このページは Cloud Translation API によって翻訳されました。

脆弱性の検出結果

Security Health Analytics と Web Security Scanner 検出器によって、Security Command Center で利用可能な脆弱性の検出結果が生成されます。VM Manager などの統合サービスでも、Security Command Center で有効にすると脆弱性の検出結果が生成されます。

検出結果を表示および編集できるかどうかは、割り当てられている Identity and Access Management（IAM）のロールと権限によって決まります。Security Command Center の IAM ロールの詳細については、アクセス制御をご覧ください。

検出機能とコンプライアンス

Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。

サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。

CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンスマッピングは参考用として含まれています。

Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。

セキュリティポスチャーサービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。

コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。

サポートされているセキュリティ標準

Google Cloud

Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。

Center for Information Security（CIS）Controls 8.0
CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
CIS Kubernetes Benchmark v1.5.1
Cloud Controls Matrix（CCM）4
HIPAA（医療保険の相互運用性と説明責任に関する法律）
国際標準化機構（ISO）27001、2022、2013
国立標準技術研究所（NIST）800-53 R5 および R4
NIST CSF 1.0
Open Web Application Security Project（OWASP）トップ 10（2021 および 2017）
Payment Card Industry データセキュリティ基準（PCI DSS）4.0 および 3.2.1
System and Organization Controls（SOC）2 2017 年 Trusted Services Criteria（TSC）

AWS

Security Command Center は、Amazon Web Services（AWS）の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。

CIS Amazon Web Services Foundations 2.0.0
CIS Controls 8.0
CCM 4
HIPAA
ISO 27001 2022
NIST 800-53 R5
NIST CSF 1.0
PCI DSS 4.0 および 3.2.1
SOC 2 2017 TSC

コンプライアンスレポートを表示およびエクスポートする手順については、Google Cloud コンソールでの Security Command Center の使用のコンプライアンスのセクションをご覧ください。

修復後の検出結果の無効化

脆弱性または構成ミスの検出結果を修正した後、検出結果を検出した Security Command Center サービスは、次に検出サービスが検出結果をスキャンするときに、検出結果の状態を自動的に INACTIVE に設定します。Security Command Center で修正された検出結果を INACTIVE に設定するのに要する時間は、検出結果を検出するスキャンのスケジュールによって異なります。

検出結果に関連するリソースが削除されたことをスキャンで検出した場合も、Security Command Center サービスは脆弱性または構成ミスの検出結果の状態を INACTIVE に設定します。

スキャン間隔の詳細については、次のトピックをご覧ください。

Security Health Analytics の検出結果

Security Health Analytics の検出機能は、Cloud Asset Inventory（CAI）のリソースのサブセットをモニタリングし、リソースと Identity and Access Management（IAM）ポリシーの変更について通知を受信します。一部の検出機能では、このページの後の部分の表に示すように、Google Cloud APIs を直接呼び出してデータを取得します。

Security Health Analytics、スキャンスケジュール、組み込みとカスタムの両方のモジュール検出器の Security Health Analytics サポートの詳細については、Security Health Analytics の概要をご覧ください。

次の表に、Security Health Analytics の検出機能、サポートするアセットとコンプライアンスの基準、スキャンに使用する設定、生成する検出結果のタイプを示します。Google Cloud コンソールの Security Command Center の [脆弱性] ページでは、さまざまな属性で検出結果をフィルタリングできます。

