重要:

このハンズオンラボは、デスクトップまたはノートパソコンでのみ完了するようにしてください。

ラボごとに 5 回までしか試行できません。

なお、最初の試行で全問正解できないことや、タスクをやり直す必要があることはよくあります。これは学習プロセスの一部です。

ラボを開始すると、タイマーを一時停止することはできません。1 時間 30 分後にラボは終了し、最初からやり直す必要があります。

詳しくは、ラボでの技術的なヒントの資料をご覧ください。

アクティビティの概要

誤検知とは、脅威の存在を誤って検出するアラートです。誤検出は、正当なユーザーの正規のアクティビティによってトリガーされることがあります。セキュリティ チームは、誤検知のアラートを調査するために多くの時間とリソースを費やしても、最終的には実際には脅威がないことを発見するだけかもしれません。

このラボでは、誤検出アラートを生成するアクティビティを再現します。次に、Security Command Center（SCC）を使用して誤検出の脅威にアクセスして分析し、それに対処するためのアクションを実行します。このラボでは、2 つの別々のアカウントを使用します。1 つは誤検出をトリガーするアカウント、もう 1 つは誤検出を分析して修正するアカウントです。

シナリオ

チームリーダーのクロエは、重大度が低いセキュリティ アラートの通知を受けました。このアラートは、ユーザー管理のキーを通じて安全でないキー管理方法を使用している、幅広い権限を持つサービス アカウントを特定しました。さらに調査したところ、クラウド アーキテクトのハンクが意図せずこのアラートをトリガーしたことがわかりました。ハンクは新しいサービス アカウントをテストしていましたが、誤ってテストユーザー アカウントのキーを作成してしまいました。このアラートは、誤検出として対処され、クローズされました。

クロエは、このアラートが誤検出アラートの優れた例になると考えています。クロエは、誤検出アラートをトリガーしたアクティビティを再現するよう指示しました。アラートを分析して、修復します。誤検出を再現するこのプロセスは、アラートがトリガーされた理由と方法、および誤検出アラートをさらに軽減するための効果的なセキュリティ ポリシーを実装する方法を理解するのに役立つ貴重な学習体験となります。

このタスクは次のように行います。まず、サービス アカウントを作成し、ロールを割り当て、キーを提供してサービス アカウントを有効化することで、誤検出を再現します。次に、Security Command Center（SCC）を使用して、トリガーしたアクティビティに関連する脆弱性の検出結果にアクセスします。最後に、脆弱性の検出結果を修正するアクションと、誤検知を修正するアクションを実行します。

設定

[ラボを開始] をクリックする前に

こちらの手順をお読みください。ラボには時間制限があり、一時停止することはできません。[ラボを開始] をクリックすることでスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。

この実践ラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、以下が必要です。

• 標準的なインターネット ブラウザ（Chrome を推奨）

注: このラボの実行には、シークレット モードまたはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウントの競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。

• ラボを完了するための時間（開始後は一時停止できません）

注: すでに個人の Google Cloud アカウントやプロジェクトをお持ちの場合でも、このラボでは使用しないでください。アカウントへの追加料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

1. [ラボを開始] ボタンをクリックします。左側の [ラボの詳細] パネルには、以下が表示されます。

   • 残り時間
   • [Google Cloud コンソールを開く] ボタン
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）
   注: ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。新しいブラウザタブで [ログイン] ページが開きます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておくと、簡単に切り替えられます。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のGoogle Cloud ユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。[次へ] をクリックします。

{{{user_0.username | "Google Cloud username 1"}}}

[ラボの詳細] パネルでも Google Cloud ユーザー名を確認できます。

4. 以下の Google Cloud パスワードをコピーして、[ようこそ] ダイアログに貼り付けます。[次へ] をクリックします。

{{{user_0.password | "Google Cloud password"}}}

[ラボの詳細] パネルでも Google Cloud のパスワードを確認できます。

重要: 認証情報は左側のパネルに表示されたものを使用してください。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

5. その後次のように進みます。
   • 利用規約に同意します。
   • 一時的なアカウントですので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルに登録しないでください。

