読み込んでいます...
一致する結果は見つかりませんでした。

Google Cloud コンソールでスキルを試す

ラボの設定手順と要件
アカウントと進行状況を保護します。このラボを実行するには、常にシークレット ブラウジング ウィンドウとラボの認証情報を使用してください。

データ侵害への対応と復旧

ラボ 1時間 30分 universal_currency_alt クレジット: 5 show_chart 入門
info このラボでは、学習をサポートする AI ツールが組み込まれている場合があります。
このコンテンツはまだモバイル デバイス向けに最適化されていません。
快適にご利用いただくには、メールで送信されたリンクを使用して、デスクトップ パソコンでアクセスしてください。
重要アイコン 重要:

スクリーンショット アイコン 各タスクの作業内容のスクリーンショットを撮り、ポートフォリオに追加してください。

デスクトップ パソコン / ノートパソコンのアイコン このハンズオンラボは、デスクトップ パソコンまたはノートパソコンでのみ完了するようにしてください。

チェック アイコン ラボごとに 5 回までしか試行できません。

クイズのターゲット アイコン なお、最初の試行で全問正解できないことや、タスクをやり直す必要があることはよくあります。これは学習プロセスの一部です。

タイマー アイコン ラボを開始すると、タイマーを一時停止することはできません。1 時間 30 分後にラボは終了し、最初からやり直す必要があります。

ヒントアイコン 詳しくは、ラボでの技術的なヒントの資料をご覧ください。

アクティビティの概要

このラボは、キャップストーン プロジェクトの一部です。このラボでは、クラウド サイバーセキュリティに関する知識を応用して、脆弱性を特定し、修復します。

ラボでは、シナリオと、Google Cloud Security Command Center で完了すべき一連のタスクが与えられます。これらのタスクでは、セキュリティ インシデントに関連する未対応の脆弱性を分析して修復するスキルを使用し、脆弱性に関する質問に答え、クラウド サイバーセキュリティ スキルの評価対象となる課題を完了する必要があります。

ラボには、いくつかの課題もあります。課題は、インストラクションなしで完了することを求められるタスクです。

このラボを完了すると、クラウド環境内のセキュリティの脆弱性や構成ミスを特定し、優先順位を付け、修復する能力を実証できます。これらのスキルは、Google Cloud 環境のセキュリティ ポスチャーを強化し、データ侵害、不正アクセス、その他のセキュリティ インシデントのリスクを軽減するために不可欠です。

シナリオ

あなたは、この 1 年間 Cymbal Retail でジュニア クラウド セキュリティ アナリストとして働いています。Cymbal Retail は、現在 28 か国で 170 の実店舗とオンライン プラットフォームを運営する市場の有力企業です。2022 年の収益は 150 億ドルで、現在、世界各国で 80,400 人の従業員を雇用しています。

Cymbal Retail は、広大な顧客基盤を誇り、オンライン プラットフォームでは毎日大量の取引が行われています。同社は、顧客、従業員、資産の安全とセキュリティを確保し、事業を展開するすべての国で、社内外の規制遵守の期待に応えるよう努めています。

最近、同社は大規模なデータ侵害を経験しました。あなたは、セキュリティ チームのジュニア メンバーとして、このセキュリティ インシデントのライフサイクル全体を通じてセキュリティ チームをサポートします。まず、侵害に関連する脆弱性を特定し、侵害を隔離して封じ込め、さらなる不正アクセスを防止します。次に、侵害されたシステムを復旧し、未解決のコンプライアンス関連の問題を修復し、フレームワークへのコンプライアンスを検証します。

その方法は次のとおりです。まず、Google Cloud Security Command Center で脆弱性と検出結果を確認します。次に、元の VM をシャットダウンし、スナップショットから新しい VM を作成します。その後、ストレージ バケットへの公開アクセスを取り消し、バケットレベルの均一なアクセス制御に切り替えます。次に、ファイアウォール ポートのアクセスを制限し、ファイアウォール ルールを修正します。最後に、レポートを実行して脆弱性の修復を確認します。

設定

[ラボを開始] をクリックする前に

こちらの手順をお読みください。ラボには時間制限があり、一時停止することはできません。[ラボを開始] をクリックすることでスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。

