Cloud Storage データの場合は、バケットで CMEK を使用します。コンプライアンス標準: マッピングされていません

`Sensitive data CMEK disabled`

API のカテゴリ名:

SENSITIVE_DATA_CMEK_DISABLED

検出結果の説明: 指定したリソースに高機密データまたは中程度の機密データが含まれていますが、リソースで顧客管理の暗号鍵（CMEK）を使用していません。

サポートされているアセット:

aiplatform.googleapis.com/Dataset
bigquery.googleapis.com/Dataset
bigquery.googleapis.com/Table
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Amazon S3 バケット
Azure Blob Storage コンテナ

修復:

BigQuery データの場合は、テーブルまたはデータセットで CMEK を使用します。
Cloud SQL データについては、Cloud SQL for MySQL または Cloud SQL for PostgreSQL の CMEK ドキュメントをご覧ください。
Cloud Storage データの場合は、バケットで CMEK を使用します。

コンプライアンス標準: マッピングされていません

Sensitive Data Protection からのモニタリング結果

このセクションでは、Security Command Center で Sensitive Data Protection が生成するモニタリング検出結果について説明します。

検出サービスからのモニタリング結果

Sensitive Data Protection の検出サービスにより、データに特定の infoType が含まれているかどうか、またそれらが組織、フォルダ、プロジェクトでどこに存在しているのかを判断できます。Security Command Center で次のモニタリング検出結果のカテゴリを生成します。

Data sensitivity: 特定のデータアセット内のデータの機密レベルに関する指標。 PII など、追加の制御や管理を必要とする可能性がある要素が含まれるデータは、機密情報に該当します。検出結果の重大度は、データプロファイルの生成時に機密データ保護が計算した機密性レベルです。
Data risk: 現在の状態でのデータに関連するリスク。データリスクの計算時、Sensitive Data Protection では、データアセット内のデータの機密性レベルと、そのデータを保護するアクセス制御が考慮されます。検出結果の重大度は、データプロファイルの生成時にSensitive Data Protection が計算したデータリスクレベルです。

組織の規模によっては、機密データの検出を有効にしてから数分以内に、Sensitive Data Protection の検出結果が Security Command Center に表示され始めることがあります。大規模な組織や、検出結果の生成に影響する特定の構成を持つ組織では、最初の検出結果が Security Command Center に表示されるまでに最大 12 時間かかることがあります。

その後、検出サービスがリソースをスキャンしてから数分以内に、Sensitive Data Protection が Security Command Center で検出結果を生成します。

データプロファイルの結果を Security Command Center に送信する方法については、以下をご覧ください。

Security Command Center Enterprise の場合: 機密データの検出を有効にします。
Security Command Center Premium または Standard の場合: Security Command Center にデータプロファイルを公開する。

Sensitive Data Protection 検査サービスによるモニタリング結果

機密データ保護の検査ジョブは、Cloud Storage バケットや BigQuery テーブルなどのストレージシステム内で特定の infoType を持つデータインスタンスを識別します。たとえば、Cloud Storage バケット内で CREDIT_CARD_NUMBER infoType 検出機能に一致するすべての文字列を検索する検査ジョブを実行できます。

一致する結果が検出された infoType 検出機能ごとに、機密データ保護は対応する Security Command Center の検出結果を生成します。検出結果のカテゴリは、一致した infoType 検出機能の名前です（例: Credit card number）。検出結果には、リソース内のテキストまたは画像で検出された一致文字列の数が含まれます。

セキュリティ上の理由から、検出された実際の文字列は検出結果に含まれません。たとえば、Credit card number の検出結果には、見つかったクレジットカード番号の件数が表示されますが、実際のクレジットカード番号は表示されません。

機密データ保護には 150 を超える組み込み infoType 検出機能があるため、すべての Security Command Center の検出カテゴリをここで説明することはできません。infoType 検出機能の一覧については、infoType 検出機能のリファレンスをご覧ください。

検査ジョブの結果を Security Command Center に送信する方法については、機密データ保護の検査ジョブの結果を Security Command Center に送信するをご覧ください。

コンソールで Sensitive Data Protection の検出結果を確認する

Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
[検出結果] に移動
Google Cloud プロジェクトまたは組織を選択します。
[クイックフィルタ] セクションの [ソースの表示名] サブセクションで、[Sensitive Data Protection] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
特定の検出結果の詳細を表示するには、[カテゴリ] 列にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
[概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順（ある場合）など、検出結果の詳細を確認します。
省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

VM Manager

VM Manager は、Compute Engine 上で Windows と Linux を実行している大規模な仮想マシン（VM）フリートでオペレーティングシステムの管理を行うためのツールです。

Security Command Center Premium でプロジェクトレベルの有効化を行って VM Manager を使用するには、親組織で Security Command Center Standard を有効にします。

Security Command Center Premium ティアで VM Manager を有効にすると、VM Manager は、脆弱性レポートから high と critical の検出結果を Security Command Center に自動的に送信します。このレポートは、VM にインストールされたオペレーティングシステム（OS）の脆弱性（Common Vulnerability and Exposures（CVE）など）を特定します。