その後このタブで Cloud Console が開きます。

注: 左上にあるナビゲーション メニューをクリックすると、Google Cloud のプロダクトやサービスのリストが含まれるメニューが表示されます。

タスク 1. サービス アカウントを作成する

注: username 1 の Google Cloud コンソールタブにいるようにしてください。

このタスクでは、サービス アカウントを作成し、SCC で異常な脅威の検出をトリガーするのに十分な権限を付与します。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[IAM と管理] > [サービス アカウント] をクリックします。

2. アクションバーで [+ サービス アカウントを作成] をクリックします。

3. [サービス アカウントの詳細] セクションで、次の操作を行います。

   • [サービス アカウント名] フィールドに「test-account」と入力します。

     サービス アカウント ID が自動的に入力されます。

   • [作成して続行] をクリックします。

     「サービス アカウントが作成されました」というポップアップ メッセージが表示されます。

4. [このサービス アカウントにプロジェクトへのアクセスを許可する] セクションで、[ロールを選択] プルダウン メニューを展開し、[基本]、[オーナー] の順に選択します。

5. [続行] をクリックして [完了] をクリックします。

[サービス アカウント] リストに test-account サービス アカウントが表示されていることを確認します。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。 サービス アカウントを作成する

タスク 2. サービス アカウントに JSON キーを作成する

注: username 1 の Google Cloud コンソールタブにいるようにしてください。

このタスクでは、前のタスクで作成した新しいサービス アカウントの JSON 認証キーを作成してダウンロードします。次に、Cloud Shell を使用して、そのキーを Google Cloud アカウントにアップロードします。これにより、SCC で脅威の検出がトリガーされます。

1. サービス アカウント ページで、続いて test-account サービス アカウントの行にある [操作]（）> [鍵を管理] をクリックします。[test-account] ページが開きます。

2. [鍵] セクションで、[鍵を追加 > 新しい鍵を作成] をクリックします。

3. [秘密鍵の作成] ダイアログで、[キーのタイプ] を [JSON] に設定します。

4. [作成] をクリックします。

   コンソールで、キーをローカル デバイスにダウンロードするよう求められます。ダウンロードしたら、Cloud Shell を使用してキーを Google Cloud（学生）アカウントにアップロードします。

5. ローカル デバイスで、ダウンロードしたキーファイルに移動し、名前を test-account に変更します。

6. Google Cloud コンソールで、Cloud Shell をアクティブにする（）アイコンをクリックします。

7. [続行] をクリックします。

   Cloud Shell 環境のプロビジョニングと接続には少ししか時間がかからないはずです。

8. Cloud Shell のタイトルバーで、[その他]（）> [アップロード] > [ファイルを選択] をクリックします。

9. ローカルマシンでファイルに移動して選択し、[アップロード] ダイアログで [アップロード] をクリックします。

10. 以下のコマンドを Cloud Shell ターミナルにコピー入力します。

    ls

このコマンドは、先ほどアップロードした鍵ファイルを一覧表示します。

11. Enter キーを押します。

[test-account] ページの [キー] リストで、作成したキーが [キーの作成日] として現在の日付で表示されていることを確認します。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。 サービス アカウントの JSON 認証キーを作成する

タスク 3. 誤検出の検出結果をトリガーする

注: username 1 の Google Cloud コンソールタブにいるようにしてください。

このタスクでは、タスク 1 で作成した新しい test-account サービス アカウントを使用するように Cloud Shell 環境を再構成します。これにより、SCC で脅威の検出結果がトリガーされます。次に、ラボプロジェクトに過剰な権限を割り当てます。

1. 以下のコマンドを Cloud Shell ターミナルにコピー入力します。

   export PROJECT_ID=$(gcloud info --format='value(config.project)') export SA_NAME="test-account@${PROJECT_ID}.iam.gserviceaccount.com" gcloud auth activate-service-account ${SA_NAME} --key-file=test-account.json

このコマンドは、新しいサービス アカウントを有効にします。

2. Enter キーを押します。

3. 以下のコマンドを Cloud Shell ターミナルにコピー入力します。

   gcloud auth list

このコマンドは、サービス アカウントが有効化され、gcloud がこのサービス アカウントを使用していることを確認します。

4. Enter キーを押します。

   出力で、次の行はサービス アカウントがアクティブであることを示しています。

   出力:

