クラウドサービス構成チェックを実行した後、Security Center コンソールで失敗した確認項目を確認し、提供された是正措置に従って対応します。リスクのある構成を修正することで、クラウド環境のセキュリティ、パフォーマンス、信頼性が向上します。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
セキュリティセンターコンソールへのアクセス
クラウドサービス構成の変更に必要な権限があること
チェック結果の表示
Security Center コンソールにログインします。上部ナビゲーションバーから、管理対象の資産が存在するリージョンを選択します: 中国 または 中国以外。
(任意)概要的な構成リスクの把握のために、リスクガバナンス > CSPM > リスク概要 へ移動します。クラウドプロバイダーを選択して資産を絞り込むか、空白のままにしてすべての資産を表示します。リスク概要には以下の情報が含まれます:リスクのあるクラウドサービス統計 エリアでは、従量課金モードで 使用済みクォータ が、サブスクリプションモードで 残りクォータ が表示されます。スケールアウト をクリックすると、追加クォータを購入できます。
検出された脅威タイプ
リスクのあるクラウドサービス統計
確認項目の合格率
確認項目の合格率の推移
資産単位のチェックの推移
過剰な権限を持つ上位 5 つのオブジェクト
リスクガバナンス > CSPM > クラウドサービス構成リスク へ移動し、個別の確認項目を確認します。
ページ上部の 確認項目の合格率 の行にカーソルを合わせると、高リスク(赤)、中リスク(オレンジ)、低リスク(黄色)、失敗(灰色)の各確認項目数が表示されます。> 重要: 高リスク項目は、ご利用の資産に対して重大な脅威を及ぼします。できる限り速やかに対応してください。
対応が必要なリスク項目を特定します。
または、リスク概要 タブの 確認項目の合格率 エリアにある 今すぐ是正 をクリックすると、ワンクリック是正が可能な項目に絞り込まれた クラウドサービス構成リスク タブへ直接移動します。左側の すべての確認項目 リストで、確認項目タイプをクリックすると、右側のリストにその関連リスクが表示されます。
リスト上部のフィルター機能を使って、リスクレベル、ステータス、確認項目名、確認項目タイプで結果を絞り込みます。たとえば、「ワンクリック是正対応可」でフィルターすると、Security Center が自動的に是正可能な項目を確認できます。
リスク項目の 操作 列で 詳細 をクリックし、確認項目の詳細パネルを開きます。このパネルには以下の 4 つのセクションがあります:
確認項目の説明 — 確認項目の評価対象およびその重要性
ソリューション — ステップごとの是正手順
ヘルプ — 追加の参照情報
影響範囲 — このリスクの影響を受けるクラウドサービスインスタンス
リスクのある構成の是正
確認項目の詳細パネルの 影響範囲 エリアには、構成リスクを有するすべてのインスタンスが表示されます。各インスタンスについて、リスクの是正またはホワイトリストへの登録を選択できます。
ワンクリック是正による対応
Security Center では、100 を超える確認項目に対してワンクリック是正をサポートしています。確認項目がワンクリック是正に対応しているかどうかを確認するには、ステータスが 不合格 のインスタンスの 操作 列に 是正 ボタンが表示されているかを確認します。もし 是正 ボタンが表示されない場合は、当該確認項目はワンクリック是正に対応していません。その場合は、代わりに ソリューション セクションに記載された手動是正手順に従ってください。
インスタンスを是正するには、以下の手順を実行します。
対象インスタンスの 操作 列で 是正 をクリックします。
是正パネルで、リスクのあるインスタンス情報、スキャン時刻、是正パラメーターを確認します。
是正前にパラメーターを調整する必要がある場合は、確認項目パラメーター をクリックし、パラメーター設定 パネルで パラメーター編集 を設定し、OK をクリックします。
今すぐ是正 をクリックします。
他のアカウントの構成を変更する権限がご利用のアカウントに付与されていない場合、表示されるダイアログで 権限付与 をクリックします。
ロールバック制限に関する通知がない場合、後ほど ロールバック をクリックして、以前の構成を復元できます。
是正後に再起動を促すメッセージが表示された場合は、インスタンスを再起動します。
複数のインスタンスを一度に是正するには、リスク一覧の下部にある 是正 をクリックする前に、対象となる複数のリスク項目を選択します。
クラウドサービスコンソールでの対応
リスクのあるインスタンス ID、アカウント ID、またはポリシー名をクリックすると、影響を受けるクラウドサービスのコンソールへ移動し、手動で是正を行えます。
リスクのホワイトリスト登録
リスク項目をホワイトリストに登録すると、Cloud Security Posture Management (CSPM) はそのリスクを報告しなくなり、総リスク数から除外されます。ホワイトリスト登録を行うのは、環境に対して実際には脅威を及ぼさないと確認済みの項目のみに限定してください。
検出された構成が意図的である場合、またはご利用の環境において許容可能である場合に、ホワイトリストを使用してリスク項目を除外できます。リスクが是正可能な場合は、ホワイトリスト登録ではなく是正を行ってください。
リスク項目をホワイトリストに登録するには、対応するインスタンスの確認項目詳細パネルの 影響範囲 エリアで ホワイトリストに登録 をクリックします。
すべてのホワイトリスト登録済み確認項目を表示するには、ポリシー管理 > ホワイトリストルール へ移動します。ホワイトリストから項目を削除するには、削除 をクリックします。
是正の検証
インスタンスの構成を変更した後、是正が正しく適用されたかを検証します。
対象のリスク項目の 操作 列で 検証 をクリックします。複数の項目を一度に検証するには、項目を選択したうえで、一覧下部の 検証 をクリックします。
検証が成功すると、インスタンスのステータスが 合格 に変わります。また、リスク項目に関連付けられたすべてのインスタンスが検証を通過すると、リスク項目自体のステータスも 合格 に変わります。
是正履歴の確認
ワンクリック是正で対応したリスク項目については、CSPM ページの右上隅にある 是正タスク管理 をクリックして、是正履歴を確認できます。
是正タスク管理 パネルには、是正タスク ID、確認項目、ステータスが表示されます。ここから、任意の是正に対して ロールバック または 検証 を実行できます。
詳細 をクリックすると、特定の是正タスクについて、確認項目の説明、ソリューション、ヘルプ、是正タイムライン を確認できます。