Security Command Center Standard では、脆弱性レポートを使用できません。

検出結果を使用することで、VM Manager のパッチコンプライアンス機能（プレビュー段階）を使用するプロセスが簡略化されます。この機能を使用すると、すべてのプロジェクトで組織レベルでパッチ管理を行うことができます。VM Manager では、単一のプロジェクトレベルでのパッチ管理がサポートされています。

VM Manager の検出結果を修正するには、VM Manager の検出結果の修復をご覧ください。

脆弱性レポートが Security Command Center に書き込まれないようにするには、VM Manager の検出結果をミュートするをご覧ください。

このタイプの脆弱性はすべて、サポートされている Compute Engine VM にインストールされたオペレーティングシステムパッケージに関連しています。

検出項目概要アセットのスキャン設定

検出項目	概要	アセットのスキャン設定
`OS vulnerability` API のカテゴリ名: `OS_VULNERABILITY`	検出結果の説明: VM Manager が、Compute Engine VM にインストールされているオペレーティングシステム（OS）パッケージに脆弱性を検出しました。料金ティア: Premium サポートされているアセット compute.googleapis.com/Instance この問題を修正する	VM Manager の脆弱性レポートでは、Compute Engine VM のインストール済みオペレーティングシステムパッケージの脆弱性（Common Vulnerabilities and Exposures（CVE））など）が詳細に説明されています。サポートされているオペレーティングシステムの完全なリストについては、オペレーティングシステムの詳細をご覧ください。脆弱性が検出されると、Security Command Center に検出結果がすぐに表示されます。 VM Manager の脆弱性レポートは次のように生成されます。パッケージが VM のオペレーティングシステムでインストールまたは更新されると、変更後 2 時間以内に、Security Command Center で VM のCommon Vulnerabilities and Exposures（CVE）の情報を確認できます。オペレーティングシステムの新しいセキュリティアドバイザリが公開された場合は、通常、オペレーティングシステムベンダーがアドバイザリを公開してから 24 時間以内に、更新された CVE が利用可能になります。

`OS vulnerability`

API のカテゴリ名: OS_VULNERABILITY

検出結果の説明: VM Manager が、Compute Engine VM にインストールされているオペレーティングシステム（OS）パッケージに脆弱性を検出しました。

料金ティア: Premium

サポートされているアセット

compute.googleapis.com/Instance

この問題を修正する

VM Manager の脆弱性レポートでは、Compute Engine VM のインストール済みオペレーティングシステムパッケージの脆弱性（Common Vulnerabilities and Exposures（CVE））など）が詳細に説明されています。

サポートされているオペレーティングシステムの完全なリストについては、オペレーティングシステムの詳細をご覧ください。

脆弱性が検出されると、Security Command Center に検出結果がすぐに表示されます。 VM Manager の脆弱性レポートは次のように生成されます。

パッケージが VM のオペレーティングシステムでインストールまたは更新されると、変更後 2 時間以内に、Security Command Center で VM のCommon Vulnerabilities and Exposures（CVE）の情報を確認できます。
オペレーティングシステムの新しいセキュリティアドバイザリが公開された場合は、通常、オペレーティングシステムベンダーがアドバイザリを公開してから 24 時間以内に、更新された CVE が利用可能になります。

AWS の脆弱性評価

Amazon Web Services（AWS）の脆弱性評価サービスは、AWS クラウドプラットフォームの EC2 仮想マシン（VM）で実行されているワークロードのソフトウェアの脆弱性を検出します。

AWS の脆弱性評価は、検出された脆弱性ごとに、Security Command Center の Software vulnerability 検出結果カテゴリに Vulnerability クラスの検出結果を生成します。

AWS の脆弱性評価サービスは、実行中の EC2 マシンインスタンスのスナップショットをスキャンするため、本番環境ワークロードは影響を受けません。このスキャン方法は、スキャンターゲットがインストールされていないため、エージェントレスディスクスキャンと呼ばれます。

詳しくは以下をご覧ください。

Google Cloudの脆弱性評価

Google Cloud の脆弱性評価サービスは、 Google Cloud プラットフォームの次のリソースのソフトウェアの脆弱性を検出します。

実行中の Compute Engine VM インスタンス
GKE Standard クラスタのノード
GKE Standard クラスタと GKE Autopilot クラスタで実行中のコンテナ

脆弱性評価は、検出された脆弱性ごとに、Security Command Center の Software vulnerability または OS vulnerability 検出結果カテゴリに Vulnerability クラスの検出結果を生成します。 Google Cloud

Google Cloud の脆弱性評価サービスは、ディスクを約 12 時間ごとに複製し、安全な VM インスタンスにマウントして、SCALIBR スキャナで評価することで、Compute Engine VM インスタンスをスキャンします。

詳細については、 Google Cloudの脆弱性評価をご覧ください。

Web Security Scanner

Web Security Scanner は、一般公開された App Engine、GKE、Compute Engine のサービス対象ウェブアプリケーションのマネージドおよびカスタムウェブ脆弱性スキャンを提供します。

