チェックポリシーの設定と実行 - Security Center - Alibaba Cloud ドキュメントセンター

クラウド環境における構成の誤りは、セキュリティ脆弱性、パフォーマンスボトルネック、またはデータ漏洩を引き起こす可能性があります。クラウドセキュリティポスチャー管理 (CSPM) は、自動化されたチェックポリシーを使用してクラウドサービスの構成を定期的にスキャンし、潜在的な構成リスクを特定して修正します。

チェック項目の設定

Security Center は、クラウドサービス構成リスクに対して、組み込みの事前定義済みチェック項目を提供します。スキャンを実行する前に、ビジネスニーズに合わせてこれらのチェック項目をカスタマイズできます。これにより、スキャン結果の精度と関連性が向上します。

カスタムチェック項目：内部のセキュリティ基準や特定のリスクシナリオに基づいて、新しいカスタムチェック項目を作成および管理します。
事前定義済みチェック項目：OSS バケットのホットリンク保護、アイドルユーザー、パスワードの有効期限など、カスタマイズをサポートする一部の事前定義済みチェック項目については、ビジネスのセキュリティベースラインにより適合するようにルールパラメーターを変更できます。

カスタムチェック項目

適用範囲

サポートされるエディション：CSPM の有料版にサブスクライブする必要があります。詳細については、「クラウドセキュリティポスチャー管理の有料版へのサブスクライブ」をご参照ください。
サポートされるサービスプロバイダー：Alibaba Cloud、Tencent Cloud、AWS。
検出シナリオ：コンプライアンスリスク、AISPM、および Security Risk。詳細については、「チェックルール」をご参照ください。

カスタムチェック項目の設定と使用のワークフロー

以下のフローチャートにそのプロセスを示します：

カスタムチェック項目の設定と公開

作成ページへの移動
1. Security Center コンソール - リスクガバナンス - CSPM ページに移動します。左上隅で、保護したいアセットが所在するリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
2. 設定のチェック タブで、Create Custom Check Item をクリックします。
基本情報の設定
Basic Information Settings タブで、以下のパラメーターを設定し、次へをクリックします。
- Check Item Category Settings：レポートでの分類とフィルタリングを容易にするために、チェック項目を分類します。
  - 追加ボタンをクリックして、チェック項目を複数のカテゴリに割り当てます。
  - 以下の分類システムがサポートされています。カスタムエントリで拡張できます：
    - ユースケース：チェック項目の最上位カテゴリを定義します。コンプライアンスリスク、AISPM、または Security Risk を選択できます。
    - 標準/規制/章：システムは事前定義済みのオプションを提供します。ドロップダウンリストからカスタムエントリを作成して、特定の分類ニーズに対応することもできます。
- チェック項目について：サービスプロバイダー、クラウドサービス、簡単なルール説明など、チェック項目を説明します。
- 処分プラン：リスクが検出された場合に、それを修正するための推奨される手動手順を提供します。
- ヘルプリソース：チェックオブジェクトの構成に関するヘルプドキュメントの URL を入力します。ヘルプドキュメントがない場合は、「None」と入力します。
- Risk Level：チェック項目のリスクレベル (高、中、または低) を設定して、ユーザーが影響を評価するのに役立てます。リスクレベルの詳細については、「リスクレベルの評価」をご参照ください。
チェック項目ルールの設定
Check Item Rule Settings タブで、以下のパラメーターを設定し、次へをクリックします。
- Check Item Target：指定された Service Provider に対してチェックするクラウドサービスのタイプを選択します。たとえば、ECS-Instance や OSS-Bucket などです。
- Associated Asset Settings (オプション)：他のアセットオブジェクトを含むチェックルールを設定するには、Add Associated Asset をクリックして、Check Item Target に関連付けられている VPC などのアセットを設定できます。
  説明
  - [関連付け可能な属性] ドロップダウンリストが空の場合、現在の Check Item Target は関連アセットとパラメーターをサポートしていません。利用可能なパラメーターは、コンソールに表示されるものに従います。
  - 設定後、Check Item Settings セクションで関連アセットの検出ルールを設定して、検出精度を向上させることができます。
  - Associable Attribute：現在の Check Item Target 内で、関連付けを作成するために使用できるパラメーターです。
  - Associated Asset：Associable Attribute と関連付けることができるアセットタイプです。
  - 関連アセットプロパティ：Associated Asset 内のパラメーターで、Associable Attribute に関連しています。
- Check Item Settings：チェックのコアロジックを定義します。
  1. Add Condition をクリックして、条件設定エリアを展開します。
  2. 設定エリアで、Add Condition または グループの追加 をクリックします。
    - 条件関係：
      - グループ内：1 つのグループに複数の条件を設定できます。関係は「AND」または「OR」に設定できます。各グループには最大 10 個の条件を含めることができます。
      - グループ間：複数のグループを設定できます。グループ間の関係も「AND」または「OR」に設定できます。各チェック項目には最大 5 つのグループを含めることができます。
    - パラメーターの説明：Check Item Target と Associated Asset に関連するパラメーターを設定できます。
      説明
      パラメーターの横にあるアイコンをクリックすると、そのデータの型、例、説明が表示されます。
    - 演算子の説明：
      In/NotIn：値がセット内に存在するかどうかをチェックします。
      Equals/NotEquals：2 つの値が等しいかどうかをチェックします。
保存とテスト
1. 必要な情報をすべて入力した後、Check Item Rule Settings タブの Test をクリックします。
2. Test エリアで、設定されたチェックオブジェクトに基づいて、ご利用のアカウントからテストインスタンス (OSS バケット、ECS インスタンス ID、SLS プロジェクトなど) を選択します。その後、Test をクリックします。
3. メッセージ The check item passed the check. が表示された場合、データは設定に基づいて正しく解析できます。テスト結果が期待どおりでない場合は、チェック条件が正しいことを確認して再度テストしてください。
4. テスト結果が期待どおりになったら、保存をクリックします。
  説明
  公開されていない保存済みのチェック項目は、編集、公開、または削除できます。
公開
テストに合格した後、Check Item Rule Settings タブの Publish をクリックするか、カスタムチェック項目リストに移動して、対象のチェック項目の 操作する 列にある Publish をクリックします。
重要
- 公開されたチェック項目のみがチェック項目リストに表示され、使用できます。
- 公開されたチェック項目は変更できません。

