セキュリティ グラフは、ノードを使用してアセット、ID、アプリケーション、データなどのクラウド リソースを識別するグラフ データベースです。グラフのエッジにより、検出ルールに従ったこれらのリソース間のリスク関係が決定されます。関係のリスクが検出されると、セキュリティ グラフによって問題が生成されます。
Security Command Center は、事前定義されたセキュリティ グラフのルールを使用して、リソースを侵害する可能性のある問題を特定します。
次の表に、これらのルールを定義します。
| ルール | 説明 |
|---|---|
| GCE インスタンス: リスクの高い CVE、SA の権限借用による高価値リソースへのアクセス | 重要なリソースへのアクセス権を持つサービス アカウント(SA)の権限を借用できる高リスクの CVE が Compute Engine インスタンスで検出されました。この脆弱性により、権限昇格のリスクと機密データやシステムへの不正アクセスのリスクが高まります。 |
| GCE インスタンス: 高リスクの CVE、SA の権限借用による機密データを含むリソースへのアクセス | リスクの高い CVE を含む Compute Engine インスタンスが、サービス アカウント(SA)の権限借用を利用して機密データを含むリソースにアクセスしています。この脆弱性により、不正なデータアクセス、権限昇格、潜在的なデータ侵害のリスクが高まります。 |
| GCE インスタンス: リスクの高い CVE、高価値リソースへの直接アクセス | リスクの高い CVE を含む Compute Engine インスタンスは、価値の高いリソースに直接アクセスできるため、不正使用、不正アクセス、データ侵害が発生する可能性が高くなります。 |
| GCE インスタンス: リスクの高い CVE、機密データを含むリソースへの直接アクセス | リスクの高い CVE を含む Compute Engine インスタンスが、機密データを含むリソースに直接アクセスできます。この脆弱性により、不正アクセス、データ侵害、権限昇格のリスクが高まります。 |
| 外部に公開されている GCE インスタンス: リスクの高い CVE、脆弱性を利用した不正プログラムが利用可能 | Compute Engine インスタンスが外部に公開され、既知の脆弱性利用型不正プログラムによる高リスクの CVE の影響を受けています。これにより、リモート攻撃、不正アクセス、システム侵害のリスクが大幅に高まります。 |
| GCE インスタンス: リスクの高い CVE、SA の権限を借用する能力 | Compute Engine インスタンスがリスクの高い CVE の影響を受けており、別のサービス アカウント(SA)の権限を借用する能力があります。これにより、権限昇格、不正アクセス、重要なクラウド リソースに関する潜在的な侵害のリスクが大幅に高まります。 |
| GCE インスタンス: 高リスクの CVE、過剰な直接アクセス許可 | リスクの高い CVE を含む Compute Engine インスタンスに、別のリソースに対する過剰な直接アクセス許可があるため、不正アクセス、権限昇格、リソースの侵害のリスクが高まります。 |
| GCE インスタンス: 高リスクの CVE、SA 権限借用による過剰なアクセス許可 | 高リスクの CVE を含む Compute Engine インスタンスが、サービス アカウント(SA)の権限借用によって別のリソースに対する過剰なアクセス許可を持っているため、権限昇格と不正アクセスのリスクが高まります。 |
| 外部に公開されている GKE ワークロード: リスクの高い CVE、脆弱性を利用した不正プログラムが利用可能 | Google Kubernetes Engine(GKE)ワークロードが外部に公開され、既知の脆弱性利用型不正プログラムによる高リスクの CVE の影響を受けています。これにより、リモート攻撃、不正アクセス、システム侵害のリスクが大幅に高まります。 |
| GKE ノードプール: 高リスクの公開情報、SA の権限借用による高価値リソースへのアクセス | GKE ノードプールには、価値の高いリソースへのアクセス権を付与するサービス アカウント(SA)の権限を借用する能力があります。これにより、権限昇格、不正アクセス、データ侵害のリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、SA の権限借用による機密データを含むリソースへのアクセス | GKE ノードプールには、機密データを含むリソースへのアクセス権を付与するサービス アカウント(SA)の権限を借用する能力があります。これにより、不正アクセス、データ侵害、権限昇格のリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、高価値リソースへの直接アクセス権 | GKE ノードプールが価値の高いリソースに直接アクセスできるため、不正アクセス、権限昇格、潜在的なデータ漏洩のリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、機密データを含むリソースへの直接アクセス | GKE ノードプールは機密データを含むリソースに直接アクセスできるため、不正アクセス、データ侵害、権限昇格のリスクが高まります。 |
