このページでは、国際標準機構(ISO)27001 標準の事前定義されたポスチャー テンプレートの v1.0 バージョンに含まれる検出ポリシーについて説明します。このテンプレートには、ISO 27001 基準を遵守する必要があるワークロードに適用される Security Health Analytics 検出項目を定義するポリシーセットが含まれています。
このポスチャー テンプレートは、変更を加えることなくデプロイできます。
Security Health Analytics の検出機能
次の表に、このポスチャー テンプレートに含まれる Security Health Analytics の検出機能を示します。
| 検出項目の名前 | 説明 |
|---|---|
SQL_CROSS_DB_OWNERSHIP_CHAINING |
この検出機能は、Cloud SQL for SQL Server の |
INSTANCE_OS_LOGIN_DISABLED |
この検出機能は、OS Login が有効になっていないかどうかを確認します。 |
SQL_SKIP_SHOW_DATABASE_DISABLED |
この検出機能は、Cloud SQL for MySQL の |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
この検出機能は、重要な連絡先が 1 つ以上存在するかどうかを確認します。 |
AUDIT_LOGGING_DISABLED |
この検出機能は、リソースの監査ロギングがオフになっているかどうかを確認します。 |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
この検出機能は、VPC フローログが有効になっていないかどうかを確認します。 |
API_KEY_EXISTS |
この検出機能は、プロジェクトで標準認証ではなく API キーが使用されているかどうかを確認します。 |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
この検出機能は、Cloud SQL for PostgreSQL の |
LOCKED_RETENTION_POLICY_NOT_SET |
この検出機能は、ロックされた保持ポリシーがログに設定されているかどうかを確認します。 |
SQL_LOG_DISCONNECTIONS_DISABLED |
この検出機能は、Cloud SQL for PostgreSQL の |
COMPUTE_SERIAL_PORTS_ENABLED |
この検出機能は、シリアルポートが有効になっているかどうかを確認します。 |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
この検出機能は、プロジェクト全体の SSH 認証鍵が使用されているかどうかを確認します。 |
KMS_KEY_NOT_ROTATED |
この検出機能は、Cloud Key Management Service の暗号化のローテーションが有効になっていないかどうかを確認します。 |
DNS_LOGGING_DISABLED |
この検出機能は、VPC ネットワークで DNS ロギングが有効になっているかどうかを確認します。 |
SQL_LOCAL_INFILE |
この検出機能は、Cloud SQL for MySQL の |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
この検出機能は、Cloud SQL for PostgreSQL の |
PUBLIC_DATASET |
この検出機能は、データセットが一般公開されるように構成されているかどうかを確認します。詳細については、データセットの脆弱性の検出結果をご覧ください。 |
DISK_CSEK_DISABLED |
この検出機能は、VM に対して顧客指定の暗号鍵(CSEK)のサポートがオフになっているかどうかを確認します。 |
SQL_USER_CONNECTIONS_CONFIGURED |
この検出機能は、Cloud SQL for SQL Server の |
SERVICE_ACCOUNT_ROLE_SEPARATION |
この検出機能は、サービス アカウント キーの職掌分散を確認します。 |
AUDIT_CONFIG_NOT_MONITORED |
この検出機能は、監査構成の変更がモニタリングされているかどうかを確認します。 |
BUCKET_IAM_NOT_MONITORED |
この検出機能は、Cloud Storage で IAM 権限を変更する際にロギングがオフになっているかどうかを確認します。 |
PUBLIC_SQL_INSTANCE |
この検出機能は、Cloud SQL がすべての IP アドレスからの接続を許可しているかどうかを確認します。 |
AUTO_BACKUP_DISABLED |
この検出機能は、Cloud SQL データベースで自動バックアップが有効になっていないかどうかを確認します。 |
DATAPROC_CMEK_DISABLED |
この検出機能は、Dataproc クラスタで CMEK のサポートがオフになっているかどうかを確認します。 |
LOG_NOT_EXPORTED |
この検出機能は、リソースにログシンクが構成されていないかどうかを確認します。 |
KMS_PROJECT_HAS_OWNER |
この検出機能は、キーを含むプロジェクトに対するオーナー権限がユーザーに付与されているかどうかを確認します。 |
KMS_ROLE_SEPARATION |
この検出機能は、Cloud KMS 鍵の職掌分散を確認します。 |
API_KEY_APIS_UNRESTRICTED |
この検出機能は、API キーが過度に広く使用されているかどうかを確認します。 |
SQL_LOG_MIN_MESSAGES |
この検出機能は、Cloud SQL for PostgreSQL の |
SQL_PUBLIC_IP |
この検出機能は、Cloud SQL データベースに外部 IP アドレスがあるかどうかを確認します。 |
DATASET_CMEK_DISABLED |
この検出機能は、BigQuery データセットに対して CMEK のサポートがオフになっているかどうかを確認します。 |
FIREWALL_NOT_MONITORED |
この検出機能では、ログ指標とアラートが VPC ファイアウォール ルールの変更をモニタリングするように構成されていないかどうかを確認します。 |
SQL_LOG_STATEMENT |
この検出機能は、Cloud SQL for PostgreSQL サーバーの |