マネージドスキャン

Web Security Scanner のマネージドスキャンは Security Command Center によって構成され、管理されます。マネージドスキャンは、週に 1 回自動的に実行され、一般公開のウェブエンドポイントを検出してスキャンします。このスキャンは認証を使用せず、公開ウェブサイトにはフォームを送信しないので、GET のみのリクエストを送信します。

マネージドスキャンはカスタムスキャンとは別に実行されます。

Security Command Center を組織レベルで有効にすると、マネージドスキャンを使用して、個々のプロジェクトチームを関与させることなく、組織内のプロジェクトの基本ウェブアプリケーションの脆弱性検出を一元管理できます。検出が見つかったら、それらのチームと協力してより包括的なカスタムスキャンを設定できます。

Web Security Scanner をサービスとして有効にする場合、マネージドスキャンの検出結果は、Security Command Center の [脆弱性] ページと関連レポートで自動的に利用可能になります。Web Security Scanner のマネージドスキャンを有効にする方法については、Security Command Center サービスを構成するをご覧ください。

マネージドスキャンは、デフォルトのポート（HTTP 接続の場合は 80、HTTPS 接続の場合は 443）を使用するアプリケーションのみをサポートします。アプリケーションがデフォルト以外のポートを使用している場合は、代わりにカスタムスキャンを行います。

カスタムスキャン

Web Security Scanner のカスタムスキャンは、古いライブラリ、クロスサイトスクリプティング、混合コンテンツの使用など、アプリケーションの脆弱性の検出に関する詳細な情報を提供します。

カスタムスキャンはプロジェクトレベルで定義します。

Web Security Scanner のカスタムスキャンを設定するためのガイドを完了すると、Security Command Center でカスタムスキャンによる検出が可能になります。

検出機能とコンプライアンス

Web Security Scanner は OWASP トップ 10 のカテゴリをサポートしています。これは、Open Web Application Security Project（OWASP）で決定される、ウェブアプリケーションで最も重大な 10 個のウェブアプリケーションセキュリティリスクをランク付けして修正するドキュメントです。OWASP のリスク軽減のガイダンスについては、Google Cloud における OWASP トップ 10 緩和策をご覧ください。

コンプライアンスマッピングは参照用として含まれており、OWASP Foundation による提供や審査は行われません。

この機能は、コンプライアンス制御違反をモニタリングするためのものです。このマッピングは、規制、業界ベンチマーク、標準に準拠した製品またはサービスの監査、認定、コンプライアンス報告の基礎として使用できるものでも、これらの代用として使用できるものでもありません。

詳細については、Web Security Scanner の概要をご覧ください。

脅威検出サービス

脅威検出サービスには、リソースの侵害やサイバー攻撃など、有害な可能性があるイベントを示すイベントを検出する組み込みサービスと統合サービスが含まれています。

異常検出

異常検出は、システム外部からの動作シグナルを使用する組み込みサービスです。漏洩した可能性のある認証情報など、サービスアカウントで検出されたセキュリティ異常に関する詳細な情報が表示されます。Security Command Center のスタンダードティアまたはプレミアムティアを有効にすると、異常検出が自動的に有効になります。また、 Google Cloud コンソールで検出結果を確認できます。

異常検出には、次の結果が含まれます。

異常名検出結果のカテゴリ説明

異常名	検出結果のカテゴリ	説明
`Account has leaked credentials`	`account_has_leaked_credentials`	Google Cloud サービスアカウントの認証情報がオンラインで誤って漏洩したか、不正使用されています。重大度: 重大

`Account has leaked credentials`

account_has_leaked_credentials

Google Cloud サービスアカウントの認証情報がオンラインで誤って漏洩したか、不正使用されています。

重大度: 重大

アカウントの認証情報の漏洩

GitHub は、commit に使用された認証情報がGoogle Cloud Identity and Access Management サービスアカウントの認証情報であると思われることを Security Command Center に通知しました。

この通知にはサービスアカウント名と秘密鍵 ID が含まれています。また、 Google Cloud はセキュリティとプライバシー保護に指定された連絡先にメールで通知します。

この問題を解決するには、次のいずれかを行います。

鍵の正当なユーザーを特定する。
鍵をローテーションする。
鍵を削除する。
鍵の漏洩後に鍵によって行われたアクションを調査し、どのアクションにも悪意のあるものがないことを確認する。

JSON: 漏洩したアカウント認証情報の検出

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection は一般的なコンテナランタイム攻撃を検出し、Security Command Center にアラートを表示します。必要に応じて Cloud Logging でアラートを受け取ることもできます。Container Threat Detection には、複数の検出機能、分析ツール、API が含まれています。

Container Threat Detection の検出計測は、ゲストカーネルで低レベルの動作を収集し、コードに対して自然言語処理を実行して次のイベントを検出します。