| 外部に公開された GKE ノードプール: 高リスクの公開情報 | GKE ノードプールが外部に公開され、リスクの高い CVE の影響を受けています。これにより、リモート攻撃、不正アクセス、システム侵害のリスクが大幅に高まります。 |
| GKE ノードプール: 高リスクの公開情報、SA の権限を借用する能力 | 別のサービス アカウント(SA)の権限を借用する権限を持つ GKE ノードプールに高リスクの公開情報があります。これにより、権限昇格や重要なリソースへの不正アクセスが発生するリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、過剰な直接アクセス許可 | 別のリソースに対する過剰なアクセス許可がある GKE ノードプールに高リスクの公開情報があるため、意図しないアクセス権が付与されます。これにより、権限昇格、不正アクセス、データ漏洩のリスクが高まります。 |
| GKE ノードプール: 高リスクの公開情報、SA の権限借用による過剰なアクセス許可 | GKE ノードプールに高リスクの公開情報があり、サービス アカウント(SA)の権限借用によって別のリソースに対する過剰なアクセス許可があるため、権限昇格と不正アクセスのリスクが高まっています。 |
| ローテーションされていない鍵を持つサービス アカウントに過剰なアクセス許可がある | サービス アカウントが、有効期間が長くローテーションされていない鍵と過剰なアクセス許可を使用しているため、認証情報の漏洩、不正アクセス、権限昇格のリスクが高まっています。 |
| ユーザー管理の鍵を持つサービス アカウントに過剰なアクセス許可がある | ユーザー管理の鍵と過剰なアクセス許可を持つサービス アカウントにより認証情報の漏洩と権限昇格のリスクが高まります。 |
| CVE-2025-49844(脆弱性を利用した不正プログラムが利用可能、Redis の重大なリモートコード実行)の脆弱性がある外部公開 GKE ワークロード | CVE-2025-49844(既知の脆弱性利用型不正プログラムによる重大なリモートコード実行の不具合)の脆弱性がある Redis を実行している外部に公開された GKE ワークロードを特定します。 |
| CVE-2025-49844(脆弱性を利用した不正プログラムが利用可能、Redis の重大なリモートコード実行)の脆弱性がある外部に公開されている GCE インスタンス | CVE-2025-49844(既知の脆弱性利用型不正プログラムによる重大なリモートコード実行の不具合)の脆弱性がある Redis を実行している外部に公開されている GCE インスタンスを特定します。 |
| CVE-2025-32433(Erlang SSH の重大な RCE)の脆弱性がある外部に公開されている GKE ワークロード | CVE-2025-32433(攻撃者が積極的に悪用している重大なリモートコード実行の不具合)の脆弱性がある Erlang SSH を実行している外部に公開されている GKE ワークロードを特定します。 |
| CVE-2025-32433(Erlang SSH の重大な RCE)の脆弱性がある外部に公開されている GCE インスタンス | CVE-2025-32433(攻撃者が積極的に悪用している重大なリモートコード実行の不具合)の脆弱性がある Erlang SSH を実行している外部に公開されている GCE インスタンスを特定します。 |
| CVE-2023-46604(Apache ActiveMQ の重大な RCE、悪用された in the wild)の脆弱性がある外部に公開された GKE ワークロード | CVE-2023-46604(OpenWire プロトコルの重大なリモートコード実行の不具合)の脆弱性がある Apache ActiveMQ を実行している外部に公開された GKE ワークロードを特定します。この不具合は攻撃者によって積極的に悪用されています。 |
| CVE-2023-46604(Apache ActiveMQ の重大な RCE、悪用された in the wild)の脆弱性がある外部に公開された GCE インスタンス | CVE-2023-46604(OpenWire プロトコルの重大なリモートコード実行の不具合)の脆弱性がある Apache ActiveMQ を実行している外部に公開された GCE インスタンスを特定します。この不具合は攻撃者によって積極的に悪用されています。 |
| 既知の脆弱性利用型不正プログラムによる CVE-2025-32463(Sudo)の脆弱性がある GCE インスタンス | CVE-2025-32463(既知の脆弱性利用型不正プログラムによる Sudo のローカル権限昇格の不具合)の脆弱性がある GCE インスタンスを特定します。 |
| 重大な Nvidia Container Toolkit CVE(CVE-2025-23266)の脆弱性がある GCE インスタンス | CVE-2025-23266(NVIDIA Container Toolkit の重大な権限昇格の不具合)の脆弱性がある GPU ワークロードを使用している GCE インスタンスを特定します。 |
| 高リスクの CVE-2025-59287(悪用された in the wild、WSUS での重大なリモートコード実行)の脆弱性がある外部に公開されている GCE インスタンス | CVE-2025-59287(攻撃者が積極的に悪用している重大なリモートコード実行の不具合)の脆弱性がある Windows WSUS を実行している外部に公開されている GCE インスタンスを特定します。 |