Google Cloud 向けのマネージド検査
本ページでは、Google Cloud 向けに Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。
検査を実施するには
以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます:
- CIS Google Cloud Platform Foundation Benchmark v1.3.0 向けワークフロー
- Google Cloud 向け追加ワークフロー by Flatt Security
検査項目の一覧
info
各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。
| 検査項目名 | 関連する標準 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID |
|---|---|---|---|
| App Engine アプリケーションで HTTPS 接続のみを許可する | 4.10 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_appengine_http |
| Google Cloud 上のアセットとその変更を記録する | 2.13 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_asset_management |
| BigQuery データセットのアクセス権を最小化する | 7.1 (CIS GCP v1.3.0) | Critical | decision.api.shisho.dev/v1beta:googlecloud_bigquery_dataset_accessibility |
| BigQuery テーブルで Customer-Managed Encryption Keys (CMEK) を利用する | 7.3 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_bigquery_dataset_encryption_cmek |
| BigQuery データセットにデフォルトの Customer-Managed Encryption Keys (CMEK) を設定する | 7.2 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_bigquery_table_encryption_cmek |
| 重要な Compute Engine ディスクで顧客指定の暗号鍵(CSEK)を利用する | 4.7 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_compute_disk_encryption_key |
| Compute Engine インスタンスの Confidential VM を有効にする | 4.11 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_compute_instance_confidential_computing |
| Compute Engine インスタンスの IP フォワーディングを無効にする | 4.6 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_compute_instance_ip_forwarding |
| Compute Engine インスタンスの Google API に対する OAuth2 スコープを必要に応じて制限する | 4.2 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_compute_instance_oauth2_scope |
| プロジェクト全体で OS Login を有効化する | 4.4 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_compute_instance_oslogin |
| Compute Engine においてプロジェクト全体の SSH 認証鍵の利用を禁止する | 4.3 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_compute_instance_project_wide_key_management |
| Compute Engine インスタンスに最小限のパブリック IP アドレスのみを付与する | 4.9 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_compute_instance_public_ip |
| Compute Engine インスタンスのシリアルポートへの接続を禁止する | 4.5 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_compute_instance_serial_port |
| Compute Engine インスタンスでデフォルトのサービスアカウントの利用を避ける | 4.1 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_compute_instance_service_account |
| Compute Engine インスタンスで Shielded VM を利用する | 4.8 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_compute_instance_shielded_vm |
| API キーの使用を特定のアプリケーション、ホストに制限する | 1.13 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_credential_api_keys_restriction |
| 定期的にAPI キーのローテーションを行う | 1.15 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_credential_api_keys_rotation |
| Google Cloud プロジェクトの API キーのスコープを制限する | 1.13 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_credential_api_keys_scope |
| Google Cloud プロジェクトで API キーを利用しない | 1.12 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_credential_api_keys_usage |
| Dataproc クラスターをカスタマー管理の暗号化キーで暗号化する | 1.17 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_dataproc_encryption_key |
| Cloud DNS ゾーンの DNSSEC を有効にする | 3.3 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_dns_dnssec |
| Cloud DNS ゾーンの Key-Signing Key にセキュアなアルゴリズムを利用する | 3.4 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_dns_dnssec_ksk_algorithm |
| Cloud DNS ゾーンの Zone-Signing Key にセキュアなアルゴリズムを利用する | 3.5 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_dns_dnssec_zsk_algorithm |
| Firebase Authentication の自己サインアップの許可が意図的で、ミスではないことを確認する | Low | decision.api.shisho.dev/v1beta:googlecloud_firebaseauth_account_creation | |
| Firebase Authentication の自己アカウント削除の許可が意図的で、ミスではないことを確認する | Info | decision.api.shisho.dev/v1beta:googlecloud_firebaseauth_account_deletion | |
| Firebase Authentication の匿名認証の許可が意図的で、ミスではないことを確認する | Info | decision.api.shisho.dev/v1beta:googlecloud_firebaseauth_anonymous_login | |
| Firebase Authentication に対するメール列挙保護を有効化する | Low | decision.api.shisho.dev/v1beta:googlecloud_firebaseauth_email_listing_protection | |
