すべてのプロダクト
Search
ドキュメントセンター

Security Center:構成評価機能の使用

最終更新日:Dec 16, 2024

クラウドサービスの設定エラーは、脆弱性、パフォーマンスのボトルネック、データリーク、ハッカー攻撃などのリスクを引き起こす可能性があります。 リスクは、クラウドサービスの信頼性に深刻な影響を及ぼします。 定期的なスキャンを実行して、クラウドサービスの構成を確認し、できるだけ早い機会に検出されたリスク項目を処理することを推奨します。 これにより、クラウドサービスのセキュリティ、パフォーマンス、信頼性が向上し、サービスの継続性とデータセキュリティが確保されます。

前提条件

  • セキュリティセンターは、クラウドリソースへのアクセスを許可されています。 構成評価機能は、従量課金方法に基づいて購入されるか、機能の十分なクォータが購入されます。 詳細については、「サービスの権限付与と有効化」をご参照ください。

  • 確認するクラウドサービスがSecurity Centerに追加されます。 詳細については、「クラウドサービスの追加」をご参照ください。

ステップ1: (オプション) チェック項目の設定を変更する

Security Centerでは、特定のチェック項目の設定を変更できます。たとえば、Hotlink Protectionの設定、90日以上ログオンしていないユーザーのコンソールへのログインを無効にする、パスワード有効性チェックなどです。 ビジネス要件に基づいてチェック項目の設定を変更し、チェック結果の精度を高めることができます。

  1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

  2. 左側のナビゲーションウィンドウで、リスクガバナンス > 設定アセスメント.

  3. 設定のチェック タブをクリックし、チェック項目の名前をクリックします。

  4. チェック項目の詳細パネルで、[パラメーター設定] をクリックします。

    重要

    チェック項目の詳細パネルで、[パラメーター設定] ボタンが表示されている場合、チェック項目の設定を変更できます。 ボタンが表示されていない場合、チェック項目の設定は変更できません。

    image.png

  5. [パラメーター設定] パネルで、変更可能なパラメーター 列のドロップダウンリストからパラメーターを選択し、パラメーターの編集 列でパラメーターを設定し、OK をクリックします。

    + 変更可能なパラメーターの新規追加 をクリックして、チェック項目のパラメーターを追加および変更できます。

    変更は直ちに適用されます。 変更したチェック項目のチェック結果は、次の設定チェックで確認できます。

ステップ2: 設定チェックを実行する

構成評価機能は、ポリシーによるフルスキャンとスキャンをサポートします。

フルスキャン

クラウドサービスの設定にリスクが存在するかどうかをすぐに確認する場合は、次の操作を実行してフルスキャンを実行します。

  1. 左側のナビゲーションウィンドウで、リスクガバナンス > 設定アセスメント.

  2. 設定のチェック タブをクリックし、[アクション] セクションの 今すぐスキャン をクリックし、フルスキャン を選択します。

説明

フルスキャンは、完了するまでに時間を要する。

Scan byポリシー

特定のクラウドサービスの設定にリスクが存在するかどうかを確認する場合は、定期的な設定チェックを実行するか、対応するポリシーを作成して特定のクラウドサービスインスタンスの特定のチェック項目をホワイトリストに追加する必要があります。 ポリシーを作成するには、次の操作を実行します。

  1. 左側のナビゲーションウィンドウで、リスクガバナンス > 設定アセスメント.

