Security Center:ベースラインリスクの表示と処理

チェック結果と提案の表示

以下の手順に従って、リスクの詳細、注意が必要な項目、および関連するサーバー情報を表示します。

1. Security Center コンソール にログインします。左上隅で、保護対象の資産が配置されているリージョンを選択します: 中国 または 全世界 (中国を除く)。

2. [リスクガバナンス] > [CSPM] ページで、[ベースラインリスク] タブをクリックします。

3. [リスクの詳細] タブで、チェック項目名別にリスクと修正の提案を表示します。

   • [合格率] セクションを展開して、ベースラインの合格率を表示します。合格率の行にカーソルを合わせると、高リスク (赤)、中リスク (オレンジ)、低リスク (黄)、および失敗 (グレー) のチェック項目の数が表示されます。

     

   • [チェック項目の統計] セクションで、[失敗] または [処理済みのチェック項目の合計] の下の数字をクリックすると、以下のリストに該当するチェック項目が表示されます。

     説明

     失敗したチェック項目には過去 30 日間のデータが含まれ、処理済みのチェック項目の合計には、リリースされた資産を除く過去 365 日間のデータが含まれます。

     

   • 対象のチェック項目の詳細と提案を表示します。

     リストの上にある検索コンポーネントを使用して、リスク レベル、ステータス、およびタイプ別に目的のチェック項目をフィルタリングするか、チェック項目名を入力して検索します。

     対象のチェック項目の [アクション] > [詳細] をクリックすると、詳細パネルに [説明]、[提案]、[関連ベースライン]、および影響を受ける資産のリストが表示されます。

     

4. [ベースラインチェックポリシー] タブで、ベースライン名別にリスクと修正の提案を表示します。

   • すべてのベースラインチェックポリシーまたは特定のポリシーの結果を確認します。

     [ベースラインチェックポリシー] タブのポリシー概要セクションで、 アイコンをクリックしてすべてのベースラインチェックポリシーを表示し、[すべてのポリシー] または特定のポリシーを選択します。[チェック済みサーバー]、[ベースライン]、[高脆弱パスワードリスク]、[前回のチェック合格率] などのポリシー情報が表示されます。デフォルトでは、[ベースラインチェックポリシー] タブには、[デフォルト] ポリシーに関する情報が表示されます。

     [高脆弱パスワードリスク] の下の数字をクリックすると、検出されたすべての高脆弱パスワードリスクを表示できます。

     重要

     • 脆弱なパスワードのリスクは、[高リスク] の重大度です。これらの高リスク項目はできるだけ早く修正することをお勧めします。パスワード セキュリティの向上と一般的なシステムでのパスワードの変更に関するガイダンスについては、「パスワード セキュリティの強化」をご参照ください。

     • [前回のチェック合格率] の下の数字の色分けインジケーターの意味は次のとおりです。

       • 緑: チェック項目の合格率が高い。

       • 赤: チェック項目の合格率が低い。各チェック項目の詳細を確認し、検出されたベースラインリスクに対処することをお勧めします。

     

   • ベースライン名と提案別に表示されるベースラインチェック結果のリスト

     1. ベースラインチェック結果のリストで、ベースライン名をクリックして詳細パネルを開きます。ここでは、影響を受ける資産、[合格項目]、およびそのベースラインの [リスク項目] を表示できます。

        

     2. ベースライン詳細パネルで、影響を受ける資産を見つけ、[アクション] 列の [表示] をクリックします。[リスク項目] パネルで、影響を受ける資産のすべてのベースラインリスクを表示します。

        説明

        チェック項目が [合格] の場合、サーバーの構成にリスクは存在しません。

        たとえば、Redis データベースのパスワードを構成せずに IP アドレス 127.0.0.1 にバインドした場合、アクセスはローカル ホストに制限されます。この場合、不正アクセスのベースラインチェックに合格し、関連するベースラインリスクは報告されません。ビジネス要件に基づいてアクセス制御ポリシーを実装するかどうかを決定できます。

        

     3. [リスク項目] パネルで、表示するリスク項目を見つけて、[アクション] 列の [詳細] をクリックします。[説明]、[チェックのヒント]、[提案] など、リスク項目に関する情報が表示されたメッセージが表示されます。

        

     4. オプション。 ベースライン詳細パネルに戻ります。右上隅のベースラインチェック結果のリストの上にある アイコンをクリックします。[ベースラインエクスポートタスクの選択] ダイアログ ボックスで、エクスポート方法を選択し、[エクスポート] ベースラインチェック結果をクリックします。

        

        次のエクスポート方法のいずれかを選択して、ベースラインチェック結果の脆弱なパスワードをエクスポートできます。

        • [プレーンテキストで脆弱なパスワードをエクスポート]: 脆弱なパスワードがプレーンテキストであるチェック結果をエクスポートします。

        • [脆弱なパスワードをマスクしてエクスポート]: 結果の脆弱なパスワードをマスクした後にチェック結果をエクスポートします。

失敗したチェック項目の処理

上記のように、[リスクの詳細] タブでチェック項目別に、または [ベースラインチェックポリシー] タブでベースライン別に、ベースラインリスクを処理できます。

次の例は、[リスク項目] パネルで提供される [提案] を使用して、ベースライン別にベースラインリスクを処理する方法を示しています。

1. [リスク項目] パネルで失敗したチェック項目を表示した後、[アクション] 列で次の操作から選択して、対応するリスク項目を処理できます。

   リスク項目の修正

   Security Center では、一部のベースラインリスクのみを修正できます。[リスク項目] パネルで、各リスク項目の [修正] ボタンを確認します。

   • [修正] ボタンが表示されない場合、ベースラインリスクは Security Center コンソールで修正できません。検出されたベースラインリスクのあるサーバーにログインして、その構成を変更する必要があります。変更を加えた後、[検証] ベースラインリスクが解決されているかどうかを確認します。