| Firebase Authentication のパスワードポリシーを有効化する | Low | decision.api.shisho.dev/v1beta:googlecloud_firebaseauth_password_policy | |
| Firebase Authentication の最小パスワード長を十分に長く設定する | Medium | decision.api.shisho.dev/v1beta:googlecloud_firebaseauth_password_strength | |
| Firebase Authentication のユーザーアクティビティにロギングを設定する | Medium | decision.api.shisho.dev/v1beta:googlecloud_firebaseauth_user_activity_logging | |
| Cloud Functions にシークレットを渡す際に環境変数を利用しない | 1.18 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_functions_environment_variables |
| Google Cloud リソースへの権限を信頼できる組織に所属するプリンシパルのみに付与する | 1.1 (CIS GCP v1.3.0) | High | decision.api.shisho.dev/v1beta:googlecloud_iam_principal_source |
| サービスアカウントの管理権限と使用権限を分離する | 1.8 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_iam_service_account_admin_separation |
| Google Cloud でのサービスアカウントキー利用を最小化する | 1.4 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_iam_service_account_key |
| サービスアカウントのユーザー管理/外部キーは90日以内にローテーションする | 1.7 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_iam_service_account_key_rotation |
| Google Cloud サービスアカウントへのプロジェクト管理者系ロールの付与を避ける | 1.5 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_iam_service_account_project_admin_role |
| Cloud IAM プリンシパルがプロジェクト内全てのサービスアカウントを借用またはアタッチできるような設定を避ける | 1.6 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_iam_service_account_project_impersonation_role |
| Cloud KMS の管理権限と使用権限を分離する | 1.11 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_kms_admin_separation |
| Cloud KMS の暗号鍵へのアクセスを制限する | 1.9 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_kms_key_accessibility |
| Cloud KMS 暗号化キーのローテーションを90日以内に行う | 1.10 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_kms_key_rotation |
| Cloud Audit Logging で API 操作ログを記録する | 2.1 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_logging_api_audit |
| ログ記録用の Cloud Storage バケットにバケットロックを設定する | 2.3 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_logging_bucket_retention_policy |
| すべてのログを処理する Cloud Logging シンクを用意する | 2.2 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_logging_full_export |
| 監査設定変更に対するログメトリックフィルタとアラートを設定する | 2.5 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_logmetric_audit_config_changes |
| カスタムロールの変更に対するログメトリックフィルタとアラートを設定する | 2.6 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_logmetric_custom_role_changes |
| VPCネットワークファイアウォールルールの変更に対するログメトリックフィルタとアラートを設定する | 2.7 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_logmetric_firewall_rule_changes |
| VPCネットワークのルート変更に対するログメトリックフィルタとアラートを設定する | 2.8 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_logmetric_network_route_changes |
| プロジェクトの所有権の割り当て/変更に対するログメトリックフィルタとアラートを設定する | 2.4 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_logmetric_project_ownership_changes |
| SQL インスタンス構成変更に対するログメトリックフィルタとアラートを設定する | 2.11 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_logmetric_sql_config_changes |
| Cloud Storage IAM 権限変更に対するログメトリックフィルタとアラートを設定する | 2.10 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_logmetric_storage_iam_changes |
| VPCネットワークの変更に対するログメトリックフィルタとアラートを設定する | 2.9 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_logmetric_vpc_network_changes |
| Google Cloud プロジェクトのデフォルトネットワークを削除する | 3.1 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_networking_default_network |
| VPC ネットワークの Cloud DNS ログを有効にする | 2.12 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_networking_dns_log |
| Identity Aware Proxy (IAP) を活用して Google が管理する IP アドレスからのインバウンド通信のみを許可する | 3.10 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_networking_fw_rule_iap |
| レガシーネットワークから VPC ネットワークへ移行する | 3.2 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_networking_legacy_network |
| Cloud Load Balancing が利用する TLS ポリシーに強力な暗号スイートを設定する | 3.9 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_networking_proxy_tls_policy |
| Google Cloud 上のリソースへのインターネットからの RDP アクセスを制限する | 3.7 (CIS GCP v1.3.0) | High | decision.api.shisho.dev/v1beta:googlecloud_networking_rdp_access |
| Google Cloud 上のリソースへのインターネットからの SSH アクセスを制限する | 3.6 (CIS GCP v1.3.0) | High | decision.api.shisho.dev/v1beta:googlecloud_networking_ssh_access |