  2. 設定アセスメントページの右上隅にある ポリシー設定の確認 をクリックします。

  3. ポリシー管理 パネルで、スキャンポリシーとホワイトリストポリシーを設定します。

    • スキャンポリシー

      設定チェックで使用するチェック項目やチェックサイクルなどの項目を設定します。

      1. スキャンポリシー タブで、クラウドプラットフォーム設定の自動検出 をオンにします。

      2. [検出サイクル] および [検出時間] パラメーターを設定し、必要なチェック項目を選択して、[OK] をクリックします。

        チェック項目を選択すると、スキャンポリシーによって消費されると推定されるクォータがチェック項目リストの上に表示されます。 スキャン中にデータが作成またはリリースされる可能性があるため、推定クォータは参照用です。

    • ホワイトリストポリシー

      クラウドサービスインスタンスまたはチェック項目による設定チェックに不要な特定のチェック項目を除外します。 スキャンポリシーを実行する前に、チェック項目とクラウドサービスインスタンスを指定してホワイトリストポリシーを作成できます。 ホワイトリストポリシーの設定は、ポリシーの作成後すぐに有効になります。

      1. [ホワイトリストポリシー] タブで、[ホワイトリストポリシーの作成] をクリックします。

      2. 表示されるパネルで、[クラウドサービスプロバイダ][クラウドサービス][項目の確認][ポリシー有効範囲] のパラメーターを設定し、[OK] をクリックします。

        [ポリシー有効範囲] パラメーターを [すべてのインスタンス] に設定した場合、ホワイトリストポリシーはチェック項目によって有効になります。 ポリシーによる新しいクラウドサービスインスタンスの後続の構成チェックでは、ホワイトリストポリシーに指定したチェック項目は使用されず、リスク項目リストに表示されません。

        [ポリシー有効範囲] パラメーターを [特定のインスタンス] に設定した場合、ホワイトリストポリシーはクラウドサービスインスタンスによって有効になります。 ポリシーによる新しいクラウドサービスインスタンスの後続の構成チェックでは、ホワイトリストポリシーに指定したチェック項目が使用されます。

      説明

      ホワイトリストに追加されたチェックアイテムは、[ホワイトリストポリシー] タブのリストに自動的に表示されます。 [ホワイトリストポリシー] タブでチェック項目を確認し、[操作] 列の [編集] をクリックしてポリシー有効範囲パラメーターを変更するか、[操作] 列の [削除] をクリックしてホワイトリストポリシーを削除します。

構成評価機能のポリシーを構成した後、Security Centerは、ポリシーで指定した時間範囲に基づいて構成チェックを実行します。 スキャンポリシーを選択して、クラウドサービスをすぐに確認することもできます。

  1. 設定アセスメント ページで、設定のチェック タブをクリックします。

  2. [操作] セクションで、今すぐスキャン をクリックし、[ポリシーによるスキャン] を選択します。

    Security Centerは、設定したポリシーに基づいてクラウドサービスの設定を直ちにスキャンします。

ステップ3: チェック結果を表示する

  1. 設定のチェック タブで、チェック結果を表示します。

    • 全体的な情報の表示

      設定アセスメントページの上部のセクションには、チェック結果に関する全体的な情報が表示されます。 CIEMセキュリティリスク、およびコンプライアンスリスクタイプのチェック項目の合格率を表示できます。 合格率の上の行にポインターを移動すると、高リスク、中リスク、低リスク、合格したチェック項目の数を表示できます。

      重要

      リスクの高いアイテムは、資産に大きな脅威をもたらします。 これらのリスク項目は、できるだけ早い機会に処理することを推奨します。

    • リスクアイテムの表示

      • すべてのチェック項目 セクションで、チェック項目の種類をクリックします。 右側のリスク項目のリストで、選択したチェック項目タイプのリスク項目を表示します。

      • リストの上にあるフィルターウィジェットを使用して、表示するリスク項目を検索します。 リスク項目は、リスク項目のレベル、ステータス、名前などの条件でフィルタリングできます。

      • チェック項目のリストの上にある [サポートされているかどうか][はい] を選択すると、Security Centerコンソールですばやく修正できるチェック項目が表示されます。

        image

        また、[Risk Governance] > [Configuration Assessment] ページに移動し、[Risk Overview] タブを見つけ、[Check Item Pass Rate] 領域の [Fix] をクリックして、[Configuration Check] タブに移動します。