この実践ラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、以下が必要です。

  • 標準的なインターネット ブラウザ(Chrome を推奨)
注: このラボの実行には、シークレット モードまたはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウントの競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。
  • ラボを完了するための時間(開始後は一時停止できません)
注: すでに個人の Google Cloud アカウントやプロジェクトをお持ちの場合でも、このラボでは使用しないでください。アカウントへの追加料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

  1. [ラボを開始] ボタンをクリックします。左側の [ラボの詳細] パネルには、以下が表示されます。

    • 残り時間
    • [Google Cloud コンソールを開く] ボタン
    • このラボで使用する必要がある一時的な認証情報
    • このラボを行うために必要なその他の情報(ある場合)
    注: ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。

  2. [Google Cloud コンソールを開く] をクリックします(Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します)。新しいブラウザタブで [ログイン] ページが開きます。

    ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておくと、簡単に切り替えられます。

    注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

  3. 必要に応じて、下のGoogle Cloud ユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。[Next] をクリックします。

{{{user_0.username | "Google Cloud username"}}}

[ラボの詳細] パネルでも Google Cloud ユーザー名を確認できます。

  1. 以下の Google Cloud パスワードをコピーして、[ようこそ] ダイアログに貼り付けます。[Next] をクリックします。
{{{user_0.password | "Google Cloud password"}}}

[ラボの詳細] パネルでも Google Cloud のパスワードを確認できます。

重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。
  1. その後次のように進みます。
    • 利用規約に同意します。
    • 一時的なアカウントですので、復元オプションや 2 要素認証プロセスは設定しないでください。
    • 無料トライアルに登録しないでください。

しばらくすると、このタブで Cloud コンソールが開きます。

注: 左上にある [ナビゲーション メニュー] をクリックすると、Google Cloud のプロダクトやサービスのリストが含まれるメニューが表示されます。 ナビゲーション メニュー アイコンがハイライトされた Google Cloud コンソール メニュー

タスク 1. データ侵害を分析して情報を収集する

ある朝、セキュリティ チームはシステム内で異常なアクティビティを検出しました。このアクティビティをさらに調査した結果、同社がアプリケーション、ネットワーク、システム、データ リポジトリ全体で大規模なセキュリティ侵害を受けていることがすぐに明らかになりました。攻撃者が、クレジット カード データや個人情報などの機密性の高い顧客情報に不正にアクセスしていました。このインシデントに早急に対応し、徹底的に調査する必要があります。この侵害の範囲と影響を把握するための最初のステップは、情報を収集し、利用可能なデータを分析することです。

このタスクでは、Google Cloud Security Command Center で脆弱性と検出結果を確認して、攻撃者がどのようにデータにアクセスしたのか、どのような修復手順を行うべきかを判断します。

重要: このセクションに記載されている脆弱性は、事前に実行された特定のセキュリティ チェックで発見されたものです。一部のチェックがまだ実行されていない場合、このセクションの手順を完了しても、関連する脆弱性が Security Command Center に表示されないことがあります。しかし、心配は不要です。このタスクで提供される情報を使用して、利用可能な検出結果を分析し、この後のタスクで修復手順を進めることができます。

まず、Security Command Center にアクセスして、未対応の脆弱性の概要を確認します。

  1. Google Cloud コンソールのナビゲーション メニューnavigation_menu)で、[セキュリティ] > [リスクの概要] をクリックします。Security Command Center の [概要] ページが開きます。
  2. [構成ミス] ペインの [リソースタイプ別] タブを選択します。セキュリティの検出結果または脆弱性が、影響を受けるクラウド リソースのタイプ(インスタンス、バケット、データベースなど)に基づいて分類されています。リソースタイプ別に未対応の脆弱性と検出結果を確認することで、セキュリティの問題に優先順位を付けて効果的に対処できます。

Security Command Center の概要ページに、リソースタイプでフィルタされた未対応の脆弱性が表示されている

Cloud Storage バケットコンピューティング インスタンス仮想マシンファイアウォールに関連する、重大度「高」と「中」の検出結果があることがわかります。

次に、PCI DSS レポートにアクセスします。

  1. [Security Command Center] メニューで、[コンプライアンス] をクリックします。[コンプライアンス] ページが開きます。
  2. [Google Cloud コンプライアンス標準] セクションで、[PCI DSS 3.2.1] タイルの [詳細を表示] をクリックします。PCI DSS 3.2.1 レポートが開きます。
  3. [検出結果] 列をクリックして検出結果を並べ替え、未対応の検出結果をリストの上部に表示します。
注: PCI レポートの評価は、必ず次の手順に沿って行ってください。また、ページを更新しないでください。更新すると、必要なフィルタが削除され、正しい情報が表示されなくなります。