Added Binary Executed
Added Library Loaded
Command and Control: Steganography Tool Detected（プレビュー）
Credential Access: Find Google Cloud Credentials
Credential Access: GPG Key Reconnaissance
Credential Access: Search Private Keys or Passwords
Defense Evasion: Base64 ELF File Command Line
Defense Evasion: Base64 Encoded Python Script Executed
Defense Evasion: Base64 Encoded Shell Script Executed
Defense Evasion: Launch Code Compiler Tool In Container（プレビュー）
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Container Escape
Execution: Fileless Execution in /memfd:
Execution: Ingress Nightmare Vulnerability Execution（プレビュー）
Execution: Kubernetes Attack Tool Execution
Execution: Local Reconnaissance Tool Execution
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Execution: Netcat Remote Code Execution In Container
Execution: Possible Arbitrary Command Execution through CUPS (CVE-2024-47177)
Execution: Possible Remote Command Execution Detected（プレビュー）
Execution: Program Run with Disallowed HTTP Proxy Env
Execution: Socat Reverse Shell Detected
Execution: Suspicious OpenSSL Shared Object Loaded
Exfiltration: Launch Remote File Copy Tools in Container
Impact: Detect Malicious Cmdlines（プレビュー）
Impact: Remove Bulk Data From Disk
Impact: Suspicious crypto mining activity using the Stratum Protocol
Malicious Script Executed
Malicious URL Observed
Privilege Escalation: Abuse of Sudo For Privilege Escalation (CVE-2019-14287)
Privilege Escalation: Fileless Execution in /dev/shm
Privilege Escalation: Polkit Local Privilege Escalation Vulnerability (CVE-2021-4034)
Privilege Escalation: Sudo Potential Privilege Escalation (CVE-2021-3156)
Reverse Shell
Unexpected Child Shell

Container Threat Detection の詳細

Event Threat Detection

Event Threat Detection は、システム内部のログデータを使用します。Cloud Logging ストリームでプロジェクトをモニタリングし、利用可能になるとログを使用します。脅威が検出されると、Event Threat Detection は検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。Event Threat Detection は、Security Command Center のプレミアムティアを有効にすると自動的に有効になります。また、Google Cloud コンソールで検出結果を確認できます。

