メインコンテンツまでスキップ

Google Cloud 向けのマネージド検査

本ページでは、Google Cloud 向けに Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。

検査を実施するには

以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます:

検査項目の一覧

info

各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。

検査項目名関連する標準デフォルトの緊急度Shisho Cloud 内の管理 ID
App Engine アプリケーションで HTTPS 接続のみを許可する4.10 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_appengine_http
Google Cloud 上のアセットとその変更を記録する2.13 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_asset_management
BigQuery データセットのアクセス権を最小化する7.1 (CIS GCP v1.3.0)Criticaldecision.api.shisho.dev/v1beta:googlecloud_bigquery_dataset_accessibility
BigQuery テーブルで Customer-Managed Encryption Keys (CMEK) を利用する7.3 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_bigquery_dataset_encryption_cmek
BigQuery データセットにデフォルトの Customer-Managed Encryption Keys (CMEK) を設定する7.2 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_bigquery_table_encryption_cmek
重要な Compute Engine ディスクで顧客指定の暗号鍵(CSEK)を利用する4.7 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_compute_disk_encryption_key
Compute Engine インスタンスの Confidential VM を有効にする4.11 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_compute_instance_confidential_computing
Compute Engine インスタンスの IP フォワーディングを無効にする4.6 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_compute_instance_ip_forwarding
Compute Engine インスタンスの Google API に対する OAuth2 スコープを必要に応じて制限する4.2 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_compute_instance_oauth2_scope
プロジェクト全体で OS Login を有効化する4.4 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_compute_instance_oslogin
Compute Engine においてプロジェクト全体の SSH 認証鍵の利用を禁止する4.3 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_compute_instance_project_wide_key_management
Compute Engine インスタンスに最小限のパブリック IP アドレスのみを付与する4.9 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_compute_instance_public_ip
Compute Engine インスタンスのシリアルポートへの接続を禁止する4.5 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_compute_instance_serial_port
Compute Engine インスタンスでデフォルトのサービスアカウントの利用を避ける4.1 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_compute_instance_service_account
Compute Engine インスタンスで Shielded VM を利用する4.8 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_compute_instance_shielded_vm
API キーの使用を特定のアプリケーション、ホストに制限する1.13 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_credential_api_keys_restriction
定期的にAPI キーのローテーションを行う1.15 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_credential_api_keys_rotation
Google Cloud プロジェクトの API キーのスコープを制限する1.13 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_credential_api_keys_scope
Google Cloud プロジェクトで API キーを利用しない1.12 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_credential_api_keys_usage
Dataproc クラスターをカスタマー管理の暗号化キーで暗号化する1.17 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_dataproc_encryption_key
Cloud DNS ゾーンの DNSSEC を有効にする3.3 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_dns_dnssec
Cloud DNS ゾーンの Key-Signing Key にセキュアなアルゴリズムを利用する3.4 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_dns_dnssec_ksk_algorithm
Cloud DNS ゾーンの Zone-Signing Key にセキュアなアルゴリズムを利用する3.5 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_dns_dnssec_zsk_algorithm
Cloud Functions にシークレットを渡す際に環境変数を利用しない1.18 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_functions_environment_variables
Google Cloud リソースへの権限を信頼できる組織に所属するプリンシパルのみに付与する1.1 (CIS GCP v1.3.0)Highdecision.api.shisho.dev/v1beta:googlecloud_iam_principal_source
サービスアカウントの管理権限と使用権限を分離する1.8 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_iam_service_account_admin_separation
Google Cloud でのサービスアカウントキー利用を最小化する1.4 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_iam_service_account_key
サービスアカウントのユーザー管理/外部キーは90日以内にローテーションする1.7 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_iam_service_account_key_rotation
Google Cloud サービスアカウントへのプロジェクト管理者系ロールの付与を避ける1.5 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_iam_service_account_project_admin_role
Cloud IAM プリンシパルがプロジェクト内全てのサービスアカウントを借用またはアタッチできるような設定を避ける1.6 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_iam_service_account_project_impersonation_role
Cloud KMS の管理権限と使用権限を分離する1.11 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_kms_admin_separation
Cloud KMS の暗号鍵へのアクセスを制限する1.9 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_kms_key_accessibility
Cloud KMS 暗号化キーのローテーションを90日以内に行う1.10 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_kms_key_rotation
Cloud Audit Logging で API 操作ログを記録する2.1 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_logging_api_audit
ログ記録用の Cloud Storage バケットにバケットロックを設定する2.3 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_logging_bucket_retention_policy
すべてのログを処理する Cloud Logging シンクを用意する2.2 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_logging_full_export
監査設定変更に対するログメトリックフィルタとアラートを設定する2.5 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_logmetric_audit_config_changes
カスタムロールの変更に対するログメトリックフィルタとアラートを設定する2.6 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_logmetric_custom_role_changes
VPCネットワークファイアウォールルールの変更に対するログメトリックフィルタとアラートを設定する2.7 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_logmetric_firewall_rule_changes
VPCネットワークのルート変更に対するログメトリックフィルタとアラートを設定する2.8 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_logmetric_network_route_changes
