Security Command Center には、クラウド環境全体の脅威、脆弱性、構成ミスを特定するための組み込みの検出ルールが用意されています。このドキュメントでは、セキュリティ グラフと Correlated Threats の事前定義ルールについて説明します。
他の組み込みサービスのルールと検出結果については、 Event Threat Detection のルールと VM Threat Detection の検出結果をご覧ください。
事前定義されたセキュリティ グラフのルール
セキュリティ グラフは、ノードを使用してアセット、ID、アプリケーション、データなどのクラウド リソースを識別します。グラフのエッジは、検出ルールに従ったこれらのリソース間のリスク関係を表します。関係のリスクが検出されると、セキュリティ グラフによって問題が生成されます。
Security Command Center は、事前定義されたセキュリティ グラフのルールを使用して、リソースを侵害する可能性のある問題を特定します。
次の表に、これらのルールを定義します。作成された問題は、 [リスク> 問題] ダッシュボードで調査します。
| ルール | 説明 |
|---|---|
| GCE インスタンス: リスクの高い CVE、SA の権限借用による高価値リソースへのアクセス | 重要なリソースへのアクセス権を持つサービス アカウント(SA)の権限を借用できる高リスクの CVE が Compute Engine インスタンスで検出されました。この脆弱性により、権限昇格のリスクと機密データやシステムへの不正アクセスのリスクが高まります。 |
| GCE インスタンス: 高リスクの CVE、SA の権限借用による機密データを含むリソースへのアクセス | リスクの高い CVE を含む Compute Engine インスタンスが、サービス アカウント(SA)の権限借用を利用して機密データを含むリソースにアクセスしています。この脆弱性により、不正なデータアクセス、権限昇格、潜在的なデータ侵害のリスクが高まります。 |
| GCE インスタンス: リスクの高い CVE、高価値リソースへの直接アクセス | リスクの高い CVE を含む Compute Engine インスタンスは、価値の高いリソースに直接アクセスできるため、不正使用、不正アクセス、データ侵害が発生する可能性が高くなります。 |
| GCE インスタンス: リスクの高い CVE、機密データを含むリソースへの直接アクセス | リスクの高い CVE を含む Compute Engine インスタンスが、機密データを含むリソースに直接アクセスできます。この脆弱性により、不正アクセス、データ侵害、権限昇格のリスクが高まります。 |
| 外部に公開されている GCE インスタンス: リスクの高い CVE、脆弱性を利用した不正プログラムが利用可能 | Compute Engine インスタンスが外部に公開され、既知の脆弱性利用型不正プログラムによる高リスクの CVE の影響を受けています。これにより、リモート攻撃、不正アクセス、システム侵害のリスクが大幅に高まります。 |
| GCE インスタンス: リスクの高い CVE、SA の権限を借用する能力 | Compute Engine インスタンスがリスクの高い CVE の影響を受けており、別のサービス アカウント(SA)の権限を借用する能力があります。これにより、権限昇格、不正アクセス、重要なクラウド リソースに関する潜在的な侵害のリスクが大幅に高まります。 |
| GCE インスタンス: 高リスクの CVE、過剰な直接アクセス許可 | リスクの高い CVE を含む Compute Engine インスタンスに、別のリソースに対する過剰な直接アクセス許可があるため、不正アクセス、権限昇格、リソースの侵害のリスクが高まります。 |
| GCE インスタンス: 高リスクの CVE、SA 権限借用による過剰なアクセス許可 | 高リスクの CVE を含む Compute Engine インスタンスが、サービス アカウント(SA)の権限借用によって別のリソースに対する過剰なアクセス許可を持っているため、権限昇格と不正アクセスのリスクが高まります。 |
| 外部に公開されている GKE ワークロード: リスクの高い CVE、脆弱性を利用した不正プログラムが利用可能 | GKE ワークロードが外部に公開され、既知の脆弱性利用型不正プログラムによる高リスクの CVE の影響を受けています。これにより、リモート攻撃、不正アクセス、システム侵害のリスクが大幅に高まります。 |
| GKE ノードプール: 高リスクの公開情報、SA の権限借用による高価値リソースへのアクセス | GKE ノードプールには、価値の高いリソースへのアクセス権を付与するサービス アカウント(SA)の権限を借用する能力があります。これにより、権限昇格、不正アクセス、データ侵害のリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、SA の権限借用による機密データを含むリソースへのアクセス | GKE ノードプールには、機密データを含むリソースへのアクセス権を付与するサービス アカウント(SA)の権限を借用する能力があります。これにより、不正アクセス、データ侵害、権限昇格のリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、高価値リソースへの直接アクセス権 | GKE ノードプールが価値の高いリソースに直接アクセスできるため、不正アクセス、権限昇格、潜在的なデータ漏洩のリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、機密データを含むリソースへの直接アクセス | GKE ノードプールは機密データを含むリソースに直接アクセスできるため、不正アクセス、データ侵害、権限昇格のリスクが高まります。 |