次の表に、Event Threat Detection の検出結果の例を示します。

**表 C.** Event Threat Detection の検出結果タイプ
データの破棄	Event Threat Detection は、Backup and DR サービス管理サーバーの監査ログで次のシナリオを調査することで、データ破壊を検出します。バックアップイメージの削除アプリケーションに関連付けられているすべてのバックアップイメージの削除バックアップ / リカバリアプライアンスの削除
データの引き出し	Event Threat Detection は、監査ログで次のシナリオを調査することで、BigQuery と Cloud SQL からのデータの引き出しを検出します。 BigQuery リソースが組織外に保存されているか、VPC Service Controls によってブロックされているコピーオペレーションが試行されている。 VPC Service Controls によって保護されている BigQuery リソースへのアクセスが試行されている。 Cloud SQL リソースの全体または一部が組織外の Cloud Storage バケットにエクスポートされているか、組織が所有する一般公開のバケットにエクスポートされている。 Cloud SQL バックアップが組織外の Cloud SQL インスタンスに復元される。組織が所有する BigQuery リソースが、組織外の Cloud Storage バケットか、一般からアクセス可能な組織内のバケットにエクスポートされている。組織が所有する BigQuery リソースが Google ドライブフォルダにエクスポートされる。 BigQuery リソースが、組織が所有する公開リソースに保存される。
Cloud SQL の不審なアクティビティ	Event Threat Detection は、監査ログを調べて、Cloud SQL インスタンスの有効なユーザーアカウントの不正使用を示している可能性があるイベントを検出します。データベースのユーザーに、Cloud SQL for PostgreSQL データベース、またはスキーマ内のすべてのテーブル、プロシージャ、または関数に対するすべての権限が付与されている。 Cloud SQL のデフォルトデータベースアカウントのスーパーユーザー（PostgreSQL インスタンスでは「postgres」、MySQL インスタンスでは「root」）が、システム以外のテーブルへの書き込みに使用される。
AlloyDB for PostgreSQL の不審なアクティビティ	Event Threat Detection は、監査ログを調べて、AlloyDB for PostgreSQL インスタンスの有効なユーザーアカウントの不正使用を示している可能性があるイベントを検出します。データベースのユーザーに、AlloyDB for PostgreSQL データベース、またはスキーマ内のすべてのテーブル、プロシージャ、または関数に対するすべての権限が付与されている。 AlloyDB for PostgreSQL のデフォルトデータベースアカウントのスーパーユーザー（「postgres」）が、システム以外のテーブルへの書き込みに使用される。
ブルートフォース SSH	Event Threat Detection は syslog ログを使用して、繰り返し失敗した後に成功したエラーを調査し、パスワード認証 SSH のブルートフォースを検出します。
クリプトマイニング	Event Threat Detection は、既知の不正ドメインまたはマイニングプールの IP アドレスへの接続についての VPC Flow Logs と Cloud DNS ログを調査し、コインマイニングのマルウェアを検出します。
IAM の不正使用	IAM 異常付与: Event Threat Detection は、次のような異常と思われる IAM 付与を検出します。プロジェクト編集者ロールを含むポリシーに gmail.com ユーザーを追加する。 Google Cloud コンソールからプロジェクトオーナーとして gmail.com ユーザーを招待する。機密性の高い権限を付与するサービスアカウント。機密性の高い権限を付与されたカスタムロール。組織外から追加されたサービスアカウント。
システム復旧の抑制	Event Threat Detection は、大規模なポリシーの変更や重要なバックアップと DR コンポーネントの削除など、バックアップ対策に影響する可能性のあるバックアップと DR の異常な変更を検出します。
Log4j	Event Threat Detection は、Log4j の悪用とアクティブな Log4j の脆弱性を検出します。
マルウェア	Event Threat Detection は、既知のコマンド、制御ドメイン、IP への接続に関する VPC Flow Logs と Cloud DNS ログを調べることで、マルウェアを検出します。
送信 DoS	Event Threat Detection は VPC フローログを調べて、送信サービス拒否攻撃トラフィックを検出します。
異常アクセス	Event Threat Detection は、Tor IP アドレスなどの匿名プロキシ IP アドレスから発生した Google Cloud サービスの変更についての Cloud Audit Logs を調査して、異常アクセスを検出します。
異常な IAM 動作	Event Threat Detection は、Cloud Audit Logs で次のシナリオを調査し、異常な IAM 動作を検出します。通常と異なる IP アドレスから Google Cloud にアクセスする IAM ユーザーとサービスアカウント。通常と異なるユーザーエージェントから Google Cloud にアクセスする IAM サービスアカウント。 IAM サービスアカウントに代わって Google Cloudにアクセスするプリンシパルとリソース。
サービスアカウントの自己調査	Event Threat Detection は、同じサービスアカウントに関連付けられたロールと権限を調査するためにサービスアカウントの認証情報が使用されたことを検出します。
Compute Engine 管理者による SSH 認証鍵の追加	Event Threat Detection は、確立されたインスタンス（1 週間以上経過）での Compute Engine インスタンスメタデータ SSH 認証鍵の値の変更を検出します。
Compute Engine 管理者による起動スクリプトの追加	Event Threat Detection は、確立されたインスタンス（1 週間以上経過）での Compute Engine インスタンスメタデータ起動スクリプトの値の変更を検出します。
不審なアカウントのアクティビティ	Event Threat Detection は、パスワードの漏えいや不審なログインの試行など、異常なアカウントアクティビティの監査ログを調べることで、Google Workspace アカウントの不正使用の可能性を検出します。
政府が支援する攻撃	Event Threat Detection は、Google Workspace の監査ログを調査し、政府の支援を受けた攻撃者がユーザーのアカウントまたはパソコンを不正使用しようとした可能性を検出します。
シングルサインオン（SSO）の変更	Event Threat Detection は、Google Workspace の監査ログを調査して、SSO の無効化や Google Workspace 管理者アカウントの設定変更を検出します。
2 段階認証プロセス	Event Threat Detection は、Google Workspace の監査ログを調べて、ユーザーアカウントと管理者アカウントで 2 段階認証プロセスが無効になっていることを検出します。
異常な API 動作	Event Threat Detection は、プリンシパルが認識していない Google Cloud サービスに対するリクエストを Cloud Audit Logs で調べることで、異常な API 動作を検出します。
防御回避	Event Threat Detection は、Cloud Audit Logs で次のシナリオを調査することで、防御回避を検出します。提供される保護機能が低下する可能性のある、既存の VPC Service Controls 境界の変更。ブレークグラスフラグを使用して Binary Authorization の制御をオーバーライドするワークロードへのデプロイまたは更新^{プレビュー}。プロジェクトレベル、フォルダレベル、組織レベルで storage.secureHttpTransport ポリシーを無効にします。 Cloud Storage バケットの IP フィルタリング構成を変更します。
調査	Event Threat Detection は、監査ログで次のシナリオを調査することで、検出オペレーションを検出します。悪意のある行為者が `kubectl` コマンドを使用して、GKE 内の機密オブジェクトを特定しようとしました。サービスアカウントの認証情報が、同じサービスアカウントに関連付けられたロールと権限の調査に使用されています。
初期アクセス	Event Threat Detection は、監査ログで次のシナリオを調査することで、初期アクセスオペレーションを検出します。休止状態のユーザー管理サービスアカウントがアクションをトリガーしました。^{プレビュー} プリンシパルがさまざまな Google Cloud メソッドを呼び出そうとしたが、権限の拒否エラーにより繰り返し失敗しました。^{プレビュー}
権限昇格	Event Threat Detection は、監査ログで次のシナリオを調査することで、GKE における権限昇格を検出します。権限の昇格を目的として、悪質な可能性のある行為者が `PUT` または `PATCH` のリクエストを使用して、機密性の高い `cluster-admin` ロールの `ClusterRole`、`RoleBinding` または `ClusterRoleBinding` ロールベースのアクセス制御（RBAC）オブジェクトを変更しようとしました。悪意のある行為者が Kubernetes コントロールプレーンの証明書署名リクエスト（CSR）を作成しました。これにより `cluster-admin` アクセス権が付与されます。権限を昇格させるため、悪意のある可能性がある行為者が `cluster-admin` ロールに新しい `RoleBinding` オブジェクトまたは `ClusterRoleBinding` オブジェクトを作成しようとしました。悪質な可能性のある行為者が、漏洩したブートストラップ認証情報を使用して `kubectl` コマンドを実行し、証明書署名リクエスト（CSR）をクエリしました。悪質な可能性のある行為者が、特権コンテナまたは権限昇格機能を備えたコンテナを含む Pod を作成しました。
Cloud IDS の検出	Cloud IDS は、ミラーリングされたパケットを分析してレイヤ 7 攻撃を検出し、不審なイベントを検出すると、Event Threat Detection の検出結果をトリガーします。Cloud IDS の検出について詳しくは、Cloud IDS のロギング情報をご覧ください。^{プレビュー}
ラテラルムーブメント	Event Threat Detection は、Cloud Audit Logs で Compute Engine インスタンス間のブートディスクの切断と再接続が頻繁に発生しているかどうかを調べることで、変更されたブートディスクの攻撃の可能性を検出します。

