重要:

このハンズオンラボは、デスクトップまたはノートパソコンでのみ完了するようにしてください。

ラボごとに 5 回までしか試行できません。

なお、最初の試行で全問正解できないことや、タスクをやり直す必要があることはよくあります。これは学習プロセスの一部です。

ラボを開始すると、タイマーを一時停止することはできません。1 時間 30 分後にラボは終了し、最初からやり直す必要があります。

詳しくは、ラボでの技術的なヒントの資料をご覧ください。

アクティビティの概要

レポートは、特にサイバーセキュリティ、コンプライアンス、品質保証に関する調査結果を修正するのに不可欠です。これらのレポートでは、脆弱性、問題、または確立された基準への非準拠が強調されることがよくあります。これらのレポートを分析することで、改善すべき領域を特定し、データに基づいたエビデンスを収集して、情報に基づいた意思決定を行うことができます。具体的なデータにより、特定された問題に対処するための効率的な優先順位付けとリソースの割り当てが可能になります。

そのため、レポートに記載されている調査結果に対処することで、悪用される可能性のある潜在的なリスクや脆弱性を軽減できます。これはサイバーセキュリティでは特に重要です。未対処の問題がデータやシステムの侵害につながる可能性があるためです。

クラウド セキュリティ アナリストは、確立された基準に照らしてコントロールを評価し、組織のセキュリティ ポスチャーが効果的で、コンプライアンスを維持し、業界のベスト プラクティスに沿っていることを確認する責任があります。この評価プロセスは、リスク管理、コンプライアンス、継続的なセキュリティ改善に不可欠であり、最終的には組織が機密データ、システム、全体的な評判を保護するのに役立ちます。

このラボでは、Security Command Center インターフェースを使用して、脅威と脆弱性を特定して修復し、問題が解決されたことを確認します。

シナリオ

Cymbal Bank に新たに任命されたジュニア クラウド セキュリティ アナリストとして、重要な責務の一つに、脅威と脆弱性をタイムリーかつ効果的に特定して軽減することがあります。チームリーダーのクロエから、社内ネットワークのセキュリティに関する懸念を指摘するレポートが届きました。具体的には、機密文書が含まれていて構成が誤っている Cloud Storage バケットが組織内にあることを最近発見しました。バケットを正しく構成し、問題が解決したことを確認する必要があります。

方法: まず、Security Command Center を使用してセキュリティ脅威を特定し、検証します。次に、高リスクと中リスクの問題を修復します。最後に、コンプライアンス レポートを実行して、修復が成功したことを確認します。

設定

[ラボを開始] をクリックする前に

こちらの手順をお読みください。ラボには時間制限があり、一時停止することはできません。[ラボを開始] をクリックすることでスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。

この実践ラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、以下が必要です。

• 標準的なインターネット ブラウザ（Chrome を推奨）

注: このラボの実行には、シークレット モードまたはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウントの競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。

• ラボを完了するための時間（開始後は一時停止できません）

注: すでに個人の Google Cloud アカウントやプロジェクトをお持ちの場合でも、このラボでは使用しないでください。アカウントへの追加料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

1. [ラボを開始] ボタンをクリックします。左側の [ラボの詳細] パネルには、以下が表示されます。

   • 残り時間
   • [Google Cloud コンソールを開く] ボタン
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）
   注: ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。新しいブラウザタブで [ログイン] ページが開きます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておくと、簡単に切り替えられます。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のGoogle Cloud ユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。[Next] をクリックします。

{{{user_0.username | "Google Cloud username"}}}

[ラボの詳細] パネルでも Google Cloud ユーザー名を確認できます。

4. 以下の Google Cloud パスワードをコピーして、[ようこそ] ダイアログに貼り付けます。[Next] をクリックします。

{{{user_0.password | "Google Cloud password"}}}

[ラボの詳細] パネルでも Google Cloud のパスワードを確認できます。

重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

5. その後次のように進みます。
   • 利用規約に同意します。
   • 一時的なアカウントですので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルに登録しないでください。

しばらくすると、このタブで Cloud コンソールが開きます。

注: 左上にある [ナビゲーション メニュー] をクリックすると、Google Cloud のプロダクトやサービスのリストが含まれるメニューが表示されます。

タスク 1. Security Command Center（SCC）で脆弱性を特定する

このタスクでは、Security Command Center（SCC）を使用してプロジェクトのコンプライアンス状況を確認し、修復が必要な高リスクと中リスクの脆弱性を特定します。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[セキュリティ] > [概要] を選択します。Security Command Center の [概要] ページが開きます。
2. [Security Command Center] メニューで、[脆弱性] をクリックします。[脆弱性] ページが開きます。

未対応の脆弱性が多数リストされています。フィルタを使用して、モジュール ID で指定された検出結果を検索できます。ストレージ バケットについてリストされている次のアクティブな検出結果に焦点を当てます。