| 外部に公開された GKE ノードプール: 高リスクの公開情報 | GKE ノードプールが外部に公開され、リスクの高い CVE の影響を受けています。これにより、リモート攻撃、不正アクセス、システム侵害のリスクが大幅に高まります。 |
| GKE ノードプール: 高リスクの公開情報、SA の権限を借用する能力 | 別のサービス アカウント(SA)の権限を借用する権限を持つ GKE ノードプールに高リスクの公開情報があります。これにより、権限昇格や重要なリソースへの不正アクセスが発生するリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、過剰な直接アクセス許可 | 別のリソースに対する過剰なアクセス許可がある GKE ノードプールに高リスクの公開情報があるため、意図しないアクセス権が付与されます。これにより、権限昇格、不正アクセス、データ漏洩のリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、SA の権限借用による過剰なアクセス許可 | GKE ノードプールに高リスクの公開情報があり、サービス アカウント(SA)の権限借用によって別のリソースに対する過剰なアクセス許可があるため、権限昇格と不正アクセスのリスクが高まっています。 |
| ローテーションされていない鍵を持つサービス アカウントに過剰なアクセス許可がある | サービス アカウントが、有効期間が長くローテーションされていない鍵と過剰なアクセス許可を使用しているため、認証情報の漏洩、不正アクセス、権限昇格のリスクが高まっています。 |
| ユーザー管理の鍵を持つサービス アカウントに過剰なアクセス許可がある | ユーザー管理の鍵と過剰なアクセス許可を持つサービス アカウントにより認証情報の漏洩と権限昇格のリスクが高まります。 |
| CVE-2025-49844(脆弱性を利用した不正プログラムが利用可能、Redis の重大なリモートコード実行)の脆弱性がある外部公開 GKE ワークロード | CVE-2025-49844(既知の脆弱性利用型不正プログラムによる重大なリモートコード実行の不具合)の脆弱性がある Redis を実行している外部に公開された GKE ワークロードを特定します。 |
| CVE-2025-49844(脆弱性を利用した不正プログラムが利用可能、Redis の重大なリモートコード実行)の脆弱性がある外部に公開されている GCE インスタンス | CVE-2025-49844(既知の脆弱性利用型不正プログラムによる重大なリモートコード実行の不具合)の脆弱性がある Redis を実行している外部に公開されている GCE インスタンスを特定します。 |
| CVE-2025-32433(Erlang SSH の重大な RCE)の脆弱性がある外部に公開されている GKE ワークロード | CVE-2025-32433(攻撃者が積極的に悪用している重大なリモートコード実行の不具合)の脆弱性がある Erlang SSH を実行している外部に公開されている GKE ワークロードを特定します。 |
| CVE-2025-32433(Erlang SSH の重大な RCE)の脆弱性がある外部に公開されている GCE インスタンス | CVE-2025-32433(攻撃者が積極的に悪用している重大なリモートコード実行の不具合)の脆弱性がある Erlang SSH を実行している外部に公開されている GCE インスタンスを特定します。 |
| CVE-2023-46604(Apache ActiveMQ の重大な RCE、悪用された in the wild)の脆弱性がある外部に公開された GKE ワークロード | CVE-2023-46604(OpenWire プロトコルの重大なリモートコード実行の不具合)の脆弱性がある Apache ActiveMQ を実行している外部に公開された GKE ワークロードを特定します。この不具合は攻撃者によって積極的に悪用されています。 |
| CVE-2023-46604(Apache ActiveMQ の重大な RCE、悪用された in the wild)の脆弱性がある外部に公開された GCE インスタンス | CVE-2023-46604(OpenWire プロトコルの重大なリモートコード実行の不具合)の脆弱性がある Apache ActiveMQ を実行している外部に公開された GCE インスタンスを特定します。この不具合は攻撃者によって積極的に悪用されています。 |
| 既知の脆弱性利用型不正プログラムによる CVE-2025-32463(Sudo)の脆弱性がある GCE インスタンス | CVE-2025-32463(既知の脆弱性利用型不正プログラムによる Sudo のローカル権限昇格の不具合)の脆弱性がある GCE インスタンスを特定します。 |
| 重大な Nvidia Container Toolkit CVE(CVE-2025-23266)の脆弱性がある GCE インスタンス | CVE-2025-23266(NVIDIA Container Toolkit の重大な権限昇格の不具合)の脆弱性がある GPU ワークロードを使用している GCE インスタンスを特定します。 |
| 高リスクの CVE-2025-59287(悪用された in the wild、WSUS での重大なリモートコード実行)の脆弱性がある外部に公開されている GCE インスタンス | CVE-2025-59287(攻撃者が積極的に悪用している重大なリモートコード実行の不具合)の脆弱性がある Windows WSUS を実行している外部に公開されている GCE インスタンスを特定します。 |