Event Threat Detection の詳細

Google Cloud Armor

Cloud Armor は、レイヤ 7 フィルタリングを提供することでアプリケーションを保護します。Cloud Armor は、一般的なウェブ攻撃やトラフィックを妨げる可能性のある他のレイヤ 7 属性のリクエストをスクラブし、負荷分散されたバックエンドサービスまたはバックエンドバケットに到達させないようにします。

Cloud Armor は、次の 2 つの検出結果を Security Command Center にエクスポートします。

Virtual Machine Threat Detection

Virtual Machine Threat Detection は、Security Command Center の組み込みサービスです。このサービスは、仮想マシンをスキャンして、侵害されたクラウド環境で実行されている、悪質な可能性のあるアプリケーション（暗号通貨マイニングソフトウェア、カーネルモードルートキット、マルウェアなど）を検出します。

VM Threat Detection は、Security Command Center の脅威検出スイートの一部であり、Event Threat Detection と Container Threat Detection の既存の機能を補完するように設計されています。

VM Threat Detection の詳細については、VM Threat Detection の概要をご覧ください。

VM Threat Detection の脅威の検出

VM Threat Detection では、次の脅威の検出結果を生成できます。

暗号通貨マイニングの脅威の検出

VM Threat Detection は、ハッシュマッチングまたは YARA ルールによって次の検出結果のカテゴリを検出します。

VM Threat Detection 暗号通貨マイニングの脅威の検出
カテゴリ	モジュール	説明
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	実行中のプログラムのメモリハッシュを、暗号通貨マイニングソフトウェアの既知のメモリハッシュと照合します。検出結果は、デフォルトで重大度「高」に分類されます。
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	暗号通貨マイニングソフトウェアによって使用されることが確認されているプルーフオブワーク定数などのメモリパターンと照合します。検出結果は、デフォルトで重大度「高」に分類されます。
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	`CRYPTOMINING_HASH` モジュールと `CRYPTOMINING_YARA` モジュールの両方で検出された脅威を識別します。詳細については、複合検出をご覧ください。検出結果は、デフォルトで重大度「高」に分類されます。

カーネルモードルートキットの脅威の検出

VM Threat Detection は、実行時にカーネルの整合性を分析し、マルウェアによって使用される一般的な回避手法を検出します。

KERNEL_MEMORY_TAMPERING モジュールは、仮想マシンのカーネルコードとカーネルの読み取り専用データメモリに対してハッシュの比較を行い、脅威を検出します。

KERNEL_INTEGRITY_TAMPERING モジュールは、重要なカーネルデータ構造の整合性をチェックすることで脅威を検出します。

VM Threat Detection カーネルモードルートキットの脅威の検出結果
カテゴリ	モジュール	説明
ルートキット
`Defense Evasion: Rootkit`	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	既知のカーネルモードルートキットと一致するシグナルの組み合わせが存在します。このカテゴリの検出結果を受け取るには、両方のモジュールが有効になっていることを確認してください。検出結果は、デフォルトで重大度「高」に分類されます。
カーネルメモリの改ざん
`Defense Evasion: Unexpected kernel read-only data modification`	`KERNEL_MEMORY_TAMPERING`	カーネルの読み取り専用データメモリに予期しない変更が加えられています。検出結果は、デフォルトで重大度「高」に分類されます。
カーネルの完全性の改ざん
`Defense Evasion: Unexpected ftrace handler`	`KERNEL_INTEGRITY_TAMPERING`	`ftrace` ポイントと、カーネルまたはモジュールコードの想定範囲にないリージョンを参照するコールバックが存在します。検出結果は、デフォルトで重大度「高」に分類されます。
`Defense Evasion: Unexpected interrupt handler`	`KERNEL_INTEGRITY_TAMPERING`	カーネルまたはモジュールコードに想定されているリージョンにない割り込みハンドラが存在します。検出結果は、デフォルトで重大度「高」に分類されます。
`Defense Evasion: Unexpected kernel modules`	`KERNEL_INTEGRITY_TAMPERING`	カーネルまたはモジュールコードに想定されているリージョンにないカーネルコードページが存在します。検出結果は、デフォルトで重大度「高」に分類されます。
`Defense Evasion: Unexpected kprobe handler`	`KERNEL_INTEGRITY_TAMPERING`	`kprobe` ポイントと、カーネルまたはモジュールコードの想定範囲にないリージョンを参照するコールバックが存在します。検出結果は、デフォルトで重大度「高」に分類されます。
`Defense Evasion: Unexpected processes in runqueue`	`KERNEL_INTEGRITY_TAMPERING`	スケジューラの実行キューに予期しないプロセスが存在します。このようなプロセスは実行キューには存在しますが、プロセスタスクリストには存在しません。検出結果は、デフォルトで重大度「高」に分類されます。
`Defense Evasion: Unexpected system call handler`	`KERNEL_INTEGRITY_TAMPERING`	カーネルまたはモジュールコードに想定されているリージョンにないシステム呼び出しハンドラが存在します。検出結果は、デフォルトで重大度「高」に分類されます。

