すべてのプロダクト
Search

このプロダクト

    Security Center:確認ポリシーの設定と実行

    ドキュメントセンター

    Security Center:確認ポリシーの設定と実行

    最終更新日:Mar 27, 2026

    クラウド環境の設定ミスは、セキュリティの脆弱性、パフォーマンスのボトルネック、またはデータ侵害につながる可能性があります。CSPM は、自動化された確認ポリシーを使用してクラウドサービスの設定を定期的にスキャンし、潜在的な設定リスクの特定と修正を支援します。

    確認項目の設定

    Security Center は、クラウドサービスの設定リスクを評価するための一連の事前定義された確認項目を提供します。スキャンを開始する前に、特定のビジネス要件に合わせてこれらの確認項目をカスタマイズし、スキャン結果の精度と関連性を向上させることができます。

    • カスタム確認項目:社内のセキュリティ基準や特定のリスクシナリオに基づいて、新しいカスタム確認項目を作成および管理します。

    • 事前定義された確認項目:OSS バケットのホットリンク保護、アイドルユーザー、パスワード有効期限ポリシーの確認など、カスタマイズをサポートする一部の事前定義された確認項目については、パラメーターを変更してセキュリティベースラインにより適合させることができます。

    カスタム確認項目

    適用範囲

    • 対応エディション: CSPM の有料版が必要です。詳細については、「CSPM の有料版をアクティベートする」をご参照ください。

    • 対応サービスプロバイダー:Alibaba Cloud、Tencent Cloud、AWS。

    • 検出シナリオコンプライアンスリスクAISPMSecurity Risk のカスタム確認項目を作成できます。詳細については、「確認ルール」をご参照ください。

    カスタム確認項目のワークフロー

    以下のフローチャートは、カスタム確認項目の設定と使用方法を示しています。

    image

    カスタム確認項目の設定と公開

    1. 作成ページへの移動

      1. Security Center コンソール - リスクガバナンス - CSPM にログインします。ページの左上隅で、アセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland

      2. 設定のチェック タブで、Create Custom Check Item をクリックします。

    2. 基本情報の設定

      Basic Information Settings タブで、次の表の説明に従ってパラメーターを設定し、次へ をクリックします。

      • Check Item Category Settings:レポートでのソートやフィルタリングを容易にするために、確認項目にカテゴリを割り当てます。

        • 追加 ボタンをクリックして、確認項目を複数のカテゴリに割り当てます。

        • 以下の分類システムがサポートされています。カスタムカテゴリを追加することもできます。

          • ユースケース:確認項目のトップレベルドメインを定義します。コンプライアンスリスクAISPM、または Security Risk を選択できます。

          • 標準/規制/章:システムには事前定義されたオプションが用意されています。ドロップダウンリストからカスタムエントリを作成することもできます。

      • チェック項目について:サービスプロバイダー、適用対象のクラウドサービス、ルールの簡単な説明など、確認項目の説明を入力します。

      • 処分プラン:リスクが検出された場合に手動で修正するための推奨手順を入力します。

      • ヘルプリソース:確認ターゲットの設定に関連するヘルプドキュメントの URL を入力します。ヘルプリソースがない場合は、「なし」と入力します。

      • Risk Level:確認項目のリスクレベル (高、中、または低) を設定します。これは、ユーザーが検出されたリスクの潜在的な影響を評価するのに役立ちます。リスクレベルの決定方法の詳細については、「リスクレベルの評価」をご参照ください。

    3. 確認項目ルールの定義

      Check Item Rule Settings タブで、次のパラメーターを設定し、次へ をクリックします。

      • Check Item Target:指定された Service Provider の下で確認するクラウドサービスのタイプ (例:ECS-InstanceOSS-Bucket) を選択します。

      • Associated Asset Settings (オプション):他のアセットを含む確認ルールを設定する必要がある場合は、Add Associated Asset をクリックして、Check Item Target に関連するアセット (VPC など) を指定します。

        説明

        • [関連付け可能な属性] ドロップダウンリストが空の場合、現在の Check Item Target はアセットの関連付けをサポートしていないことを意味します。利用可能なパラメーターは、コンソールに表示される内容によって異なります。

        • 設定後、Check Item Settings セクションで関連アセットの検出ロジックを定義し、スキャンの精度と完全性を向上させることができます。

        • Associable AttributeCheck Item Target のプロパティで、他のアセットとリンクするために使用されます。

        • Associated AssetAssociable Attribute にリンクできるアセットのタイプ。

        • 関連アセットのプロパティAssociated Asset のプロパティで、Associable Attribute に関連します。

      • Check Item Settings:確認のコアロジックを定義します。

        1. Add Condition をクリックして、条件設定エリアを展開します。

        2. 設定エリアで、Add Condition または グループの追加 をクリックします。

          • 条件の関係:

            • グループ内:単一のグループに複数の条件を追加し、AND または OR 演算子で接続できます。各グループには最大 10 個の条件を含めることができます。

            • グループ間:複数の条件グループを設定し、AND または OR 演算子で接続できます。各確認項目には最大 5 つのグループを含めることができます。

            • 例:

              • 3つのグループがあり、関係が「group1 AND group2 OR group3」であると仮定します。

              • group1 内の条件は AND 演算子を使用し、group2 は OR を使用し、group3 は AND を使用します。

              image

          • パラメーターCheck Item TargetAssociated Asset の両方に関連するパラメーターを設定できます。

            説明

            パラメーターの横にある image アイコンをクリックすると、そのデータ型、例、説明が表示されます。

            image

          • 演算子

            In/NotIn:指定されたセットに値が存在するかどうかを確認します。

            Equals/NotEquals:2つの値が等しいかどうかを確認します。

    4. 保存とテスト

      1. 必要な情報をすべて入力したら、Check Item Rule Settings タブで Test をクリックします。

      2. Test エリアで、アカウントから確認ターゲットに一致するテストインスタンス (OSS バケット、ECS インスタンス ID、Log Service プロジェクトなど) を選択します。次に、Test をクリックします。

      3. メッセージ The check item passed the check. が表示された場合、設定がデータを正しく解析できることを示します。結果が期待どおりでない場合は、確認条件を確認して再度テストしてください。image

      4. テスト結果が期待どおりになったら、保存 をクリックします。

        説明

        保存済みでまだ公開されていない確認項目は、編集、公開、または削除できます。

    5. 公開

      テストに合格した後、Check Item Rule Settings タブで Publish をクリックできます。または、カスタム確認項目リストに移動し、その 操作する 列にある Publish をクリックすることもできます。

      重要

      • 公開された確認項目のみが確認項目リストに表示され、スキャンで利用可能になります。

      • 公開済みの確認項目は変更できません。

    カスタム確認項目の管理

    CSPM Risk ページの右上隅にある Custom Check Item Management セクションで、カスタム確認項目の表示、編集、公開、非公開、または削除ができます。

    • 非公開:確認項目を非公開にすると、関連するルールと過去のスキャン結果が削除されます。

    • 編集:確認項目の名前をクリックして、編集ページを開きます。

      説明

      公開済みの確認項目を修正するには、まずそれを Deactivate する必要があります。

    • 削除:確認項目を削除すると、その過去の確認データとアラート情報も完全に削除されます。

    事前定義された確認項目

    適用範囲

    事前定義されたルールを変更するには、CSPM の有料版が必要です。詳細については、「CSPM の有料版をアクティベートする」をご参照ください。

    操作手順

    1. Security Center コンソール - リスクガバナンス - CSPM に移動し、ページの左上隅で、アセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland

    2. 設定のチェック タブで、Support Custom Parametersはい になっている確認項目を見つけて、その名前をクリックします。

    3. 詳細パネルで、Parameter Configuration をクリックします。

      説明

      このボタンが表示されない場合、確認項目の設定は変更できません。

    4. Parameter Configuration パネルで、変更可能なパラメーター 列を見つけ、+ 変更可能なパラメーターの新規追加 をクリックします。ドロップダウンリストから変更したいパラメーターを選択します。

    5. パラメーターの編集 列で、パラメーター値を変更し、OK をクリックします。

      説明

      変更されたルールは、次のスキャン時に有効になります。

    確認ポリシーの設定

    確認項目を設定した後、自動検出ポリシーとホワイトリストポリシーを定義して、設定リスクスキャンの範囲、頻度、例外を管理できます。

    • 自動検出ポリシーの設定クラウドプラットフォーム設定の自動検出 機能を有効にして設定し、指定されたクラウドサービスに対してオンデマンドまたはスケジュールされたスキャンを実行します。これにより、設定リスクの継続的な検出が保証されます。

    • ホワイトリストポリシーの設定:指定されたクラウドサービスインスタンスに対して特定の確認項目を除外し、不要なリスクアラートを防ぎます。このポリシーは、スケジュールされた自動スキャン手動スキャンの両方に適用されます。

    自動検出ポリシー

    1. リスクガバナンス > 設定のチェック ページで、右上隅の ポリシー管理 をクリックし、Cloud Service Scan Policy タブに移動します。