BIGQUERY_TABLE_CMEK_DISABLED |
この検出機能は、BigQuery テーブルが顧客管理の暗号鍵(CMEK)を使用するように構成されていないかどうかを確認します。詳細については、データセットの脆弱性の検出結果をご覧ください。 |
CONFIDENTIAL_COMPUTING_DISABLED |
この検出機能は、Confidential Computing がオフになっているかどうかを確認します。 |
SQL_INSTANCE_NOT_MONITORED |
この検出機能は、Cloud SQL の構成変更に対するロギングがオフになっているかどうかを確認します。 |
KMS_PUBLIC_KEY |
この検出機能は、Cloud Key Management Service 暗号鍵が一般公開されているかどうかを確認します。詳細については、KMS の脆弱性の検出結果をご覧ください。 |
DEFAULT_NETWORK |
この検出機能は、プロジェクトにデフォルト ネットワークが存在するかどうかを確認します。 |
SQL_TRACE_FLAG_3625 |
この検出機能は、Cloud SQL for SQL Server の |
API_KEY_NOT_ROTATED |
この検出機能は、過去 90 日間に API キーがローテーションされたかどうかを確認します。 |
DNSSEC_DISABLED |
この検出機能は、Cloud DNS で DNS Security(DNSSEC)がオフになっているかどうかを確認します。詳細については、DNS の脆弱性の検出結果をご覧ください。 |
SQL_LOG_CONNECTIONS_DISABLED |
この検出機能は、Cloud SQL for PostgreSQL の |
LEGACY_NETWORK |
この検出機能は、プロジェクトに以前のネットワークが存在するかどうかを確認します。 |
PUBLIC_IP_ADDRESS |
この検出機能は、インスタンスに外部 IP アドレスがあるかどうかを確認します。 |
FULL_API_ACCESS |
この検出機能は、インスタンスがすべての Google Cloud APIs への完全アクセス権を持つデフォルトのサービス アカウントを使用しているかどうかを確認します。 |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
この検出機能は、Cloud SQL for SQL Server の |
OS_LOGIN_DISABLED |
この検出機能は、OS Login がオフになっているかどうかを確認します。 |
SQL_USER_OPTIONS_CONFIGURED |
この検出機能は、Cloud SQL for SQL Server の |
ADMIN_SERVICE_ACCOUNT |
この検出機能は、サービス アカウントに管理者、オーナー、または編集者の権限が付与されているかどうかを確認します。 |
DEFAULT_SERVICE_ACCOUNT_USED |
この検出機能は、デフォルトのサービス アカウントが使用されているかどうかを確認します。 |
NETWORK_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワークの変更をモニタリングするように構成されていないかどうかを確認します。 |
PUBLIC_BUCKET_ACL |
この検出機能は、バケットが一般公開されているかどうかを確認します。 |
CUSTOM_ROLE_NOT_MONITORED |
この検出機能は、カスタムロールの変更に関するロギングがオフになっているかどうかを確認します。 |
SQL_LOG_ERROR_VERBOSITY |
この検出機能は、Cloud SQL for PostgreSQL の |
LOAD_BALANCER_LOGGING_DISABLED |
この検出機能は、ロードバランサのロギングがオフになっているかどうかを確認します。 |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
この検出機能は、ユーザーに特定のサービス アカウントではなく、プロジェクト レベルでサービス アカウントのロールが付与されているかどうかを確認します。 |
SQL_REMOTE_ACCESS_ENABLED |
この検出機能は、Cloud SQL for SQL Server の |
RSASHA1_FOR_SIGNING |
この検出機能は、Cloud DNS ゾーンにログインする鍵に RSASHA1 が使用されているかどうかを確認します。 |
CLOUD_ASSET_API_DISABLED |
この検出機能は、Cloud Asset Inventory が無効になっているかどうかを確認します。 |
BUCKET_POLICY_ONLY_DISABLED |
この検出機能は、均一なバケットレベルのアクセスが構成されているかどうかを確認します。 |
ROUTE_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワーク ルートの変更をモニタリングするように構成されていないかどうかを確認します。 |
OWNER_NOT_MONITORED |
この検出機能は、プロジェクト所有権の割り当てと変更のロギングがオフになっているかどうかを確認します。 |
対策テンプレートを表示する
ISO 27001 の対策テンプレートを表示する手順は次のとおりです。
gcloud
後述のコマンドデータを使用する前に、次のように置き換えます。
-
ORGANIZATION_ID: 組織の数値 ID
gcloud scc posture-templates
describe コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows(PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
Windows(cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
レスポンスには、対策テンプレートが含まれます。
REST
リクエストのデータを使用する前に、次のように置き換えます。
-
ORGANIZATION_ID: 組織の数値 ID
HTTP メソッドと URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/iso_27001
リクエストを送信するには、次のいずれかのオプションを展開します。
レスポンスには、対策テンプレートが含まれます。