エラー

エラー検出機能を使用すると、セキュリティソースによる検出結果の生成を妨げる構成エラーを検出できます。エラーの検出結果は Security Command Center セキュリティソースによって生成され、検出クラスが SCC errors に設定されます。

意図しないアクション

次の検出結果のカテゴリは、意図しないアクションが原因の可能性があるエラーを示しています。

意図しないアクション
カテゴリ名	API 名	概要	重大度
`API disabled`	`API_DISABLED`	検出結果の説明: プロジェクトに必要な API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。料金ティア: プレミアムまたはスタンダードサポートされているアセット cloudresourcemanager.googleapis.com/Project バッチスキャン: 60 時間ごとこの問題を修正する	重大
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	検出結果の説明: リソース値の構成は、攻撃パスシミュレーション用に定義されていますが、環境内のリソースインスタンスと一致しません。シミュレーションでは、代わりにデフォルトの高価値リソースセットが使用されます。このエラーは、次のいずれかの原因が考えられます。どのリソース値の構成も、どのリソースインスタンスとも一致しない。 `NONE` を指定する 1 つ以上のリソース値の構成が、他のすべての有効な構成をオーバーライドする。定義済みのすべてのリソース値の構成で、`NONE` の値が指定されている。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organizations バッチスキャン: すべての攻撃パスシミュレーションの前。この問題を修正する	重大
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	検出結果の説明: 最後の攻撃パスシミュレーションで、リソース値の構成で識別される高価値リソースのインスタンス数が、高価値リソースセットに含まれる 1,000 のリソースインスタンスの上限を超えています。その結果、Security Command Center は、高価値リソースセットから上限を超えるインスタンスを除外しました。一致するインスタンスの合計数とセットから除外されたインスタンスの合計数は、 Google Cloud コンソールの `SCC Error` の検出結果に記載されています。除外されたリソースインスタンスに影響する検出結果に対する攻撃の発生可能性スコアは、リソースインスタンスの高価値の指定を反映していません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organizations バッチスキャン: すべての攻撃パスシミュレーションの前。この問題を修正する	高
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	検出結果の説明: 必要なコンテナイメージを `gcr.io`（Container Registry イメージホスト）から pull（ダウンロード）できないため、クラスタで Container Threat Detection を有効にできません。このイメージは、Container Threat Detection に必要な Container Threat Detection DaemonSet をデプロイするために必要です。 Container Threat Detection DaemonSet をデプロイしようとすると、次のエラーが発生します。 `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` 料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster バッチスキャン: 30 分ごとこの問題を修正する	重大
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	検出結果の説明: Kubernetes クラスタで Container Threat Detection を有効にすることはできません。サードパーティのアドミッションコントローラにより、Container Threat Detection に必要な Kubernetes DaemonSet オブジェクトのデプロイがブロックされています。 Google Cloud コンソールで確認すると、検出結果の詳細には Container Threat Detection が Container Threat Detection DaemonSet オブジェクトをデプロイしようとしたときに Google Kubernetes Engine から返されたエラーメッセージが含まれます。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster バッチスキャン: 30 分ごとこの問題を修正する	高
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	検出結果の説明: サービスアカウントに Container Threat Detection に必要な権限がありません。検出計測の有効化、アップグレード、または無効化ができないため、Container Threat Detection が正常に機能できなくなりました。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project バッチスキャン: 30 分ごとこの問題を修正する	重大
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	検出結果の説明: クラスタの GKE のデフォルトサービスアカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。このため、クラスタで Container Threat Detection を有効にできません。料金ティア: プレミアムサポートされているアセット container.googleapis.com/Cluster バッチスキャン: 毎週この問題を修正する	高
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	検出結果の説明: Cloud Logging への継続的なエクスポート用に構成されたプロジェクトを使用できません。Security Command Center は、検出結果を Logging に送信できません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Organization バッチスキャン: 30 分ごとこの問題を修正する	高
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	検出結果の説明: Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。プロジェクトがサービス境界で保護されており、Security Command Center のサービスアカウントがその境界にアクセスできません。料金ティア: プレミアムまたはスタンダードサポートされているアセット cloudresourcemanager.googleapis.com/Project バッチスキャン: 6 時間ごとこの問題を修正する	高
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	検出結果の説明: 正しく機能するために必要な権限が Security Command Center サービスアカウントにありません。検出結果は生成されません。料金ティア: プレミアムまたはスタンダードサポートされているアセット cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project バッチスキャン: 30 分ごとこの問題を修正する	重大