• 公開バケット ACL（PUBLIC_BUCKET_ACL）: このエントリは、インターネット上の誰でもバケットに保存されているファイルを読み取ることができる、一般公開されているストレージ バケットのアクセス制御リスト（ACL）エントリがあることを示しています。これは、修復を優先する必要があるリスクの高いセキュリティ脆弱性です。

• バケット ポリシーのみが無効（BUCKET_POLICY_ONLY_DISABLED）: このエントリは、バケットで均一なバケットレベルの権限が有効になっていないことを示します。均一なバケットレベルのアクセスでは、Cloud Storage のバケットとオブジェクトにアクセスできるユーザーを制御する方法が提供され、Cloud Storage リソースへのアクセス権の付与方法が簡素化されます。これは中リスクの脆弱性であり、修復する必要があります。

• バケットのロギングが無効（BUCKET_LOGGING_DISABLED）: このエントリは、ロギングが有効になっていないストレージ バケットがあることを示します。これはリスクの低い脆弱性であり、このシナリオでは修復する必要はありません。

注: 公開バケット ACL またはバケット ポリシーのみが無効が表示されない場合や、アクティブな検出結果が表示されない場合は、数分待ってから更新してください。これらの脆弱性がアクティブな検出結果として表示されるまで待ってから続行します。

次に、脆弱性の問題を特定するコンプライアンス レポートを実行します。

3. [Security Command Center] メニューで、[コンプライアンス] をクリックします。[コンプライアンス] ページが開きます。
4. [Google Cloud コンプライアンス標準] セクションで、[CIS Google Cloud Platform Foundation 2.0] タイルの [詳細を表示] をクリックします。CIS Google Cloud Platform Foundation 2.0 レポートが開きます。
5. [検出結果] 列をクリックして検出結果を並べ替え、アクティブな検出結果をリストの上部に表示します。

タスク 2. セキュリティの脆弱性を修復する

このタスクでは、前のタスクで特定されたセキュリティの脆弱性を修復します。次に、レポートで Cloud Storage バケットのセキュリティ ステータスを確認し、問題が修復されたことを確認します。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[Cloud Storage] > [バケット] を選択します。
2. [フィルタ] セクションで、プロジェクトのバケットの [名前] リンク（）をクリックします。[バケットの詳細] ページが開きます。
3. [権限] タブをクリックします。[権限] セクションには、バケットに付与されているすべての権限が一覧表示されます。

まず、Cloud Storage バケットへの公開アクセスを削除します。

4. [権限] セクションで、[ロール別に表示] タブをクリックします。
5. [Storage オブジェクト閲覧者] ロールを展開し、[allUsers] のチェックボックスをオンにします。
6. [アクセス権を削除] をクリックします。
7. アクセス権の削除を確認するポップアップが表示されます。[このリソースのロール「Storage オブジェクト閲覧者」から allUsers を削除] が選択されていることを確認し、[削除] をクリックします。

次に、アクセス制御を均一に切り替えます。これにより、バケットとそのオブジェクトに対して単一（均一）の権限セットが適用されます。

8. [アクセス制御] タイルで、[均一に切り替える] をクリックします。
9. [アクセス制御を編集] ダイアログで、[均一] を選択します。
10. [保存] をクリックします。

最後に、コンプライアンス レポートを実行して、脆弱性の問題が修復されたことを確認します。

11. Google Cloud コンソールのナビゲーション メニュー（）で、[セキュリティ] > [コンプライアンス] を選択します。
12. [CIS Google Cloud Platform Foundation 2.0] タイルで、[詳細を表示] をクリックしてレポートを再度表示します。

「Cloud Storage バケット対する匿名アクセスまたは一般公開アクセスを可能にしないでください」と「「バケット ポリシーのみ」を有効にする必要があります」ルールのアクティブな検出結果の数が 0 になりました。これは、Cloud Storage バケットの公開バケット ACL とバケット ポリシーのみが無効の脆弱性が修復されたことを示しています。

注: 脆弱性の修復が完了しても、公開バケット ACL またはバケット ポリシーのみが無効のアクティブな検出結果が 0（ゼロ）と表示されない場合は、数分待ってから更新してください。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

セキュリティの脆弱性を修復する

まとめ

これで完了です。

このラボ全体を通して、Security Command Center を使用して脅威を特定し、優先順位を付ける実践的な経験を積みました。また、プロジェクトで特定された脆弱性を修復し、脆弱性が修復されたことを確認するレポートを生成しました。

脆弱性を修復し、Cloud Storage バケットのコンプライアンス ステータスを確保することで、組織がデータ侵害、不正アクセス、データ損失を防ぐのに役立ちました。

ラボを終了する

すべてのタスクが問題なく完了したことを確認してから、ラボを終了してください。準備ができたら、[ラボを終了] をクリックし、[送信] をクリックします。

ラボを終了すると、ラボ環境へのアクセス権が削除され、完了した作業にもう一度アクセスすることはできなくなります。

Copyright 2026 Google LLC All rights reserved. Google および Google のロゴは、Google LLC の商標です。その他すべての社名および製品名は、それぞれ該当する企業の商標である可能性があります。