    2. クラウドプラットフォーム設定の自動検出 スイッチをオンにし、次の設定を構成します:

      • チェックサイクル:リスクチェックの頻度を設定します。

      • チェック時刻:チェックを実行する特定の時刻を設定します。

      • 確認項目の選択:事前定義された確認項目または公開済みのカスタム確認項目から選択します。

    3. 確認項目を選択すると、リストの上に単一スキャンの 推定クォータ消費量 が表示されます。

      説明

      推定値は参考用です。実際にスキャンされるインスタンスの数は異なる場合があります。

    4. ポリシーを設定すると、Security Center は定義されたスケジュールでクラウドサービスの設定リスクを自動的にスキャンします

    ホワイトリストポリシー

    操作手順

    1. リスクガバナンス > 設定のチェック ページで、右上隅の ポリシー管理 をクリックします。

    2. Whitelist Rule > By Check Item タブで、Create Whitelist Rule をクリックします。

    3. パネルで、次の表の説明に従ってパラメーターを設定し、OK をクリックします。

      • Check Item:スキャンから除外したい特定の項目を選択します。詳細については、「確認ルール」をご参照ください。

      • Policy Effective Scope:ポリシーのスコープを選択します。これにより、ポリシーが新しく作成されたインスタンスに適用されるかどうかが決まります。

        • すべてのインスタンスCheck Item によってホワイトリストに登録します。このクラウドサービスでは、既存および将来のすべてのインスタンスがこのチェックから除外され、関連するリスクはリスクリストに表示されません。

        • 特定のインスタンス:選択したインスタンスにのみホワイトリストを適用します。新しいインスタンスは引き続きスキャンされます

        重要

        すべてのインスタンスに対してホワイトリストポリシーを作成することは高リスク操作です。新しいセキュリティリスクを見落とす可能性があるためです。正確なホワイトリスト登録のためには、特定のインスタンスを使用することを推奨します。また、ホワイトリストポリシーがまだ必要であることを確認するために定期的に監査してください。

    ホワイトリストポリシーの管理

    • ルールの管理:作成したホワイトリストルールは  [確認項目別]  リストに表示されます。このリストでは、ルールを 編集 してその範囲を変更したり、削除 して例外を削除したりできます。

    • 自動同期:リスクを処理し、失敗した確認項目を手動で処理済みまたはホワイトリストに登録済みとしてマークすると、システムは対応するルールをこのリストに自動的に追加します。詳細については、「確認項目に失敗したクラウドサービスの処理」をご参照ください。

    設定リスクスキャンの実行

    Security Center は、スケジュールされた自動スキャンとオンデマンドの手動スキャンの両方をサポートしています。

    • スケジュールされた自動スキャン:システムは、自動検出ポリシーで定義されたスケジュールに基づいて自動的にスキャンを実行します。

    • オンデマンドの手動スキャン

      1. [クラウドサービス設定リスク] タブの 操作する エリアで [今すぐスキャン] をクリックします。

      2. スキャンモードを選択します:

        • フルスキャン:事前定義されたものとカスタムのものを含め、サポートされているすべてのクラウドサービスと確認項目を包括的にスキャンします。

        • Scan By Policyポリシー管理 で選択された確認項目のみを含むスキャンを実行します。

      スキャンが完了すると、[クラウドサービス設定リスク] リストですべての失敗した確認項目を表示し、[ソリューション] に従ってそれらを修正できます。

    失敗した確認項目の修正

    設定リスクスキャンが完了したら、リスクガバナンス > CSPM Risk ページの 設定のチェック タブに移動して、すべての失敗した確認項目を表示します。提供された ソリューション に従って各リスクを修正します。詳細については、「失敗した確認項目の表示と処理」をご参照ください。

    よくある質問

    • 公開済みのカスタム確認項目に論理エラーを見つけた場合はどうすればよいですか? 

      1. CSPM Risk ページの右上隅で、Custom Check Item Management をクリックします。

      2. 変更したい確認項目を見つけ、Deactivate アクションを選択して編集可能にします。

        警告

        確認項目を非公開にすると、その過去のスキャン結果がすべて完全に削除されます。この操作は元に戻せません。

      3. ルールを修正してテストした後、再度 公開 します。

    • 作成したカスタム確認項目はどのように表示できますか?

      リスクガバナンス > CSPM Risk ページの 設定のチェック タブで、作成時に割り当てたカテゴリ別に整理されたカスタム確認項目を見つけることができます。image