すべてのプロダクト
Search

このプロダクト

    Security Center:ベースラインチェックポリシーの設定と適用

    ドキュメントセンター

    Security Center:ベースラインチェックポリシーの設定と適用

    最終更新日:Mar 05, 2026

    ポリシーの種別、ベースラインホワイトリスト、またはカスタム弱いパスワードルールに基づいて、ベースラインリスクチェックポリシーを設定します。その後、対象サーバーでこれらのチェックを実行し、正確かつ最適化された結果を取得します。

    前提条件

    1. ベースラインリスクチェックの有効化を行います。

    2. チェック対象のサーバーには、Security Center エージェントがインストール済みであり、Security Center に登録済みである必要があります。詳細については、「エージェントのインストール」および「サーバーの管理」をご参照ください。

    チェックポリシーの設定

    デフォルトのベースラインチェックポリシーには、70 を超えるベースラインチェック項目が含まれており、複数のベースラインタイプをチェックします。必要に応じて、追加のチェック項目およびポリシーを設定できます。

    1. セキュリティセンター コンソールにログインしてください。セキュリティセンター コンソール

    2. リスクガバナンス > クラウドセキュリティポスチャマネジメント (CSPM) ページの右上隅にある ポリシー管理 をクリックします。

    3. ポリシー管理 パネルで、必要に応じてベースラインチェックポリシーを設定します。

      スキャンポリシーの設定

      Baseline Check Policy タブで、必要に応じてスキャンポリシーを設定および追加できます。

      • ベースラインスキャンのカバー率レベルを設定します。

        HighMediumLow のいずれか、または複数のレベルを選択します。この設定は、すべてのスキャンポリシーに適用されます。

      • スキャンポリシーを追加します。

        資産のベースライン構成チェックを強化するために、標準ポリシーを追加します。また、オペレーティングシステムのカスタムベースライン構成におけるリスクをチェックするために、カスタムポリシーを追加します。Security Center は、作成したポリシーに基づいて資産に対してベースラインチェックを実行します。

        1. Create Standard Policy または Create Custom Policy をクリックします。

        2. Baseline Check Policy パネルで、ポリシー名 を入力し、検出サイクル および Check Start Time を選択し、チェック対象の Baseline Category および Baseline Name を選択します。

          ベースラインチェック項目の詳細については、「ベースラインチェック項目」をご参照ください。

          説明

          一部のカスタムベースラインについては、必要に応じてパラメーターをカスタマイズできます。

          image

        3. ポリシーを適用するサーバーを選択し、OK をクリックします。

          パラメーター

          説明

          Scan Method

          サーバーのスキャン方法を選択します。選択肢:

          • Group:サーバーグループ単位でサーバーをスキャンします。1 つ以上のグループを選択します。

          • ECS:ECS インスタンスをスキャンします。サーバーグループを跨いで、一部またはすべての ECS インスタンスを選択します。

          有効サーバー

          このポリシーを適用するサーバーを選択します。

          説明

          • 新規購入のサーバーは、デフォルトで All Groups > Ungrouped に属します。新規購入サーバーにこのポリシーを自動的に適用するには、Ungrouped を選択します。サーバーグループの作成または変更については、「サーバーの管理」をご参照ください。

          • 1 つのサーバーグループには、カスタムポリシーを 1 つだけ割り当てることができます。既にカスタムポリシーが割り当てられているサーバーグループは、新しいカスタムポリシーを作成する際に薄く表示され、選択不可になります。

        スキャンポリシーの設定が完了したら、操作する > 編集 または 削除 をクリックして、ポリシーを変更または削除できます。

        説明

        削除したポリシーは復元できません。

        Default Policy は削除できず、そのベースラインチェック項目も変更できません。ただし、Check Start Time および 有効サーバー のみ変更可能です。

      カスタム弱いパスワードの設定

      Security Center には、組み込みの弱いパスワードルールが提供されています。これらのルールをカスタマイズできます。Security Center は、カスタマイズしたルールを使用して、資産の弱いパスワードリスクをチェックします。

      Custom Weak Password Rule タブで、ファイルのアップロードまたはカスタム辞書の使用により、新しいカスタム弱いパスワードルールを追加または生成できます。

      重要

      • ファイルアップロードの制限:

