資産エクスポージャー分析は、ご利用の Alibaba Cloud リソースをスキャンして、インターネットに公開されているセキュリティリスク (弱いパスワード、エクスプロイト可能な脆弱性、公開ポート、保護されていないコンポーネントなど) を特定します。結果は毎日自動的にリフレッシュされ、攻撃対象領域の最新のビューを提供します。
エディションの要件
この機能には、次のいずれかが必要です:
サブスクリプション: サブスクリプションインスタンスを購入し、エディションとして [Ultimate] または [Enterprise] を選択します。
従量課金: 機能を購入する (従量課金) し、[ホストとコンテナのセキュリティ] を はい に設定して、Ultimate または Enterprise エディションのクォータをバインド し、少なくとも 1 台のサーバーに割り当てます。
この機能は、Ultimate または Enterprise エディションにバインドされているサーバーでのみ利用できます。
サポートされる資産タイプ
資産エクスポージャー分析は以下を対象とします:
コンピューティングとデータベース: Elastic Compute Service (ECS) インスタンス、Tair (Redis OSS-compatible)、ApsaraDB RDS、ApsaraDB for MongoDB
ネットワーク: NAT ゲートウェイおよび Server Load Balancer (SLB) インスタンス ([ゲートウェイ] の下にレポートされます)
ソフトウェア: OpenSSL や OpenSSH などのシステムコンポーネント、および AI アプリケーションコンポーネント
ネットワークエクスポージャー: ポート
Alibaba Cloud にデプロイされていない資産はサポートされていません。
エクスポージャー統計
[資産の公開分析] ページには、インターネット上で公開されている資産に関する以下の統計情報が表示されます。結果は毎日自動的にリフレッシュされます。
| 統計 | 説明 |
|---|---|
| 弱いパスワード | Elastic Compute Service (ECS) インスタンスおよびインターネットに公開されているデータベースシステムで検出された弱いパスワードの合計です。数値をクリックすると、資産リストが表示されます。 |
| エクスプロイト可能な脆弱性 | 攻撃者によってエクスプロイト可能な脆弱性の合計です。深刻度別に、高リスク (赤)、中リスク (オレンジ)、低リスク (グレー) に分類されています。合計をクリックすると、脆弱性ページが開きます。 |
| 公開されている資産 / パブリック IP アドレス | インターネットに公開されている ECS インスタンス、Tair (Redis OSS-compatible)、ApsaraDB RDS、ApsaraDB for MongoDB、およびパブリック IP アドレスの件数です。 |
| ゲートウェイ | インターネットに公開されている NAT ゲートウェイおよび Server Load Balancer (SLB) インスタンスの合計です。数値をクリックすると、[Gateways] パネルが開きます。その後、ゲートウェイ名をクリックすると、その詳細が表示されます。 |
| 公開ポート | インターネットに公開されているポートの合計です。数値をクリックすると、[Exposed Port] パネルが開きます。その後、ポート番号をクリックすると、どの資産がそれを使用しているかを確認できます。 |
| 公開コンポーネント | ECS インスタンスで実行されており、インターネットに公開されているシステムコンポーネント (OpenSSL や OpenSSH など) の合計です。数値をクリックすると、[Exposed Component] パネルが開きます。その後、コンポーネント名をクリックすると、関連付けられた資産が表示されます。 |
| AI アプリケーションコンポーネント | インターネットに公開されている AI アプリケーションコンポーネントの合計です。数値をクリックすると、[AI Application Component] パネルが開きます。その後、コンポーネント名をクリックすると、関連付けられた資産が表示されます。 |
脆弱性の深刻度レベル:
| 色 | 深刻度 | 推奨されるアクション |
|---|---|---|
| 赤 | 高リスク | できるだけ早く修正してください。 |
| オレンジ | 中リスク | 速やかに対処してください。 |
| グレー | 低リスク | 都合の良いときに修正してください。 |
資産エクスポージャーのスキャン
Security Center は、公開された資産を毎日自動的にスキャンします。手動での設定は不要です。最新の結果をすぐに取得するには、手動スキャンを実行してください。
事前準備
ECS インスタンスに Security Center エージェントがインストールされ、オンラインになっていることを確認してください。[ホスト] ページで、インスタンスの [エージェント] 列にオンラインアイコン (
) が表示されている必要があります。
手動スキャンの実行