| VPC フローログを重要なネットワーク・サブネットに対して有効にする | 3.8 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_networking_vpc_flow_log |
| Cloud SQL データベースに接続できる通信元を限定する | 6.5 (CIS GCP v1.3.0) | High | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_accessibility |
| Cloud SQL インスタンスの自動バックアップを有効化する | 6.7 (CIS GCP v1.3.0) | High | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_backup |
| Cloud SQL インスタンスへの接続に TLS 接続を要求する | 6.4 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_connection |
| Cloud SQL for MySQL インスタンスの local_infile データベースフラグをオフにする | 6.1.3 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_mysql_local_infile |
| Cloud SQL for MySQL インスタンスの skip_show_database データベースフラグをオンにする | 6.1.2 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_mysql_show_database |
| Cloud SQL for PostgreSQL インスタンスごとに cloudsql.enable_pgaudit データベースフラグをオンに設定する | 6.2.9 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_centralized_logging |
| Cloud SQL for PostgreSQL インスタンスの log_connections データベースフラグをオンに設定する | 6.2.2 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_connections |
| Cloud SQL for PostgreSQL インスタンスの log_disconnections データベースフラグをオンに設定する | 6.2.3 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_disconnections |
| Cloud SQL for PostgreSQL インスタンスの log_error_verbosity データベースフラグを DEFAULT またはそれ以上に設定する | 6.2.1 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_error_verbosity |
| Cloud SQL for PostgreSQL インスタンスの log_hostname データベースフラグをオンに設定する | 6.2.5 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_hostname |
| Cloud SQL for PostgreSQL インスタンスの log_min_duration_statement データベースフラグを -1 に設定する | 6.2.8 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_min_duration_statement |
| Cloud SQL for PostgreSQL インスタンスの log_min_error_statement データベースフラグを ERROR 以上に設定する | 6.2.7 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_min_error_statement |
| Cloud SQL for PostgreSQL インスタンスの log_min_messages データベースフラグを WARNING 以上に設定する | 6.2.6 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_min_messages |
| Cloud SQL for PostgreSQL インスタンスの log_statement データベースフラグを適切に設定する | 6.2.4 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_postgresql_log_statement |
| Cloud SQL インスタンスへのパブリック IP 付与を必要最低限に限る | 6.6 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_public_ip |
| Cloud SQL for SQL Server インスタンスのすべてのデータベースに対して 3625 (trace flag) データベースフラグをオフに設定する | 6.3.6 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_3625_trace_flag |
| Cloud SQL for SQL Server インスタンスの contained_db_authentication_state データベースフラグをオフに設定する | 6.3.7 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_contained_db_authentication |
| Cloud SQL for SQL Server インスタンスの cross_db_ownership_chaining_state データベースフラグをオフに設定する | 6.3.2 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_cross_db_ownership_chaining |
| Cloud SQL for SQL Server インスタンスの external_scripts_state データベースフラグをオフに設定する | 6.3.1 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_external_scripts |
| Cloud SQL for SQL Server インスタンスの remote_access_state データベースフラグをオフに設定する | 6.3.5 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_remote_access |
| Cloud SQL for SQL Server インスタンスの maximum_user_connections データベースフラグでコネクションを制限しない | 6.3.3 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_user_connections |
| Cloud SQL for SQL Server インスタンスの user_options_configured データベースフラグを設定しない | 6.3.4 (CIS GCP v1.3.0) | Low | decision.api.shisho.dev/v1beta:googlecloud_sql_instance_sqlserver_user_options |
| Cloud Storage バケットの外部公開設定が意図的なもので、ミスではないことを確認する | 5.1 (CIS GCP v1.3.0) | Critical | decision.api.shisho.dev/v1beta:googlecloud_storage_bucket_accessibility |
| Cloud Storage バケットの「均一なバケットレベルのアクセス」を有効化する | 5.2 (CIS GCP v1.3.0) | Medium | decision.api.shisho.dev/v1beta:googlecloud_storage_bucket_uniform_bucket_level_access |
| Access Approval を設定する | 2.15 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_support_access_approval |
| Access Transparency を設定する | 2.14 (CIS GCP v1.3.0) | Info | decision.api.shisho.dev/v1beta:googlecloud_support_access_transparency |