  2. 表示するリスク項目を見つけて、操作する 列の 詳細 をクリックします。 詳細パネルで、チェック項目について処分プランヘルプリソース 、および 脅威の影響 セクションの情報を表示します。

    image.png

ステップ4: 検出された設定リスクを処理する

  1. リスク項目の詳細パネルの 脅威の影響 セクションでは、[操作] 列で次の操作を実行して、ビジネス要件に基づいて検出されたリスクを処理できます。

    API 操作

    説明

    リスクアイテムを修正する

    処分プラン および ヘルプリソース セクションの情報に基づいて、クラウドサービスの設定で検出されたリスクを修正できます。

    重要
    • Security Centerは、100を超えるチェック項目のクイックフィックス機能を提供します。 Security Centerコンソールで修正パラメーターを手動で設定して、検出されたクラウドサービスインスタンスのリスクを直接修正できます。

    • 脅威の影響 セクションで、[未合格] 状態のインスタンスの 操作する 列に [修正] ボタンが表示されている場合、チェック項目はクイック修正機能をサポートしています。 [修正] ボタンが表示されない場合、チェック項目はクイック修正機能をサポートしていません。

      ステップ3: チェック結果の表示を参照して、Security Centerコンソールですばやく修正できるリスク項目をフィルタリングできます。

    • Security Centerコンソールでチェック項目をすばやく修正

      管理するインスタンスを見つけて、[操作] 列の [修正] をクリックします。 表示されるパネルで、リスクのあるインスタンス、スキャン時間、および修正パラメーターに関する情報を表示できます。 [今すぐ処理] をクリックします。 固定パラメータを変更できる場合は、パネルの [項目パラメータの確認] をクリックします。 [パラメーター設定] パネルで、[パラメーターの編集] 列のパラメーター値を変更します。 次に、[OK] をクリックします。

      複数のインスタンスを選択し、インスタンスリストの下にある [修正] をクリックすると、一度に複数のインスタンスをすばやく修正できます。

      説明
      • 現在のアカウントが別のアカウントのクラウドサービスの設定を変更する権限がない場合、そのアカウントのクラウドサービスに対してクイックフィックスを実行することはできません。 この問題を解決するには、表示されるダイアログボックスで [権限付与] をクリックします。

      • クラウドサービスの設定パラメーターを変更するときに、変更をロールバックできないことを忘れない場合は、クラウドサービスの設定をロールバックできます。

      • インスタンスの設定パラメーターを変更した後、インスタンスを再起動する必要がある場合は、プロンプトに従ってインスタンスを再起動します。

    • クラウドサービスのコンソールでチェック項目を修正

      インスタンスID、アカウントID、ポリシー名など、リスクのあるインスタンスのIDをクリックして、クラウドサービスのコンソールに移動し、検出されたリスクを修正します。

    ホワイトリストにリスク項目を追加する

    重要

    ホワイトリストにリスク項目を追加すると、そのリスク項目に対して検出されたリスクは、以降の構成チェックで報告されなくなります。 リスク項目が脅威を引き起こさないことを確認した後にのみ、リスク項目をホワイトリストに追加することを推奨します。

    リスク項目が特定のインスタンスに脅威を与えないことを確認した場合、そのリスク項目をインスタンスのホワイトリストに追加できます。 ホワイトリストに追加されたリスク項目は、リスク項目の総数にはカウントされません。 ポリシー設定の確認 をクリックして [ポリシー管理] パネルに移動し、[ホワイトリストポリシー] タブをクリックして、ホワイトリストに追加されたチェック項目の詳細を表示します。

    ホワイトリストからリスク項目を削除することもできます。

  2. 修正を確認します。

    インスタンスに影響を与えるリスク項目の詳細パネルの情報に基づいてインスタンスの設定を変更した場合、[操作] 列の [検証] をクリックして、新しい設定にセキュリティリスクが含まれているかどうかを確認できます。