| Vertex AI Workbench: リスクの高い CVE | Gemini Enterprise Agent Platform Workbench インスタンスで高リスクの CVE が検出されました。この脆弱性により、開発環境への不正アクセス のリスクが高まり、トレーニング データと モデルのソースコードがデータ漏洩にさらされる可能性があります。 |
| Vertex AI Workbench: リスクの高い CVE、過剰な権限 | 高リスクの CVE を含む Vertex AI Workbench インスタンスが、 過剰な権限を持つサービス アカウントを使用しています。この組み合わせにより、攻撃者は 脆弱性を悪用して権限を昇格させ、他のクラウド リソースを侵害する可能性があります。 |
| Agent Runtime: リスクの高い CVE、SA の権限借用による高価値リソースへのアクセス権を持つ SA ID | 重要なリソースへのアクセス権を持つサービス アカウントの権限を借用できる、Agent Runtime にデプロイされた AI エージェントで高リスクの CVE が検出されました。この脆弱性 により、権限昇格のリスクとセンシティブ データやシステムへの不正アクセス のリスクが高まります。 |
| Agent Runtime: リスクの高い CVE、SA の権限借用によるセンシティブ データを含むリソースへのアクセス権を持つ SA ID | 高リスクの CVE を含む Agent Runtime にデプロイされた AI エージェントは、サービス アカウント(SA)の権限借用によってセンシティブ データを含むリソースにアクセスできます。この脆弱性により、不正なデータアクセス、権限昇格、潜在的なデータ侵害のリスクが高まります。 |
| Agent Runtime: リスクの高い CVE、高価値リソースへの 直接アクセス権を持つ SA ID | 高リスクの CVE を含む Agent Runtime にデプロイされた AI エージェントは、価値の高いリソースに直接アクセスできるため、不正使用、不正アクセス、データ侵害が発生する可能性が高くなります。 |
| Agent Runtime: リスクの高い CVE、センシティブ データを含むリソースへの 直接アクセス権を持つ SA ID | 高リスクの CVE を含む Agent Runtime にデプロイされた AI エージェントは、センシティブ データを含むリソースに直接アクセスできます。この 脆弱性により、不正アクセス、データ侵害、 権限昇格のリスクが高まります。 |
| Agent Runtime: リスクの高い CVE、過剰な直接アクセス許可を持つ SA ID | 高リスクの CVE を含む Agent Runtime にデプロイされた AI エージェントに、別のリソースに対する過剰な直接アクセス許可があるため、不正アクセス、権限昇格、リソースの侵害のリスクが高まります。 |
| Agent Runtime: リスクの高い CVE、SA の権限借用による過剰なアクセス許可を持つ SA ID | 高リスクの CVE を含む Agent Runtime にデプロイされた AI エージェントが、サービス アカウント(SA)の権限借用によって別のリソースに対する過剰なアクセス許可を持っているため、権限昇格 と不正アクセスのリスクが高まります。 |
| Agent Runtime: リスクの高い CVE、SA の権限を借用する能力を持つ SA ID | 高リスクの CVE を含む Agent Runtime にデプロイされた AI エージェントは、別のサービス アカウントの権限を借用できます。これにより、権限昇格、不正アクセス、重要なクラウド リソースに関する潜在的な侵害のリスクが大幅に高まります。 |
| Cloud Storage バケット: Agent Runtime デプロイに使用される一般公開バケット | 一般公開されている Cloud Storage バケットを使用して、AI エージェントを Agent Runtime にデプロイしました。これにより、 エージェント コードの漏洩とエージェントのポイズニングのリスクが高まります。 |
Correlated Threats のルール
Correlated Threats は、クラウド リソース全体でのさまざまな多段階攻撃パターンの特定に役立ちます。次の表に、使用可能な Correlated Threats のルールを定義します。
| ルール | 説明 |
|---|---|
| 暗号通貨マイニング ソフトウェアの複数の相関性のある脅威シグナル |
Compute Engine VM や Google Kubernetes Engine(GKE)ノード(およびその Pod)など、
Google Cloud 仮想マシンから発信される悪意のあるソフトウェアの複数の異なるシグナルを探します。
以下に例を示します。
|
| 悪意のあるソフトウェアの複数の相関性のある脅威シグナル |
Compute Engine VM や GKE ノード(およびその Pod)または Agent Runtime など、仮想マシンから発信される悪意のあるソフトウェアの複数の異なるシグナルを探します。 Google Cloud 以下に例を示します。
|
| 侵害された可能性のある GCP アカウントから侵害されたコンピューティング リソースへのラテラル ムーブメント |
VM または Pod を変更するコンピューティング API(Compute Engine または
GKE)への不審な呼び出しの証拠を探します。このルールは、そのアクティビティを
短期間内にコンピューティング リソースから発生した悪意のあるアクティビティと相互に関連付けます。
攻撃者はこのラテラル ムーブメント パターンをよく使用します。このルールは、VM または
Pod が不正使用されている可能性が高いことを示します。このルールは、 Google Cloud アカウント
(ユーザー アカウントまたはサービス アカウント)が悪意のあるアクティビティの原因である可能性も示しています。
以下に例を示します。
|