Payment Card Industry データ セキュリティ基準(PCI DSS)は、組織が機密性の高いカード会員データを保護するために従う必要がある一連のセキュリティ要件です。Cymbal Retail は、クレジット カード決済を受け付けて処理する小売企業として、カード会員データを保護するために PCI DSS 要件を確実に遵守する必要があります。

PCI DSS 3.2.1 レポートを確認すると、データ侵害に関連する違反があったルールがリストされていることがわかります。

  • ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります: この重大度「中」の検出結果は、ファイアウォール ルール ロギングが無効になっていることを示します。つまり、どのファイアウォール ルールが適用されているか、どのトラフィックが許可または拒否されているかの記録がありません。不審なアクティビティの追跡と調査が困難になるため、セキュリティ リスクと見なされます。
  • TCP ポートまたは UDP ポート 3389 に対して、すべての IP アドレスからの接続を許可しないようにファイアウォール ルールを構成する必要があります: この重大度「高」の検出結果は、ファイアウォールが、インターネット全体からネットワーク内のすべてのインスタンスへの Remote Desktop Protocol(RDP)トラフィックを許可するように構成されていることを示します。インターネット上の誰もがネットワーク内の任意のインスタンスの RDP ポートに接続できるため、セキュリティ リスクと見なされます。
  • TCP ポートまたは SCTP ポート 22 に対して、すべての IP アドレスからの接続を許可しないようにファイアウォール ルールを構成する必要があります: この重大度「高」の検出結果は、ファイアウォールが、インターネット全体からネットワーク内のすべてのインスタンスへの Secure Shell(SSH)トラフィックを許可するように構成されていることを示します。SSH は、コンピュータへの安全なリモート アクセスを可能にするプロトコルです。攻撃者が SSH を介してマシンにアクセスできる場合、データを盗んだり、マルウェアをインストールしたり、業務を妨害したりする可能性があります。
  • VM にパブリック IP アドレスを割り当てないでください: この重大度「高」の検出結果は、特定の IP アドレスが公共のインターネットに公開されており、権限のない個人がアクセスできる可能性があることを示します。攻撃者が脆弱性をスキャンしたり、関連するリソースに対して攻撃を開始したりする可能性があるため、この検出結果は潜在的なセキュリティ リスクと見なされます。
  • Cloud Storage バケットに対する匿名アクセスまたは一般公開アクセスを可能にしないでください: この重大度「高」の検出結果は、ストレージ バケットに一般公開されているアクセス制御リスト(ACL)エントリが存在することを示します。つまり、インターネット上の誰もがバケットに保存されているファイルを読み取ることができます。これは、優先的に修復する必要があるリスクの高いセキュリティ脆弱性です。
  • すべての Cloud API に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するようにインスタンスを構成しないでください: この重大度「中」の検出結果は、特定の ID またはサービス アカウントにすべての Google Cloud API への完全アクセス権が付与されていることを示します。Google Cloud 環境内で機密データへのアクセス、構成の変更、リソースの削除など、あらゆるアクションを実行する権限がその ID またはサービス アカウントに付与されているため、この検出結果は重大なセキュリティ リスクと見なされます。

ここでは、セキュリティ インシデントに関連する問題の特定と修復に重点を置いているため、完了すべき修復タスクに関連しない以下の検出結果は無視してください。

  • VPC ネットワーク内のすべてのサブネットで VPC フローログを有効にする必要があります: フローログが無効になっていることに関する重大度「低」の検出結果がいくつかあります。これは、このラボで使用する Google Cloud プロジェクトのいくつかのサブネットワークで、フローログが有効になっていないことを示します。フローログは、ネットワーク トラフィック パターンに関する貴重な分析情報を提供し、不審なアクティビティの特定やセキュリティ インシデントの調査に役立つため、潜在的なセキュリティ リスクと見なされます。
注: クラウド リソースのロギングを有効にすることは、オブザーバビリティを維持するうえで重要です。ただし、このラボ環境の一部であるサブネットワークに関するこの検出結果は、このラボのアクティビティでは修復しません。したがって、修復タスクを完了しても、この検出結果は引き続きレポートに表示されます。
  • 基本ロール(オーナー、書き込み、読み取り)は権限が大きすぎるため、使用しないでください: この重大度「中」の検出結果は、Google Cloud 環境内で基本ロールが使用されていることを示します。基本ロールでは幅広いリソースへの広範なアクセスが許可されるため、潜在的なセキュリティ リスクと見なされます。
  • 下り(外向き)拒否ルールを設定する必要があります: この重大度「低」の検出結果は、モニタリング対象のファイアウォールに下り(外向き)拒否ルールが定義されていないことを示します。この検出結果は送信トラフィックが制限されていないことを示唆しており、機密データが公開されたり、不正な通信が許可されたりする可能性があるため、潜在的なセキュリティ上の懸念と見なされます。

次の表は、レポートに記載されているルールと、対応する検出結果カテゴリをペアにしたものです。これは、後でリソースタイプ別に検出結果を調べるときに役立ちます。

検出結果カテゴリ ルール
ファイアウォール ルールのロギングが無効 ネットワーク アクセスを監査できるように、ファイアウォール ルール ロギングを有効にする必要があります
RDP ポートがオープン状態 TCP ポートまたは UDP ポート 3389 に対して、すべての IP アドレスからの接続を許可しないようにファイアウォール ルールを構成する必要があります
SSH ポートがオープン状態 TCP ポートまたは SCTP ポート 22 に対して、すべての IP アドレスからの接続を許可しないようにファイアウォール ルールを構成する必要があります
パブリック IP アドレス VM にパブリック IP アドレスを割り当てないでください
バケットの ACL が公開状態 Cloud Storage バケットに対する匿名アクセスまたは一般公開アクセスを可能にしないでください
API に対する完全アクセス権 すべての Cloud API に対する完全アクセス権を持つデフォルトのサービス アカウントを使用するようにインスタンスを構成しないでください
フローログが無効 VPC ネットワーク内のすべてのサブネットで VPC フローログを有効にする必要があります
基本ロールが使用されている 基本ロール(オーナー、書き込み、読み取り)は権限が大きすぎるため、使用しないでください
下り(外向き)拒否ルールが設定されていない 下り(外向き)拒否ルールを設定する必要があります

全体として、これらの検出結果は、セキュリティ管理の重大な欠如と、PCI DSS の必須要件に対する違反を示します。また、データ侵害に関連する脆弱性も示しています。

次に、Security Command Center にアクセスし、検出結果をフィルタして、Google Cloud 環境の脆弱性をさらに調査、分析します。

  1. Google Cloud コンソールのナビゲーション メニューnavigation_menu)で、[セキュリティ] > [検出結果] をクリックします。[検出結果] ページが開きます。
  2. [クイック フィルタ] パネルの [リソースタイプ] セクションで、[Google Cloud Storage バケット] リソースタイプのチェックボックスをオンにします。

ストレージ バケットに関する次の未対応の検出結果が一覧表示されるはずです。

  • バケットの ACL が公開状態: この検出結果は PCI DSS レポートに記載されており、インターネットにアクセスできる誰もがバケットに保存されているデータを読み取れることを示します。
  • バケット ポリシーのみ無効: バケット内のデータにアクセスできるユーザーを制御する明示的なバケット ポリシーが設定されていないことを示します。
  • バケットのロギングが無効: バケットのロギングが有効になっていないため、誰がデータにアクセスしているかの追跡が困難であることを示します。

これらの検出結果は、データが不正アクセスにさらされる可能性のあるセキュリティ設定の組み合わせでバケットが構成されていることを示します。これらの検出結果を修復するには、公開アクセス制御リストを削除し、公開バケット アクセスを無効にして、バケットレベルの均一なアクセス ポリシーを有効にする必要があります。

注: クラウド リソースのロギングを有効にすることは、オブザーバビリティを維持するうえで重要です。ただし、このラボのアクティビティでは、バケットのロギングが無効という検出結果の修復は行いません。それには、複数のプロジェクトの操作が必要になるからです。したがって、修復タスクを完了しても、この検出結果は引き続き表示されます。
  1. [クイック フィルタ] パネルの [リソースタイプ] セクションで、[Google Cloud Storage バケット] のチェックボックスをオフにし、[Google コンピューティング インスタンス] リソースタイプのチェックボックスをオンにします。

cc-app-01 という名前の仮想マシンに関連する次の未対応の検出結果が一覧表示されるはずです。

  • マルウェアの不正ドメイン: この検出結果は、マルウェアに関連付けられていることがわかっているドメインに、cc-app-01 という名前の google.compute.instance からアクセスがあったことを示します。この検出結果は重大度「低」と見なされますが、仮想マシン インスタンスで悪意のあるアクティビティが行われ、侵害が発生したことを示します。
  • Compute のセキュアブートが無効: この重大度「中」の検出結果は、仮想マシンのセキュアブートが無効になっていることを示します。仮想マシンを不正なコードで起動してシステムを侵害するために使用できる可能性があるため、セキュリティ リスクと見なされます。
  • デフォルトのサービス アカウントが使用されている: この重大度「中」の検出結果は、仮想マシンがデフォルトのサービス アカウントを使用していることを示します。デフォルトのサービス アカウントはアクセスレベルが高く、攻撃者がプロジェクトにアクセスした場合に悪用される可能性があるため、セキュリティ リスクと見なされます。
  • パブリック IP アドレス: この重大度「高」の検出結果は PCI DSS レポートに記載されており、仮想マシンにパブリック IP アドレスがあることを示します。インターネット上の誰もが仮想マシンに直接接続できるため、セキュリティ リスクと見なされます。
  • API に対する完全アクセス権: この重大度「中」の検出結果は PCI DSS レポートに記載されており、仮想マシンにすべての Google Cloud API への完全アクセス権が付与されていることを示します。

これらの検出結果は、仮想マシンを構成した方法が攻撃に対して非常に脆弱であったことを示します。これを修復するには、元の VM cc-app-01 をシャットダウンし、ディスクのクリーンなスナップショットを使用して別の VM cc-app-02 を作成します。新しい VM には、次の設定が適用されます。

  • コンピューティング サービス アカウントなし
  • 制御された SSH アクセス用の新しいルールのファイアウォール ルールタグ
  • セキュアブートが有効
  • パブリック IP アドレスの設定が [なし]
  1. [期間] フィールドでプルダウンを開き、[過去 30 日間] を選択します。これにより、過去 30 日間の検出結果がリストに含まれるようになります。
  2. [クイック フィルタ] パネルの [リソースタイプ] セクションで、[Google コンピューティング インスタンス] チェックボックスをオフにし、[Google コンピューティング ファイアウォール] リソースタイプのチェックボックスをオンにします。

ファイアウォールに関連する次の未対応の検出結果が一覧表示されるはずです。

  • SSH ポートがオープン状態: この重大度「高」の検出結果は、ファイアウォールが、インターネット全体からネットワーク内のすべてのインスタンスへの Secure Shell(SSH)トラフィックを許可するように構成されていることを示します。
  • RDP ポートがオープン状態: この重大度「高」の検出結果は、ファイアウォールが、インターネット全体からネットワーク内のすべてのインスタンスへの Remote Desktop Protocol(RDP)トラフィックを許可するように構成されていることを示します。
  • ファイアウォール ルールのロギングが無効: この重大度「中」の検出結果は、ファイアウォール ルール ロギングが無効になっていることを示します。つまり、どのファイアウォール ルールが適用されているか、どのトラフィックが許可または拒否されているかの記録がありません。

これらの検出結果はすべて PCI DSS レポートに記載されており、ネットワーク構成に重大なセキュリティ ギャップがあることを浮き彫りにしています。RDP ポートと SSH ポートへのアクセスが制限されておらず、ファイアウォール ルール ロギングが無効になっているため、不正アクセスの試みと潜在的なデータ侵害に対してネットワークが非常に脆弱な状態です。これを修復するため、広範すぎる既存のファイアウォール ルールを削除し、Google Cloud の IAP SSH サービスで使用されているアドレスからの SSH アクセスのみを許可するファイアウォール ルールに置き換える必要があります。

以上でセキュリティ脆弱性の分析が完了したので、レポートの検出結果を修復する作業に取りかかります。

タスク 2. Compute Engine の脆弱性を修正する

このタスクでは、脆弱な VM cc-app-01 をシャットダウンし、マルウェア感染前に取得されたスナップショットから新しい VM を作成します。VM スナップショットは、システムをクリーンな状態に復元するのに効果的で、新しい VM が元の VM を侵害したのと同じマルウェアに感染しないようにします。

  1. Google Cloud コンソールで、ナビゲーション メニューnavigation_menu)をクリックします。
  2. [Compute Engine] > [VM インスタンス] を選択します。[VM インスタンス] ページが開きます。

現在の VM cc-app-01 が [VM インスタンス] の下に表示されます。これは、侵害された脆弱な VM であり、シャットダウンする必要があります。

  1. VM cc-app-01 のチェックボックスをオンにします。
  2. [停止] をクリックします。
  3. VM を停止するかどうかを確認するポップアップが表示されるので、[停止] をクリックします。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

脆弱な VM をシャットダウンする

次に、スナップショットから新しい VM を作成します。このスナップショットは、Cymbal Retail の長期的なデータ バックアップ計画の一環としてすでに作成されています。

  1. アクションバーで [+ インスタンスを作成] をクリックします。
  2. [マシンの構成] セクションの [名前] フィールドに「cc-app-02」と入力します。
  3. [マシンタイプ] で、プルダウンを展開して [共有コア] を選択し、[e2-medium] を選択します。
  4. [OS とストレージ] セクションをクリックし、[オペレーティング システムとストレージ] の [変更] をクリックします。
  5. [スナップショット] タブを選択します。
  6. [スナップショット] プルダウン メニューを開き、[cc-app01-snapshot] を選択します。
  7. [選択] をクリックします。
  8. [ネットワーキング] セクションの [ネットワーク タグ] フィールドに「cc」と入力します。このタグを使用して、この特定の VM にファイアウォール ルールを適用します。
  9. [ネットワーク インターフェース] セクションで、[default] ネットワークを展開します。
  10. [外部 IPv4 アドレス] プルダウン メニューを開き、[なし] を選択します。
  11. [セキュリティ] セクションの [ID と API へのアクセス] セクションで、[サービス アカウント] プルダウン メニューを展開し、[Qwiklabs ユーザー サービス アカウント] を選択します。
  12. [作成] をクリックします。

これで、新しい VM cc-app-02cc-app01-snapshot から作成されます(新しい VM の作成には数分かかることがあります)。

次に、新しい VM cc-app-02 のセキュアブートをオンにして、セキュアブートが無効という検出結果に対処します。

  1. VM cc-app-02 のチェックボックスをオンにします。
  2. [停止] をクリックします。
  3. VM を停止するかどうかを確認するポップアップが表示されるので、[停止] をクリックします。

VM cc-app-02 が停止するまで待ってから次に進みます。

  1. [VM インスタンス] セクションで、cc-app-02 リンクをクリックします。cc-app-02 ページが開きます。
  2. [cc-app-02] ツールバーで [編集] をクリックします。[cc-app-02 インスタンスの編集] ページが開きます。
  3. 下にスクロールして [セキュリティとアクセス] セクションを表示し、[Shielded VM] で [セキュアブートをオンにする] オプションのチェックボックスをオンにします。これにより、Compute のセキュアブートが無効という検出結果に対処できます。
  4. [保存] をクリックします。
  5. [Compute Engine] メニューで、[VM インスタンス] を選択します。
  6. VM cc-app-02 のチェックボックスをオンにします。
  7. [開始 / 再開] をクリックします。
  8. VM を起動するかどうかを確認するポップアップが表示されるので、[起動] をクリックします。

cc-app-02 の VM インスタンスが再起動され、セキュアブートが無効という検出結果が修復されます。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

既存のスナップショットから新しい VM を作成する

課題: 侵害された VM を削除する

侵害された VM cc-app-01 を削除します。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

侵害された VM を削除する

上記の手順により、マルウェアや構成ミスの危険がない新しい VM をスナップショットから作成できました。また、侵害された VM を削除して、セキュリティ侵害の原因を排除しました。

タスク 3. Cloud Storage バケットの権限を修正する

このタスクでは、ストレージ バケットへの一般公開アクセスを取り消し、バケットレベルの均一なアクセス制御に切り替えて、データ侵害のリスクを大幅に軽減します。ストレージ バケットからすべてのユーザー権限を削除することで、バケット内に保存されているデータへの不正アクセスを防止できます。

  1. ナビゲーション メニューnavigation_menu)で、[Cloud Storage] > [バケット] をクリックします。[バケット] ページが開きます。
  2. _bucket ストレージ バケットのリンクをクリックします。[バケットの詳細] ページが開きます。

一般公開されているバケットに myfile.csv ファイルがあることに注目してください。これは、悪意のある行為者によってダンプされた、機密情報を含むファイルです。バケットの ACL が公開状態という検出結果に対処する手順は次のとおりです。

  1. [権限] タブをクリックします。

  2. [公開アクセス] タイルで、[公開アクセスの防止] をクリックします。

  3. [確認] をクリックします。

課題: ストレージ バケットのアクセス権を変更する

アクセス制御を「均一」に切り替え、ストレージ バケットから allUsers プリンシパルの権限を削除して、バケットとそのオブジェクトに単一の権限セットを適用します。また、基本プロジェクト ロールのみでバケットにアクセスするユーザーがアクセス権を失わないようにする必要があります。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

ストレージ バケットのアクセス権を変更する

上記の手順により、バケットへの公開アクセスを防止し、均一なバケットレベルのアクセス制御に切り替え、すべてのユーザー権限を削除して、バケットの ACL が公開状態バケット ポリシーのみ無効バケットのロギングが無効という検出結果に対処できました。

タスク 4. ファイアウォール ポートへのアクセスを制限する

このタスクでは、攻撃対象領域を最小限に狭め、不正なリモート アクセスのリスクを軽減するために、RDP ポートと SSH ポートへのアクセスを承認済みのソース ネットワークのみに制限します。

寛容すぎるファイアウォール ルールを変更する際は、細心の注意を払ってください。ルールが正当なトラフィックを許可している可能性があり、不適切に制限すると重要な業務の中断が生じるおそれがあります。このラボでは、ターゲットタグ「cc」でタグ付けされた Compute Engine 仮想マシン インスタンスが、Google Cloud Identity-Aware Proxy のアドレス範囲(35.235.240.0/20)からの SSH 接続で引き続きアクセスできるようにする必要があります。中断なしで管理アクセスを維持するには、任意のアドレスからの SSH 接続を許可する既存のルールを削除する前に、SSH トラフィック用の新しい制限付きアクセス ファイアウォール ルールを作成します。

課題: SSH アクセスを制限する

新しいファイアウォール ルール limit-ports を作成します。このルールでは、ソース ネットワーク 35.235.240.0/20 からターゲットタグ cc でタグ付けされたコンピューティング インスタンスへの SSH アクセスを、承認済みの IP アドレスのみに制限する必要があります。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

SSH アクセスを制限する

タスク 5. ファイアウォール構成を修正する

このタスクでは、VPC ネットワーク内の任意の送信元から特定のネットワーク プロトコル(ICMP、RDP、SSH)への無制限のアクセスを許可している 3 つの VPC ファイアウォール ルールを削除します。次に、残りのファイアウォール ルールでロギングを有効にします。

課題: ファイアウォール ルールをカスタマイズする

ファイアウォール ルール default-allow-icmpdefault-allow-rdpdefault-allow-ssh を削除します。これらのルールは広範すぎるため、削除することで、より安全で制御されたネットワーク環境を実現できます。

これらのルールを削除すると、該当プロトコルへのアクセスが制限され、不正アクセスの試みのおそれが減少し、ネットワークの攻撃対象領域が縮小されます。

ファイアウォール ルールをカスタマイズする

課題: ロギングを有効にする

残りのファイアウォール ルール limit-ports(前のタスクで作成したルール)と default-allow-internal のロギングを有効にします。

ロギングを有効にすると、このルールで許可されるトラフィック(VPC 内のインスタンス間の内部トラフィックである可能性が高い)を追跡および分析できます。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。

ロギングを有効にする

ファイアウォール ルールをカスタマイズしてロギングを有効にすることで、SSH ポートがオープン状態RDP ポートがオープン状態ファイアウォール ルールのロギングが無効という検出結果に対処できました。新しいファイアウォール ルールにより、ネットワークの保護が強化され、ネットワークの可視性が向上します。

タスク 6. コンプライアンスを検証する

PCI DSS 3.2.1 レポートで特定された脆弱性に丹念に対処した後は、修復作業の効果を検証することが重要です。このタスクでは、レポートを再度実行して、以前に特定された脆弱性が効果的に軽減され、環境に対するセキュリティ リスクが解消されたことを確認します。

  1. [Security Command Center] メニューで、[コンプライアンス] をクリックします。[コンプライアンス] ページが開きます。
  2. [Google Cloud コンプライアンス標準] セクションで、[PCI DSS 3.2.1] タイルの [詳細を表示] をクリックします。PCI DSS 3.2.1 レポートが開きます。
  3. [検出結果] 列をクリックして検出結果を並べ替え、未対応の検出結果をリストの上部に表示します。

以上で、主な脆弱性がすべて解決されました。

注: 重大度「高」と「中」の脆弱性には対処しましたが、複数のサブネットワークでフローログが無効なままです。この検出結果は、このラボ環境に関連しているため、修復タスクを完了した後も引き続きレポートに表示されます。

まとめ

これで完了です。

あなたは、Cymbal Bank のセキュリティ チームがデータ侵害の影響を軽減し、特定された脆弱性に対処して、Cymbal Bank の Google Cloud 環境のセキュリティ ポスチャーを大幅に強化できるよう支援しました。

まず、Google Cloud Security Command Center で脆弱性と検出結果を確認し、分析しました。

次に、元の VM をシャットダウンし、マルウェア感染前に取得されたスナップショットから新しい VM を作成しました。

その後、Cloud Storage 権限を修正しました。具体的には、ストレージ バケットへの公開アクセスを取り消し、バケットレベルの均一なアクセス制御に切り替えました。また、ストレージ バケットからすべてのユーザー権限を削除しました。

次に、ファイアウォール ルールを修正しました。具体的には、ファイアウォール ルール default-allow-icmp、default-allow-rdp、default-allow-ssh を削除し、残りのファイアウォール ルールのロギングを有効にしました。

最後に、コンプライアンス レポートを実行して、脆弱性の問題が修復されたことを確認しました。

セキュリティ アナリストとしては、定期的にセキュリティ監査を実施し、継続的なモニタリング プラクティスを実装して、進化する脅威と脆弱性からの保護を絶えず維持することが重要です。

ラボを終了する

すべてのタスクが問題なく完了したことを確認してから、ラボを終了してください。準備ができたら、[ラボを終了] をクリックし、[送信] をクリックします。

ラボを終了すると、ラボ環境へのアクセス権が削除され、完了した作業にもう一度アクセスすることはできなくなります。

Copyright 2026 Google LLC All rights reserved. Google および Google のロゴは、Google LLC の商標です。その他すべての社名および製品名は、それぞれ該当する企業の商標である可能性があります。

始める前に

  1. ラボでは、Google Cloud プロジェクトとリソースを一定の時間利用します
  2. ラボには時間制限があり、一時停止機能はありません。ラボを終了した場合は、最初からやり直す必要があります。
  3. 画面左上の [ラボを開始] をクリックして開始します

シークレット ブラウジングを使用する

  1. ラボで使用するユーザー名パスワードをコピーします
  2. プライベート モードで [コンソールを開く] をクリックします

コンソールにログインする

    ラボの認証情報を使用して
  1. ログインします。他の認証情報を使用すると、エラーが発生したり、料金が発生したりする可能性があります。
  2. 利用規約に同意し、再設定用のリソースページをスキップします
  3. ラボを終了する場合や最初からやり直す場合を除き、[ラボを終了] はクリックしないでください。クリックすると、作業内容がクリアされ、プロジェクトが削除されます

このコンテンツは現在ご利用いただけません

利用可能になりましたら、メールでお知らせいたします

ありがとうございます。

利用可能になりましたら、メールでご連絡いたします

1 回に 1 つのラボ

既存のラボをすべて終了して、このラボを開始することを確認してください

シークレット ブラウジングを使用してラボを実行する

このラボを実行するには、シークレット モードまたはシークレット ブラウジング ウィンドウを使用することをおすすめします。これにより、個人アカウントと受講者アカウントの競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。