    複数のインスタンスを選択し、リストの下の [検証] をクリックして、選択したインスタンスの新しい設定にセキュリティリスクが含まれているかどうかを確認することもできます。

    インスタンスの新しい設定にリスクが含まれていない場合、インスタンスは 脅威の影響 セクションのリストから削除されます。 すべてのリスクのあるインスタンスの新しい設定が検証されると、リスク項目の状態は認証済みに変わります。

  3. 必要に応じて、 Security Centerのクイックフィックス機能を使用してリスク項目を修正した後、[設定評価] ページの右上隅にあるsas.configcheck.fix.manageをクリックして、クイックフィックスの履歴を表示できます。

    修正タスクID、チェック項目、ステータスなどの情報を表示できます。 [操作] 列のimageアイコンをクリックし、[詳細] を選択すると、チェック項目の説明、ソリューション、ヘルプドキュメント、および修正タイムラインが表示されます。 sas.configcheck.fix.manageパネルで、ロールバックや設定の確認などの操作を実行することもできます。

リスクレポートの表示

[設定評価] ページの [リスク概要] タブでリスクレポートを表示できます。 このレポートは、クラウド資産の全体的な構成リスクを視覚化し、できるだけ早い機会に構成エラーを特定して処理できるようにします。

  1. 左側のナビゲーションウィンドウで、リスクガバナンス > 設定アセスメント.

  2. リスクの概要 タブで、表示するクラウドアセットのクラウドサービスプロバイダーを選択します。 オプションを選択しない場合、すべてのクラウドアセットのリスクデータを表示できます。

    リスクレポートには、次のセクションのデータが含まれています。

    セクション

    説明

    スキャンチェック項目の数

    スキャンされたチェックアイテムの、サポートされているすべてのチェックアイテムに対する比率を表示します。

    リスクのあるクラウドプロダクトの統計

    設定リスクが検出されたクラウドサービスの統計を表示します。

    • クラウドプロダクトの合計数: Alibaba cloudサービスとサードパーティのクラウドサービスを含む、Security Centerに追加されたクラウドサービスの総数。

    • リスクのあるクラウドプロダクトの合計数: Alibaba Cloudサービスとサードパーティのクラウドサービスを含む、設定リスクが検出されたクラウドサービスの数。

    • 残りのライセンス数: 設定評価の残りのクォータ。 スケールアウト をクリックすると、さらにクォータを購入できます。

    • ハイリスクのクラウドプロダクト上位 5 件: リスク項目の数に基づくリスクのあるクラウドサービスの上位5つ。 サービス名をクリックすると、サービスの詳細ページに移動できます。

    チェック項目の合格率

    チェック項目の全体的な合格率とリスク項目の分布を表示します。

    • 全体的な合格率: スキャンされたすべてのチェック項目に対する未合格状態のチェック項目の割合。

    • スキャンチェック項目の数: スキャンされたチェック項目の数。 システムは、高リスク、中リスク、および低リスクの項目の数も表示します。

    • 失敗したチェック項目の数: スキャンされたチェックアイテムのうち、未合格状態のチェックアイテムの数。 システムは、高リスク、中リスク、および低リスクの項目の数も表示します。

    • チェック項目の数: 縦棒グラフのCIEM、リスク、コンプライアンスリスクの種類の [合格] 状態と [不合格] 状態のチェック項目の数。

    チェック項目の合格率の変化動向

    特定の期間内に使用されたチェック項目の合格率の傾向が折れ線グラフに表示されます。

    アセット合格率の変化動向

    特定の期間内にスキャンされた資産の合格率の傾向を折れ線グラフに表示します。

    アセットの合格率: スキャンされたすべての資産に対するリスクのある資産の割合。

    権限が過剰に付与された上位 5 件のオブジェクト

    現在のスコープ内で過剰な権限が付与されている上位5名のユーザーまたはロールを表示します。

関連ドキュメント