     

   • [修正] ボタンが表示される場合、Security Center コンソールでベースラインリスクを修正できます。

     

     1. [リスク項目] パネルで、対象のチェック項目の [アクション] 列の [修正] をクリックします。

     2. [資産のリスクの修正] ダイアログ ボックスで、次のパラメーターを構成し、[今すぐ修正] をクリックします。

        

        パラメーターは次のように説明されています。

        パラメーター	説明
        [修正方法]	ベースラインリスクを修正するために使用するメソッド。 説明 メソッドは、ベースラインリスクのタイプによって異なります。必要に応じて、このパラメーターを構成できます。
        [バッチ処理]	複数の資産の同じベースラインリスクを一度に処理するかどうかを指定します。
        [システム保護]	スナップショットを作成してシステム データをバックアップするかどうかを指定します。 警告 Security Center がベースラインリスクの修正に失敗し、ワークロードに影響を与える可能性があります。これらのリスクの修正を試みる前に、システムのバックアップを作成することをお勧めします。Security Center がリスクの解決に失敗した場合、バックアップを使用してシステムを以前のスナップショットに復元し、ワークロードがスムーズに実行されるようにすることができます。 [スナップショットを自動的に作成してリスクを修正]: このオプションを選択した場合、[今すぐ修正] をクリックする前に、[スナップショット名] パラメーターと [スナップショットの保持期間] パラメーターを構成する必要があります。 説明 作成されたスナップショットに対して課金されます。[スナップショット課金] をクリックして、スナップショット サービスの課金方法を表示できます。 [スナップショットをスキップして修正]: ベースラインリスクを修正する前にスナップショットを作成したくない場合は、このオプションを選択して [今すぐ修正] をクリックします。

   ロールバック

   ECS インスタンスのベースラインリスクを修正する前に、インスタンスのスナップショットを作成することをお勧めします。これにより、リスク解決の失敗によって サービス中断 が発生した場合に、インスタンスをロールバックできます。ロールバックを実行するには、ベースライン詳細パネルでインスタンスを見つけて、[アクション] 列の [ロールバック] をクリックします。[ロールバック] ダイアログ ボックスで、作成したスナップショットを選択し、[OK] をクリックします。

   

   インスタンスの構成は、スナップショットに基づいて復元されます。

   ホワイトリストの構成

   サーバーのステータスが [不合格] のチェック項目を信頼する場合は、ホワイトリストに追加できます。これにより、サーバー上のそのチェック項目に対して生成されたアラートが無視されます。

   重要

   サーバーのチェック項目をホワイトリストに追加すると、そのサーバーで検出された対応するベースラインリスクが無視されます。

   たとえば、ルート以外のアカウントを使用してインスタンスにログインし、これが通常のワークロードに必要なことを確認した場合、リスク項目をホワイトリストに追加できます。

   管理するサーバーの [リスク項目] パネルで、ホワイトリストに追加するベースラインチェック項目を見つけ、[アクション] 列の [ホワイトリストに追加] をクリックします。表示されるダイアログ ボックスで、ベースラインチェック項目をホワイトリストに追加する理由を指定し、[OK] をクリックします。

   

   複数のベースラインチェック項目をホワイトリストに追加するには、[不合格] ステータスのチェック項目を選択し、左下隅の [ホワイトリストに追加] をクリックします。

   [リスクの詳細] タブで、複数の資産のチェック項目をホワイトリストに登録することもできます。

   • すべての資産の指定されたチェック項目をホワイトリストに登録する

     [リスクの詳細] タブで、ホワイトリストに追加するベースラインチェック項目を見つけ、[アクション] 列の [ホワイトリストに追加] をクリックします。複数の項目をホワイトリストに登録するには、それらを選択し、チェック項目リストの左下隅にある [ホワイトリストに追加] をクリックします。

   • 単一のチェック項目の特定の資産をホワイトリストに登録する

     [リスクの詳細] タブで、目的のチェック項目を見つけ、[アクション] 列の [詳細] をクリックします。詳細パネルで、ホワイトリストに登録するサーバーを選択し、サーバーリストの左下隅にある [ホワイトリストに追加] をクリックします。

   ホワイトリストから削除

   ベースラインチェック項目でアラートが再びトリガーされるようにするには、ホワイトリストから削除するか、以前に削除したサーバーを関連付けられたベースラインチェックポリシーの影響を受けるサーバーに再び追加します。チェック項目をホワイトリストから削除するか、サーバーを再び追加すると、アラートがトリガーされます。

   ベースラインチェック項目をホワイトリストから削除するには、[リスク項目] パネルでその項目を見つけ、[アクション] 列の [ホワイトリストから削除] をクリックします。表示されるダイアログ ボックスで、[OK] をクリックします。複数のチェック項目を削除するには、それらを選択し、左下隅の [ホワイトリストから削除] をクリックします。

2. 処理結果を確認します。

   [リスク項目] パネルで、管理するベースラインチェック項目を見つけ、[アクション] 列の [検証] をクリックします。次に、サーバーのベースラインリスクが修正されているかどうかを確認します。検証が成功すると、ベースラインリスクが修正され、[リスク項目] 列の数が減少し、リスク項目のステータスが [合格] に変わります。

   説明

   手動検証を行わなくても、Security Center は、ベースラインチェックポリシーで指定された検出間隔に従って、ベースラインリスクが修正されているかどうかを自動的にチェックします。