問題を修正し、リソースを保護する手順については、Security Health Analytics の検出結果の修正をご覧ください。

API キーの脆弱性の検出

API_KEY_SCANNER 検出項目は、クラウドのデプロイで使用される API キーに関連する脆弱性を識別します。

検出項目概要アセットのスキャン設定

検出項目	概要	アセットのスキャン設定
`API key APIs unrestricted` API のカテゴリ名: `API_KEY_APIS_UNRESTRICTED`	検出結果の説明: 過度に広範囲にわたって使用されている API キーが存在します。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 1.12 CIS GCP Foundation 1.1: 1.14 CIS GCP Foundation 1.2: 1.14 CIS GCP Foundation 1.3: 1.14 CIS GCP Foundation 2.0: 1.14 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	プロジェクト内のすべての API キーの `restrictions` プロパティを取得し、いずれかのプロパティが `cloudapis.googleapis.com` に設定されているかどうかを確認します。リアルタイムスキャン: なし
`API key apps unrestricted` API のカテゴリ名: `API_KEY_APPS_UNRESTRICTED`	検出結果の説明: 無制限に使用できる API キー（信頼できないアプリによる使用が制限されていない API キー）が存在します。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 1.11 CIS GCP Foundation 1.1: 1.13 CIS GCP Foundation 1.2: 1.13 CIS GCP Foundation 1.3: 1.13 CIS GCP Foundation 2.0: 1.13	プロジェクト内のすべての API キーの `restrictions` プロパティを取得し、`browserKeyRestrictions`、`serverKeyRestrictions`、`androidKeyRestrictions`、または `iosKeyRestrictions` が設定されているかどうかを確認します。リアルタイムスキャン: なし
`API key exists` API のカテゴリ名: `API_KEY_EXISTS`	検出結果の説明: プロジェクトで標準認証ではなく API キーが使用されています。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 1.10 CIS GCP Foundation 1.1: 1.12 CIS GCP Foundation 1.2: 1.12 CIS GCP Foundation 1.3: 1.12 CIS GCP Foundation 2.0: 1.12 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	プロジェクトが所有するすべての API キーを取得します。リアルタイムスキャン: なし
`API key not rotated` API のカテゴリ名: `API_KEY_NOT_ROTATED`	検出結果の説明: API キーが 90 日以上ローテーションされていません。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 1.13 CIS GCP Foundation 1.1: 1.15 CIS GCP Foundation 1.2: 1.15 CIS GCP Foundation 1.3: 1.15 CIS GCP Foundation 2.0: 1.15 NIST 800-53 R5: PL-8, SA-8 PCI-DSS v4.0: 2.2.2, 6.2.1 ISO-27001 v2022: A.8.27 Cloud Controls Matrix 4: DSP-07 NIST Cybersecurity Framework 1.0: PR-IP-2 CIS Controls 8.0: 16.10	すべての API キーの `createTime` プロパティに含まれるタイムスタンプを取得し、90 日間経過しているかどうかを確認します。リアルタイムスキャン: なし

API key APIs unrestricted

API のカテゴリ名: API_KEY_APIS_UNRESTRICTED

検出結果の説明: 過度に広範囲にわたって使用されている API キーが存在します。この問題を解決するには、アプリケーションで必要な API のみを許可するように API キーの使用を制限します。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

検出項目	概要	アセットのスキャン設定
`KMS key not rotated` API のカテゴリ名: `KMS_KEY_NOT_ROTATED`	検出結果の説明: Cloud KMS 暗号鍵にローテーションが構成されていません。暗号鍵は 90 日以内にローテーションする必要があります。料金階層: プレミアムサポートされているアセット cloudkms.googleapis.com/CryptoKey この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 1.8 CIS GCP Foundation 1.1: 1.10 CIS GCP Foundation 1.2: 1.10 CIS GCP Foundation 1.3: 1.10 CIS GCP Foundation 2.0: 1.10 NIST 800-53 R4: SC-12 NIST 800-53 R5: IA-5, SC-28 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2 ISO-27001 v2013: A.10.1.2 ISO-27001 v2022: A.5.33 Cloud Controls Matrix 4: CEK-03 NIST Cybersecurity Framework 1.0: PR-DS-1 SOC2 v2017: CC6.1.10, CC6.1.3 HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii) CIS Controls 8.0: 3.11	リソースメタデータで `rotationPeriod` プロパティまたは `nextRotationTime` プロパティが存在するかどうかを確認します。スキャン対象外のアセット: 非対称鍵、メインバージョンが無効化または破棄されたキーリアルタイムスキャン: あり
`KMS project has owner` API のカテゴリ名: `KMS_PROJECT_HAS_OWNER`	検出結果の説明: 暗号鍵が含まれるプロジェクトに対するオーナー権限がユーザーに付与されています。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.1: 1.11 CIS GCP Foundation 1.2: 1.11 CIS GCP Foundation 1.3: 1.11 CIS GCP Foundation 2.0: 1.11 NIST 800-53 R4: AC-6, SC-12 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v3.2.1: 3.5 PCI-DSS v4.0: 1.3.1 ISO-27001 v2013: A.10.1.2, A.9.2.3 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	プロジェクトメタデータの IAM 許可ポリシーで、`roles/Owner` を割り当てられたプリンシパルを確認します。追加入力: ストレージからプロジェクトの暗号鍵を読み取り、暗号鍵を持つプロジェクトの検出結果のみを報告します。リアルタイムスキャン: あり。ただし、IAM 許可ポリシーの変更のみが対象（KMS 鍵の変更は対象外）
`KMS public key` API のカテゴリ名: `KMS_PUBLIC_KEY`	検出結果の説明: Cloud KMS 暗号鍵は一般公開されています。料金階層: プレミアムサポートされているアセット cloudkms.googleapis.com/CryptoKey cloudkms.googleapis.com/KeyRing この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.1: 1.9 CIS GCP Foundation 1.2: 1.9 CIS GCP Foundation 1.3: 1.9 CIS GCP Foundation 2.0: 1.9 NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2 PCI-DSS v4.0: 1.3.1 ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4 Cloud Controls Matrix 4: DSP-17 NIST Cybersecurity Framework 1.0: PR-AC-4 SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7 HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1) CIS Controls 8.0: 3.3	リソースメタデータの IAM 許可ポリシーで、公開アクセス権を付与するプリンシパル `allUsers` または `allAuthenticatedUsers` を確認します。リアルタイムスキャン: あり
`Too many KMS users` API のカテゴリ名: `TOO_MANY_KMS_USERS`	検出結果の説明: 暗号鍵のユーザーが 3 人を超えています。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudkms.googleapis.com/CryptoKey この問題を修正するコンプライアンス標準: PCI-DSS v3.2.1: 3.5.2 ISO-27001 v2013: A.9.2.3	IAM 許可ポリシーでキーリング、プロジェクト、組織を確認し、Cloud KMS 鍵を使用してデータの暗号化、復号、または署名ができるロール（`roles/owner`、`roles/cloudkms.cryptoKeyEncrypterDecrypter`、`roles/cloudkms.cryptoKeyEncrypter`、`roles/cloudkms.cryptoKeyDecrypter`、`roles/cloudkms.signer`、`roles/cloudkms.signerVerifier`）を持つプリンシパルを取得します。追加入力: ストレージから暗号鍵の暗号鍵バージョンを読み取り、アクティブなバージョンを持つ鍵についてのみ検出結果を報告します。検出機能によって、ストレージからキーリング、プロジェクト、組織の IAM 許可ポリシーも読み取られます。リアルタイムスキャン: あり