カスタムチェック項目の管理

CSPM Risk ページの右上隅にある Custom Check Item Management セクションで、カスタムチェック項目を表示、編集、公開、非公開、または削除できます。

非公開：チェック項目が非公開になると、そのルールと過去のスキャン結果はクリアされます。
編集：対象のチェック項目の名前をクリックして、編集ページに移動します。
説明
公開済みのチェック項目を修正するには、まず Deactivate する必要があります。
削除：チェック項目が削除されると、その過去のチェックデータとアラート情報もクリアされます。

事前定義済みチェック項目

適用範囲

事前定義済みのルールを修正するには、CSPM の有料版にサブスクライブする必要があります。詳細については、「クラウドセキュリティポスチャー管理の有料版へのサブスクライブ」をご参照ください。

操作手順

Security Center コンソール - リスクガバナンス - CSPM ページに移動します。左上隅で、保護したいアセットが所在するリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
設定のチェック タブで、Support Custom Parameters がはいに設定されているチェック項目を検索し、対象のチェック項目の名前をクリックします。
チェック項目の詳細パネルで、Parameter Configuration をクリックします。
説明
このボタンが表示されない場合、チェック項目の設定は変更できません。
Parameter Configuration パネルで、変更可能なパラメーター 列の + 変更可能なパラメーターの新規追加 をクリックし、ドロップダウンリストから変更したいパラメーターを選択します。
パラメーターの編集 列で、パラメーター値を変更し、OK をクリックします。
説明
変更されたルールは次のスキャンで有効になります。

チェックポリシーの設定

チェック項目を更新した後、自動検出ポリシーとホワイトリストポリシーを設定して、クラウドサービス構成リスクスキャンの範囲、頻度、および例外を管理できます。

自動検出ポリシーの設定：クラウドプラットフォーム設定の自動検出 機能を有効にして設定し、指定されたクラウドサービスに対してオンデマンドのリスクチェックを実行し、自動化された定期的なスキャンをスケジュールして、構成リスクを継続的に検出します。
ホワイトリストポリシーの設定：指定されたクラウドサービスインスタンスに対して特定のチェック項目を除外し、不要なリスクアラートを防ぎます。このポリシーは、定期的な自動チェックと手動チェックの両方に適用されます。