詳細については、Security Command Center のエラーをご覧ください。

次のステップ

Security Command Center については、Security Command Center の概要をご覧ください。
Security Command Center を構成して、新しいセキュリティソースを追加する方法を学習する。

検出サービス コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

脆弱性検出サービス

Artifact Registry の脆弱性評価

Artifact Registry の脆弱性評価の検出結果を有効にする

Artifact Registry の脆弱性評価の検出結果を無効にする

Artifact Registry の脆弱性評価検出機能

コンソールで Artifact Registry の脆弱性評価の検出結果を表示する

データ セキュリティ ポスチャー管理の検出結果

コンソールで DSPM の検出結果を表示する

GKE セキュリティ対策ダッシュボード

コンソールで GKE セキュリティ対策ダッシュボードの検出結果を表示する

IAM Recommender

IAM Recommender の検出結果を有効または無効にする

IAM Recommender 検出機能

IAM role has excessive permissions

Service agent role replaced with basic role

Service agent granted basic role

Unused IAM role

コンソールで IAM Recommender の検出結果を表示する

Mandiant Attack Surface Management

コンソールで Mandiant Attack Surface Management の検出結果を確認する

Model Armor

Model Armor サービスによる脆弱性の検出

Floor settings violation

Notebook Security Scanner

Policy Controller

リスクエンジン

Security Health Analytics

セキュリティ対策サービス

セキュリティ対策サービスの検出結果

SHA Canned Module Drifted

SHA Custom Module Drifted

SHA Custom Module Deleted

Org Policy Canned Constraint Drifted

Org Policy Canned Constraint Deleted

Org Policy Custom Constraint Drifted

Org Policy Custom Constraint Deleted

Sensitive Data Protection

Sensitive Data Protection 検出サービスによる脆弱性の検出

Public sensitive data

Secrets in environment variables

Secrets in storage

Sensitive Data Protection 検出サービスによる構成ミスの検出

Sensitive data CMEK disabled

Sensitive Data Protection からのモニタリング結果

検出サービスからのモニタリング結果

Sensitive Data Protection 検査サービスによるモニタリング結果

コンソールで Sensitive Data Protection の検出結果を確認する

VM Manager

OS vulnerability

AWS の脆弱性評価

Google Cloudの脆弱性評価

Web Security Scanner

マネージド スキャン

カスタム スキャン

検出機能とコンプライアンス

脅威検出サービス

異常検出

Account has leaked credentials

アカウントの認証情報の漏洩

JSON: 漏洩したアカウント認証情報の検出

Container Threat Detection

Event Threat Detection

データの破棄

データの引き出し

Cloud SQL の不審なアクティビティ

AlloyDB for PostgreSQL の不審なアクティビティ

ブルート フォース SSH

クリプトマイニング

IAM の不正使用

システム復旧の抑制

Log4j

マルウェア

送信 DoS

異常アクセス

異常な IAM 動作

サービス アカウントの自己調査

Compute Engine 管理者による SSH 認証鍵の追加

Compute Engine 管理者による起動スクリプトの追加

不審なアカウントのアクティビティ

検出サービス

データセキュリティポスチャー管理の検出結果

`IAM role has excessive permissions`

`Service agent role replaced with basic role`

`Service agent granted basic role`

`Unused IAM role`

`Floor settings violation`

`SHA Canned Module Drifted`

`SHA Custom Module Drifted`

`SHA Custom Module Deleted`

`Org Policy Canned Constraint Drifted`

`Org Policy Canned Constraint Deleted`

`Org Policy Custom Constraint Drifted`

`Org Policy Custom Constraint Deleted`

`Public sensitive data`

`Secrets in environment variables`

`Secrets in storage`

`Sensitive data CMEK disabled`

`OS vulnerability`

マネージドスキャン

カスタムスキャン

`Account has leaked credentials`

ブルートフォース SSH

サービスアカウントの自己調査

シングルサインオン（SSO）の変更

ラテラルムーブメント

`Execution: Cryptocurrency Mining Hash Match`

`Execution: Cryptocurrency Mining YARA Rule`

`Execution: Cryptocurrency Mining Combined Detection`

カーネルモードルートキットの脅威の検出

`Defense Evasion: Rootkit`

`Defense Evasion: Unexpected kernel read-only data modification`

`Defense Evasion: Unexpected ftrace handler`

`Defense Evasion: Unexpected interrupt handler`

`Defense Evasion: Unexpected kernel modules`

`Defense Evasion: Unexpected kprobe handler`

`Defense Evasion: Unexpected processes in runqueue`

`Defense Evasion: Unexpected system call handler`

`API disabled`

`Attack path simulation: no resource value configs match any resources`

`Attack path simulation: resource value assignment limit exceeded`

`Container Threat Detection Image Pull Failure`

`Container Threat Detection Blocked By Admission Controller`

`Container Threat Detection service account missing permissions`

`GKE service account missing permissions`

`Misconfigured Cloud Logging Export`

`VPC Service Controls Restriction`

`Security Command Center service account missing permissions`