検出項目	概要	アセットのスキャン設定
`Audit config not monitored` API のカテゴリ名: `AUDIT_CONFIG_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、監査構成の変更をモニタリングするように構成されていません。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 2.5 CIS GCP Foundation 1.1: 2.5 CIS GCP Foundation 1.2: 2.5 CIS GCP Foundation 1.3: 2.5 CIS GCP Foundation 2.0: 2.5 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:` に設定されているかを確認します。`resource.type` が指定されている場合は値が `global` かどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されていることを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。リアルタイムスキャン*: なし
`Bucket IAM not monitored` API のカテゴリ名: `BUCKET_IAM_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、Cloud Storage IAM 権限の変更をモニタリングするように構成されていません。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 2.10 CIS GCP Foundation 1.1: 2.10 CIS GCP Foundation 1.2: 2.10 CIS GCP Foundation 1.3: 2.10 CIS GCP Foundation 2.0: 2.10 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されていることを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。リアルタイムスキャン: なし
`Custom role not monitored` API のカテゴリ名: `CUSTOM_ROLE_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、カスタムロールの変更をモニタリングするように構成されていません。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 2.6 CIS GCP Foundation 1.1: 2.6 CIS GCP Foundation 1.2: 2.6 CIS GCP Foundation 1.3: 2.6 CIS GCP Foundation 2.0: 2.6 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されていることを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。リアルタイムスキャン: なし
`Firewall not monitored` API のカテゴリ名: `FIREWALL_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、Virtual Private Cloud（VPC）ネットワークファイアウォールルールの変更をモニタリングするように構成されていません。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 2.7 CIS GCP Foundation 1.1: 2.7 CIS GCP Foundation 1.2: 2.7 CIS GCP Foundation 1.3: 2.7 CIS GCP Foundation 2.0: 2.7 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されていることを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。リアルタイムスキャン: なし
`Network not monitored` API のカテゴリ名: `NETWORK_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、VPC ネットワークの変更をモニタリングするように構成されていません。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 2.9 CIS GCP Foundation 1.1: 2.9 CIS GCP Foundation 1.2: 2.9 CIS GCP Foundation 1.3: 2.9 CIS GCP Foundation 2.0: 2.9 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されていることを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。リアルタイムスキャン: なし
`Owner not monitored` API のカテゴリ名: `OWNER_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、プロジェクト所有権の割り当てまたは変更をモニタリングするように構成されていません。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 2.4 CIS GCP Foundation 1.1: 2.4 CIS GCP Foundation 1.2: 2.4 CIS GCP Foundation 1.3: 2.4 CIS GCP Foundation 2.0: 2.4 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `(protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")` に設定されていることを確認します。`resource.type` が指定されている場合は、値が `global` であることを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されていることを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。リアルタイムスキャン: なし
`Route not monitored` API のカテゴリ名: `ROUTE_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、VPC ネットワークルートの変更をモニタリングするように構成されていません。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")` に設定されているかどうかを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されていることを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。リアルタイムスキャン: なし
`SQL instance not monitored` `SQL_INSTANCE_NOT_MONITORED`	検出結果の説明: ログ指標とアラートが、Cloud SQL インスタンスの構成変更をモニタリングするように構成されていません。 Security Command Center プレミアムティアをプロジェクトレベルで有効にする場合は、親組織でスタンダードティアが有効になっている場合に限りこの検出結果を利用できます。料金ティア: プレミアムサポートされているアセット cloudresourcemanager.googleapis.com/Project この問題を修正するコンプライアンス標準: CIS GCP Foundation 1.0: 2.8 CIS GCP Foundation 1.1: 2.8 CIS GCP Foundation 1.2: 2.8 CIS GCP Foundation 1.3: 2.8 CIS GCP Foundation 2.0: 2.8 NIST 800-53 R5: AU-12, AU-2, AU-7 PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2 ISO-27001 v2022: A.8.15, A.8.20 Cloud Controls Matrix 4: LOG-08 NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1 HIPAA: 164.312(b) CIS Controls 8.0: 8.2, 8.5	プロジェクトの `LogsMetric` リソースの `filter` プロパティが `protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"` に設定されていることを確認します。`resource.type` が指定されている場合は、値が `global` であることを確認します。検出機能は対応する `alertPolicy` リソースも検索し、`conditions` プロパティと `notificationChannels` プロパティが正しく構成されていることを確認します。追加の IAM 権限: `roles/monitoring.alertPolicyViewer` 追加入力: ストレージからプロジェクトのログ指標を読み取ります。Google Cloud Observability から Google Cloud Observability アカウント情報を読み取り、有効なアカウントのプロジェクトについてのみ検出結果を報告します。リアルタイムスキャン: なし