        • ファイルサイズは 40 KB を超えてはいけません。

        • 各行には弱いパスワードを 1 つだけ記述してください。1 行に複数のパスワードを記述すると、検出精度が低下します。

        • ファイルには最大 3,000 個の弱いパスワードを含めることができます。

        • アップロードしたファイルは、既存のすべてのカスタム弱いパスワードルールを上書きします。

      • カスタム辞書には、Overwrite および 追加 の 2 つのモードがあります。

      ファイルのアップロードによる新しいカスタム弱いパスワードルールの生成

      Security Center は、アップロードしたルールを使用して、資産の弱いパスワードリスクをチェックします。

      1. Upload File タブで、Download Template をクリックし、ダウンロードしたテンプレートにカスタム弱いパスワードを追加します。

      2. Drag and Drop File to Upload 領域をクリックして、テンプレートをアップロードし、設定を完了します。

      image

      カスタム辞書を使用したカスタム弱いパスワードルールの上書きまたは追加

      1. Custom Dictionary タブで、初めて辞書を生成する場合は Generate を、既に辞書がある場合は Regenerate をクリックします。

      2. 資産の Domain NameCompany name:、および弱いパスワード辞書に含める Keyword を設定します。

        image

      3. Generate Weak Password in Dictionary をクリックします。

        Weak Password in Dictionary セクションで、生成されたすべての弱いパスワードを確認できます。手動で追加、編集、削除することも可能です。

      4. 以下のいずれかの方法で辞書の設定を完了します:

        • 追加 をクリックし、OK をクリックして、生成した辞書を既存の弱いパスワードルールに追加します。

        • 辞書を再生成する場合は、Overwrite をクリックし、OK をクリックして、既存のすべての弱いパスワードルールを置き換えます。

      ベースラインホワイトリストの設定

      ベースラインチェック項目が、一部またはすべてのサーバーに対してセキュリティリスクを及ぼさない場合、その項目を ベースラインホワイトリスト に追加できます。その後のベースラインチェックでは、指定されたサーバーについて、ホワイトリストに登録された項目に関連するリスクは Security Center が無視します。

      1. Whitelist Policy > By Host Baseline タブで、ルールを新しく追加する をクリックします。

      2. ベースラインホワイトリストルールを作成する パネルで、Check Item Type および対応する Check Item を選択します。

      3. Rule Scope を選択します:All Servers または Specific Servers

      4. 保存 をクリックします。

      5. (任意)ベースラインホワイトリスト タブで、管理したいルールを見つけます:

        • 操作する > 編集 をクリックして、ルール適用範囲 を更新するか、ホワイトリストからサーバーを追加または削除します。

        • 操作する > 削除 をクリックして、ルールを削除します。ルールが削除されると、指定されたサーバーに対する当該項目のベースラインチェックが再開されます。

    ベースラインチェックポリシーの実行

    ベースラインチェックは、スケジュールによる自動チェックおよびオンデマンドの手動チェックをサポートしています:

    • スケジュールによる自動チェック:Security Center は、デフォルト、標準、またはカスタムポリシーに基づいてベースラインチェックを自動的に実行します。デフォルトポリシーでは、毎日 00:00~06:00 の間、または指定したチェック開始時刻に、2 日ごとに完全チェックが実行されます。

    • オンデマンドの手動チェック:チェックポリシーを作成または変更した場合、即時チェックを実行して、リアルタイムでベースラインリスクを確認できます。このためには、Baseline Check ページに移動し、Baseline Check Policy タブをクリックしてポリシーを選択し、即時チェックを実行します。

    即時ベースラインチェックを実行するには、リスクガバナンス > CSPM ページに移動し、Baseline Risk タブをクリックして、以下の手順に従います:

    • (推奨) Risk Details タブで:

      1. Check Item Statistics セクションの右側にある 今すぐスキャン をクリックします。

      2. Scan By Policy パネルで、対象ポリシーを選択し、Scan をクリックしてベースラインチェックを実行します。

      image

    • Baseline Check Policy タブで:

      1. triangle アイコンをクリックしてスキャンポリシーメニューを展開し、即時手動チェックに使用するポリシーを選択します。

        image

      2. Check Item Scan > Check Now をクリックします。

        スキャンが開始されると、Check Now ボタンは、スキャンが完了するまで無効になります。

    次のステップ

    ベースラインチェックが完了したら、Baseline Risk > Risk Details タブに移動して、失敗したチェック項目の詳細を確認します。特定されたリスクは速やかに修正してください。詳細については、「ベースラインリスクの確認と修正」をご参照ください。