プロジェクトの所有権の割り当て/変更に対するログメトリックフィルタとアラートを設定する2.4 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_logmetric_project_ownership_changes
SQL インスタンス構成変更に対するログメトリックフィルタとアラートを設定する2.11 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_logmetric_sql_config_changes
Cloud Storage IAM 権限変更に対するログメトリックフィルタとアラートを設定する2.10 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_logmetric_storage_iam_changes
VPCネットワークの変更に対するログメトリックフィルタとアラートを設定する2.9 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_logmetric_vpc_network_changes
Google Cloud プロジェクトのデフォルトネットワークを削除する3.1 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_networking_default_network
VPC ネットワークの Cloud DNS ログを有効にする2.12 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_networking_dns_log
Identity Aware Proxy (IAP) を活用して Google が管理する IP アドレスからのインバウンド通信のみを許可する3.10 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_networking_fw_rule_iap
レガシーネットワークから VPC ネットワークへ移行する3.2 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_networking_legacy_network
Cloud Load Balancing が利用する TLS ポリシーに強力な暗号スイートを設定する3.9 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_networking_proxy_tls_policy
Google Cloud 上のリソースへのインターネットからの RDP アクセスを制限する3.7 (CIS GCP v1.3.0)Highdecision.api.shisho.dev/v1beta:googlecloud_networking_rdp_access
Google Cloud 上のリソースへのインターネットからの SSH アクセスを制限する3.6 (CIS GCP v1.3.0)Highdecision.api.shisho.dev/v1beta:googlecloud_networking_ssh_access
VPC フローログを重要なネットワーク・サブネットに対して有効にする3.8 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_networking_vpc_flow_log
Cloud SQL データベースに接続できる通信元を限定する6.5 (CIS GCP v1.3.0)Highdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_accessibility
Cloud SQL インスタンスの自動バックアップを有効化する6.7 (CIS GCP v1.3.0)Highdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_backup
Cloud SQL インスタンスへの接続に TLS 接続を要求する6.4 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_connection
Cloud SQL for MySQL インスタンスの local_infile データベースフラグをオフにする6.1.3 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_mysql_local_infile
Cloud SQL for MySQL インスタンスの skip_show_database データベースフラグをオンにする6.1.2 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_mysql_show_database
Cloud SQL for PostgreSQL インスタンスごとに cloudsql.enable_pgaudit データベースフラグをオンに設定する6.2.9 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_centralized_logging
Cloud SQL for PostgreSQL インスタンスの log_connections データベースフラグをオンに設定する6.2.2 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_connections
Cloud SQL for PostgreSQL インスタンスの log_disconnections データベースフラグをオンに設定する6.2.3 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_disconnections
Cloud SQL for PostgreSQL インスタンスの log_error_verbosity データベースフラグを DEFAULT またはそれ以上に設定する6.2.1 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_error_verbosity
Cloud SQL for PostgreSQL インスタンスの log_hostname データベースフラグをオンに設定する6.2.5 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_hostname
Cloud SQL for PostgreSQL インスタンスの log_min_duration_statement データベースフラグを -1 に設定する6.2.8 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_min_duration_statement
Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベースフラグを ERROR 以上に設定する6.2.7 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_min_error_statement
Cloud SQL for PostgreSQL インスタンスの log_min_messages データベースフラグを WARNING 以上に設定する6.2.6 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_min_messages
Cloud SQL for PostgreSQL インスタンスの log_statement データベースフラグを適切に設定する6.2.4 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_statement
Cloud SQL インスタンスへのパブリック IP 付与を必要最低限に限る6.6 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_public_ip
Cloud SQL for SQL Server インスタンスのすべてのデータベースに対して 3625 (trace flag) データベースフラグをオフに設定する6.3.6 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_3625_trace_flag
Cloud SQL for SQL Server インスタンスの contained_db_authentication_state データベースフラグをオフに設定する6.3.7 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_contained_db_authentication
Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining_state データベースフラグをオフに設定する6.3.2 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_cross_db_ownership_chaining
Cloud SQL for SQL Server インスタンスの external_scripts_state データベースフラグをオフに設定する6.3.1 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_external_scripts
Cloud SQL for SQL Server インスタンスの remote_access_state データベースフラグをオフに設定する6.3.5 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_remote_access
Cloud SQL for SQL Server インスタンスの maximum_user_connections データベースフラグでコネクションを制限しない6.3.3 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_user_connections
Cloud SQL for SQL Server インスタンスの user_options_configured データベースフラグを設定しない6.3.4 (CIS GCP v1.3.0)Lowdecision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_user_options
Cloud Storage バケットの外部公開設定が意図的なもので、ミスではないことを確認する5.1 (CIS GCP v1.3.0)Criticaldecision.api.shisho.dev/v1beta:googlecloud_storage_bucket_accessibility
Cloud Storage バケットの「均一なバケットレベルのアクセス」を有効化する5.2 (CIS GCP v1.3.0)Mediumdecision.api.shisho.dev/v1beta:googlecloud_storage_bucket_uniform_bucket_level_access
Access Approval を設定する2.15 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_support_access_approval
Access Transparency を設定する2.14 (CIS GCP v1.3.0)Infodecision.api.shisho.dev/v1beta:googlecloud_support_access_transparency