カテゴリ	検出の説明	OWASP 2017 Top 10	OWASP 2021 Top 10
`Accessible Git repository` API のカテゴリ名: `ACCESSIBLE_GIT_REPOSITORY`	Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A5	A01
`Accessible SVN repository` API のカテゴリ名: `ACCESSIBLE_SVN_REPOSITORY`	SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A5	A01
`Cacheable password input` API のカテゴリ名: `CACHEABLE_PASSWORD_INPUT`	ウェブアプリケーションに入力したパスワードは、安全なパスワードストレージではなく、通常のブラウザキャッシュに保存できます。料金ティア: Premium この問題を修正する	A3	A04
`Clear text password` API のカテゴリ名: `CLEAR_TEXT_PASSWORD`	パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A3	A02
`Insecure allow origin ends with validation` API のカテゴリ名: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	クロスサイト HTTP または HTTPS エンドポイントは、`Origin` リクエストヘッダーのサフィックスのみを検査してから、`Access-Control-Allow-Origin` レスポンスヘッダー内に反映されます。この検出結果を解決するには、想定どおりのルートドメインが `Access-Control-Allow-Origin` レスポンスヘッダーに反映される前に、`Origin` ヘッダー値の一部になっていることを確認します。サブドメインのワイルドカードの場合は、ルートドメインに先頭にドットを追加します（例: `.endsWith(".google.com")`）。料金ティア: Premium この問題を修正する	A5	A01
`Insecure allow origin starts with validation` API のカテゴリ名: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	クロスサイト HTTP または HTTPS エンドポイントは、`Access-Control-Allow-Origin` レスポンスヘッダー内に反映する前に、`Origin` リクエストヘッダーのプレフィックスのみを検証します。この検出結果を解決するには、想定どおりのドメインが `Access-Control-Allow-Origin` レスポンスヘッダーに反映される前に、`Origin` ヘッダー値に完全に一致しているかどうか確認します（例: `.equals(".google.com")`）。料金ティア: Premium この問題を修正する	A5	A01
`Invalid content type` API のカテゴリ名: `INVALID_CONTENT_TYPE`	レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この検出結果を解決するには、`X-Content-Type-Options` HTTP ヘッダーに正しい値を設定します。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A6	A05
`Invalid header` API のカテゴリ名: `INVALID_HEADER`	セキュリティヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティヘッダーを正しく設定します。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A6	A05
`Mismatching security header values` API のカテゴリ名: `MISMATCHING_SECURITY_HEADER_VALUES`	セキュリティヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティヘッダーを正しく設定します。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A6	A05
`Misspelled security header name` API のカテゴリ名: `MISSPELLED_SECURITY_HEADER_NAME`	セキュリティヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティヘッダーを正しく設定します。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A6	A05
`Mixed content` API のカテゴリ名: `MIXED_CONTENT`	HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A6	A05
`Outdated library` API のカテゴリ名: `OUTDATED_LIBRARY`	既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A9	A06
`Server side request forgery` API のカテゴリ名: `SERVER_SIDE_REQUEST_FORGERY`	サーバー側のリクエストフォージェリ（SSRF）の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブアプリケーションがリクエストできるドメインと IP アドレスを制限します。料金ティア: プレミアムまたはスタンダードこの問題を修正する	該当なし	A10
`Session ID leak` API のカテゴリ名: `SESSION_ID_LEAK`	クロスドメインリクエストを行う場合は、ウェブアプリケーションの `Referer` リクエストヘッダーにユーザーのセッション ID を含めます。この脆弱性により、受信側ドメインにセッション ID へのアクセス権が付与されます。この ID は、ユーザーになりすますことや、ユーザーを一意に識別するために使用される可能性があります。料金ティア: Premium この問題を修正する	A2	A07
`SQL injection` API のカテゴリ名: `SQL_INJECTION`	潜在的な SQL インジェクション脆弱性が検出された。この問題を解決するには、パラメータ化されたクエリを使用して、ユーザー入力が SQL クエリの構造に影響を与えないようにします。料金ティア: Premium この問題を修正する	A1	A03
`Struts insecure deserialization` API のカテゴリ名: `STRUTS_INSECURE_DESERIALIZATION`	脆弱なバージョンの Apache Struts の使用が検出されました。この問題を解決するには、Apache Struts を最新バージョンにアップグレードしてください。料金ティア: Premium この問題を修正する	A8	A08
`XSS` API のカテゴリ名: `XSS`	このウェブアプリケーションのフィールドは、クロスサイトスクリプティング（XSS）攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A7	A03
`XSS angular callback` API のカテゴリ名: `XSS_ANGULAR_CALLBACK`	ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A7	A03
`XSS error` API のカテゴリ名: `XSS_ERROR`	このウェブアプリケーションのフィールドは、クロスサイトスクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A7	A03
`XXE reflected file leakage` API のカテゴリ名: `XXE_REFLECTED_FILE_LEAKAGE`	XML 外部エンティティ（XXE）の脆弱性が検出された。この脆弱性により、ウェブアプリケーションによりホスト上のファイルが漏洩する可能性があります。この問題を解決するには、外部エンティティを許可しないように XML パーサーを構成します。料金ティア: Premium この問題を修正する	A4	A05
`Prototype pollution` API のカテゴリ名: `PROTOTYPE_POLLUTION`	このアプリケーションはプロトタイプ汚染に対して脆弱性があります。この脆弱性は、`Object.prototype` オブジェクトのプロパティに攻撃者が制御可能な値が割り当てられる場合に発生します。一般的に、これらのプロトタイプに入力された値は、クロスサイトスクリプティング、類似したクライアントサイドの脆弱性、およびロジックのバグにつながると見なされています。料金ティア: プレミアムまたはスタンダードこの問題を修正する	A1	A03

脆弱性の検出結果

検出機能とコンプライアンス

サポートされているセキュリティ標準

Google Cloud

AWS

修復後の検出結果の無効化

Security Health Analytics の検出結果

API キーの脆弱性の検出

Cloud Asset Inventory の脆弱性の検出結果

Compute イメージの脆弱性の検出

Compute インスタンスの脆弱性の検出

コンテナの脆弱性の検出

Dataproc の脆弱性の検出

データセットの脆弱性の検出

DNS の脆弱性の検出

ファイアウォールの脆弱性の検出

IAM の脆弱性の検出

KMS の脆弱性の検出

ロギングの脆弱性の検出

モニタリングの脆弱性の検出

多要素認証の検出

ネットワークの脆弱性の検出

組織のポリシーの脆弱性の検出

Pub/Sub の脆弱性の検出

SQL の脆弱性の検出

ストレージの脆弱性の検出

サブネットワークの脆弱性の検出

AWS の検出結果

Web Security Scanner の検出結果

IAM Recommender の検出結果

CIEM の検出結果

セキュリティ対策サービスの検出結果

VM Manager

VM Manager の検出結果

コンソールで検出結果を確認する

Google Cloud Console

Security Operations コンソール

VM Manager の検出結果の修正

VM Manager の検出結果をミュートする

機密データの保護

Policy Controller

Policy Controller の検出結果の検出と修正

Google Cloud Console

Security Operations コンソール

次のステップ