自動検出ポリシーの設定

リスクガバナンス > 設定のチェック タブの右上隅にある ポリシー管理 をクリックし、次に Cloud Service Scan Policy タブをクリックします。
クラウドプラットフォーム設定の自動検出 スイッチをオンにし、以下のパラメーターを設定します：
- チェックサイクル：リスクチェックの頻度を設定します。
- チェック時刻：チェックを実行する特定の時刻を設定します。
- チェック項目：「事前定義済みチェック項目」または「公開済みカスタムチェック項目」から選択します。
チェック項目を選択すると、リストの上に単一スキャンの見積もりクォータ消費量が表示されます。
説明
この値は参考用です。スキャン中に実際のインスタンス数が変わる可能性があります。
ポリシーが設定されると、Security Center はポリシーに基づいてクラウドサービス構成リスクを自動的にスキャンします。

ホワイトリストポリシーの設定

操作手順

リスクガバナンス > CSPM > 設定のチェックの右上隅にある ポリシー管理 をクリックします。
Whitelist Rule > By Check Item タブで、Create Whitelist Rule をクリックします。
表示されるパネルで、以下のパラメーターを設定し、OK をクリックします。
- Check Item：チェックから除外する特定の項目を選択します。詳細については、「チェックルール」をご参照ください。
- Policy Effective Scope：ポリシーが有効になる範囲を選択します。これは、ポリシーが新しいインスタンスに適用されるかどうかに影響します。
  - すべてのインスタンス：Check Item によってホワイトリストに登録します。指定されたクラウドプロダクトに対して、このチェックは現在および将来のすべてのインスタンスで実行されず、関連する脅威は脅威リストに表示されません。
  - 特定のインスタンス：インスタンス によってホワイトリストに登録します。現在選択されているインスタンスのみがこのチェックから除外されます。将来のインスタンスは引き続きこのチェックの対象となります。
  重要
  すべてのインスタンスをホワイトリストに登録することは、新しいセキュリティリスクが見過ごされる可能性がある高リスクな操作です。正確なホワイトリスト登録のために「特定のインスタンス」を使用することを推奨し、ホワイトリストポリシーの必要性を定期的に監査してください。

ホワイトリストポリシーの管理

ルールの管理：追加したホワイトリストルールは、クラウドサービスチェック項目ホワイトリスト リストに表示されます。このリストから、ルールを編集 (適用範囲の変更) または削除 (ホワイトリスト登録のキャンセル) できます。
自動同期：リスクを処理する際に、手動で「処理済み」または「ホワイトリスト登録済み」としてマークしたチェック項目のルールは、このホワイトリストに自動的に同期されます。詳細については、「クラウドサービスの失敗したチェック項目の処理」をご参照ください。

クラウドサービス構成リスクチェックの実行

Security Center は、定期的な自動チェックと即時の手動チェックをサポートしています。2 つのチェックモードは以下のとおりです：

定期的な自動チェック：システムは、自動検出ポリシーで指定したサイクルと時間に基づいてスキャンを自動的に実行します。
即時の手動チェック：
1. 設定のチェック タブで、操作する 列の [今すぐスキャン] をクリックします。
2. スキャンモードを選択します：
  - フルスキャン：カスタムおよび事前定義済みのチェック項目を含む、サポートされているすべてのクラウドサービスとチェック項目を包括的にスキャンします。
  - Scan By Policy：ポリシー管理 で選択されたチェック項目のみをスキャンします。
スキャンが完了すると、設定のチェック リストですべての失敗したチェック項目を表示し、提供されたソリューションに基づいて修正できます。

失敗したチェック項目の修正

クラウドサービス構成リスクチェックが完了した後、リスクガバナンス > CSPM ページの 設定のチェック タブに移動して、すべての失敗したチェック項目を表示し、提供されたソリューションに基づいて修正できます。詳細については、「失敗したチェック項目の表示と処理」をご参照ください。

よくある質問

公開済みのカスタムチェック項目に論理エラーが見つかった場合はどうすればよいですか？
1. CSPM ページの右上隅にある Custom Check Item Management に移動します。
2. 対象のチェック項目を見つけ、Deactivate をクリックして、再度編集可能にします。
  警告
  Deactivate 操作は、チェック項目のすべての過去のスキャン結果をクリアすることにご注意ください。この操作は元に戻せません。
3. チェック項目を修正し、十分にテストした後、再度公開します。
作成したカスタムチェック項目を表示するにはどうすればよいですか？
リスクガバナンス > CSPM ページの 設定のチェック タブで、設定したディレクトリに基づいてカスタムチェック項目を表示できます。