   ACTIVE: * ACCOUNT: test-account@{{{project_0.project_id | "Google Cloud project ID"}}}.iam.gserviceaccount.com

5. 以下のコマンドを Cloud Shell ターミナルにコピー入力します。

   export STUDENT2={{{user_1.username | "Google Cloud username 2"}}} gcloud projects add-iam-policy-binding $PROJECT_ID --member user:$STUDENT2 --role roles/editor

このコマンドは、ユーザー 2 に編集者のロールを付与します。これにより、次のタスクで誤検出の検出結果にアクセスして修正できます。

6. Enter キーを押します。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。 過剰な権限を割り当てて脅威検出をトリガーする

タスク 4. 2 人目のユーザーとしてログインする

ラボの詳細パネルに記載されている 2 つ目のユーザー アカウントを使用して Google Cloud コンソールにログインし、Google Cloud アカウントを切り替える必要があります。このユーザー アカウントを使用して、残りのタスクを実行します。

1. Google Cloud コンソールで、画面右上にあるユーザー アイコンをクリックし、[アカウントを追加] をクリックします。

2. [ラボの詳細] パネルに戻り、Google Cloud ユーザー名 2: とパスワードをコピーします。次に、ユーザー名とパスワードを Google Cloud コンソールの [ログイン] ダイアログに貼り付けます。

タスク 5. SCC で脅威の検出結果を表示する

注: username 2 の [Google Cloud コンソール] タブにいるようにしてください。

このタスクでは、Event Threat Detection サービスによって生成された SCC の検出結果を見つけて調べます。この検出結果は、タスク 1 ～ 3 で生成したアクティビティによってトリガーされた誤検出です。

SCC で Event Threat Detection の検出結果を表示するには:

1. ナビゲーション メニュー（）で、[セキュリティ] > [検出結果] をクリックします。

2. [クイック フィルタ] ペインで、[カテゴリ] セクションを見つけて、[ユーザー管理のサービス アカウント キー] を選択します。必要に応じて、[もっと見る] をクリックして確認します。

   [検出クエリの結果] パネルが更新され、選択した検出結果カテゴリのみが表示されます。

3. [検出結果クエリの結果] パネルで、[カテゴリ] 列の最新の（[イベント時間] を参照）[ユーザー管理のサービス アカウント キー] をクリックして、検出結果の詳細を表示します。検出結果の詳細パネルが開き、[概要] タブが表示されます。

ユーザー管理サービス アカウント キーのページを開いたままにして、次の質問に答えます。

タスク 6. 検出結果を修正する

注: username 2 の [Google Cloud コンソール] タブにいるようにしてください。

このタスクでは、test-account サービス アカウントの JSON 認証キーを削除して、誤検出を修正します。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[IAM と管理] > [サービス アカウント] をクリックします。

2. [サービス アカウント] ページで、test-account サービス アカウントのメールアドレスをクリックします。

3. [キー] タブをクリックします。

4. キーの一覧で、[サービス アカウント キーを削除]（）アイコンをクリックしてキーを削除します。操作の確認を求めるポップアップが表示されます。[削除] をクリックします。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。 キーを削除する

まとめ

これで完了です。

このラボはこれで完了です。 SCC を使用して誤検出を調査し、修復するための措置を講じました。クラウド セキュリティ アナリストは、誤検出のアラートに遭遇することがよくあります。誤検出アラートがどのようにして、どのような理由でトリガーされるのかを理解し、それらを修復するためのアクションを実行する方法を把握することが重要です。

ラボを終了する

すべてのタスクが問題なく完了したことを確認してから、ラボを終了してください。準備ができたら、[ラボを終了] をクリックし、[送信] をクリックします。

ラボを終了すると、ラボ環境へのアクセス権が削除され、完了した作業にもう一度アクセスすることはできなくなります。

Copyright 2026 Google LLC All rights reserved. Google および Google のロゴは、Google LLC の商標です。その他すべての社名および製品名は、それぞれ該当する企業の商標である可能性があります。