Security Center コンソールSecurity Center コンソールSecurity Center コンソールにログインします。左上隅で、資産が所在するリージョン (中国または中国以外) を選択します。
左側のナビゲーションウィンドウで、[リスクガバナンス] > [資産露出分析] を選択します。
「資産露出分析」ページで、「資産露出スキャン」の下にある[クイックスキャン]をクリックします。
スキャンタスクの表示
[タスク管理] には、過去 7 日間の自動および手動スキャンタスクが記録されます。
Security Center コンソールSecurity Center コンソールSecurity Center コンソールにログインします。左上隅で、資産が所在するリージョン (中国または中国以外) を選択します。
左側のナビゲーションウィンドウで、[リスクガバナンス] > [資産エクスポージャー分析] を選択します。
[資産露出分析] ページで、右上隅にある[タスク管理] をクリックします。
「[タスク管理]」ページで、タスク ID、タスクの種類、タスク時間、ステータス、および進行状況を表示できます。タスクを以下でフィルターできます: [タスクの種類]、[タスク ステータス](未開始、実行中、データ収集待ち、データ収集中、完了、タイムアウト、停止、失敗)、または [開始時刻]。

タスクの公開の詳細を表示するには、アクション列の [詳細] をクリックします。詳細には、公開されたインスタンスの数、スキャンに成功したインスタンス、失敗したスキャン、およびアセットインスタンスのリストが含まれます。ステータスまたはアセットインスタンス ID で結果をフィルターできます。

資産エクスポージャー詳細の表示
Security Center コンソールSecurity Center コンソールSecurity Center コンソールにログインします。左上隅で、資産が所在するリージョン (中国または中国以外) を選択します。
左側のナビゲーションウィンドウで、リスクガバナンス > 資産露出分析 を選択します。
[アセットの公開状況分析] ページで、次の公開データを確認します。 概要データ ページの上部には、弱いパスワードと悪用可能な脆弱性の集計数が表示されます。 いずれかの番号をクリックすると、関連する詳細が表示されます。 公開アセットリスト 脆弱性のステータス、アセットグループ、ポート、またはその他のディメンションでアセットをフィルタリングして、さまざまな基準で公開状況を検索します。 アセットに AI アプリケーションタグがある場合、そのアセットにはインターネットに公開されている AI コンポーネントがあります。 アセットの公開詳細 アセットの「操作」列にある [公開の詳細] をクリックして、詳細パネルを開きます。 このパネルには、アセットの通信リンクトポロジー、リンク詳細、検出された弱いパスワードと脆弱性が表示されます。 パネルの上部にある「アセット」ドロップダウンを使用して、アセットを切り替えます。 次のタブでリスク詳細を確認します。 通信リンクトポロジー ECS インスタンスまたはデータベースが複数の方法でインターネットにアクセスする場合、トポロジーには複数のパスが表示されます。 たとえば、インスタンスが NAT ゲートウェイと SLB インスタンスの両方を使用する場合、トポロジーには 2 つのパスが表示されます。 パス上の任意のアセットをクリックしてそのパスに切り替え、詳細を表示します。 ノードの色は、各アセットで検出された脆弱性の深刻度を示します。 公開データのエクスポート 公開データを Excel ファイルとしてエクスポートするには、公開アセットリストの右上隅にある
アイコンをクリックします。弱いパスワード — 検出された弱いパスワードを表示します。弱いパスワードの項目名をクリックして、アセット詳細ページに移動します。[ベースラインリスク] タブで、そのアセットで検出されたすべてのベースラインリスクを表示します。不正アクセスやデータ盗難を防ぐため、弱いパスワードを速やかに変更します。
エクスプロイト可能な脆弱性 / すべての脆弱性 — 脆弱性 URL をクリックして脆弱性詳細ページを開き、脆弱性情報を表示して提供された修正提案を適用します。高リスクの脆弱性はできるだけ早く修正してください。
リスク関連の設定 — 検出されたリスク項目をクリックすると、[クラウドサービス] ページに移動し、リスクの詳細と修復オプションを表示できます。
色分けはご利用の資産にのみ適用されます。インターネットノードなど、トポロジー内の他のコンポーネントはデフォルトでグレーです。
色 意味 赤 高リスクの脆弱性が検出されました — インターネット経由でエクスプロイト可能です。 オレンジ 中リスクの脆弱性が検出されました — インターネット経由でエクスプロイト可能です。 グレー 低リスクの脆弱性が検出された場合、またはインターネットノードのデフォルトの色。 緑 弱いパスワードやエクスプロイト可能な脆弱性は検出されませんでした。 
次のステップ
ECS インスタンスのインターネットエクスポージャーを減らすには:
検出された脆弱性に対処するには:
システム内の弱いパスワードを修正するには: