GSP1124

概要

Security Command Center（SCC）は、次のようなユーザーの作業を支援するセキュリティ モニタリング プラットフォームです。

• セキュリティに関連する Google Cloud リソースの構成ミスを検出する。
• Google Cloud 環境の未対応の脅威について報告する。
• Google Cloud アセット全体にわたり脆弱性を修正する。

このラボでは Security Command Center を使用する第一歩として、サービスのインターフェース、構成、脆弱性の検出結果を見ていきます。

目標

このラボでは、次のタスクの実行方法について学びます。

• SCC のインターフェース要素を確認する。
• プロジェクト レベルの SCC 設定を構成する。
• SCC の脆弱性の検出結果を分析して修正する。

前提条件

このラボを開始するには、次の知識があることが推奨されますが、必須ではありません。

• クラウド コンピューティングのコンセプト
• Google Cloud コンソール
• 検出結果の重大度の分類

設定と要件

[ラボを開始] ボタンをクリックする前に

こちらの説明をお読みください。ラボには時間制限があり、一時停止することはできません。タイマーは、Google Cloud のリソースを利用できる時間を示しており、[ラボを開始] をクリックするとスタートします。

このハンズオンラボでは、シミュレーションやデモ環境ではなく実際のクラウド環境を使って、ラボのアクティビティを行います。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、下記が必要です。

• 標準的なインターネット ブラウザ（Chrome を推奨）

注: このラボの実行には、シークレット モード（推奨）またはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウント間の競合を防ぎ、個人アカウントに追加料金が発生しないようにすることができます。

• ラボを完了するための時間（開始後は一時停止できません）

注: このラボでは、受講者アカウントのみを使用してください。別の Google Cloud アカウントを使用すると、そのアカウントに料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるダイアログでお支払い方法を選択してください。 左側の [ラボの詳細] ペインには、以下が表示されます。

   • [Google Cloud コンソールを開く] ボタン
   • 残り時間
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。

   ラボでリソースがスピンアップし、別のタブで [ログイン] ページが表示されます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。

   {{{user_0.username | "Username"}}}

   [ラボの詳細] ペインでもユーザー名を確認できます。

4. [次へ] をクリックします。

5. 以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。

   {{{user_0.password | "Password"}}}

   [ラボの詳細] ペインでもパスワードを確認できます。

6. [次へ] をクリックします。

   重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

7. その後次のように進みます。

   • 利用規約に同意してください。
   • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルには登録しないでください。

その後、このタブで Google Cloud コンソールが開きます。

注: Google Cloud のプロダクトやサービスにアクセスするには、ナビゲーション メニューをクリックするか、[検索] フィールドにサービス名またはプロダクト名を入力します。

Cloud Shell をアクティブにする

Cloud Shell は、開発ツールと一緒に読み込まれる仮想マシンです。5 GB の永続ホーム ディレクトリが用意されており、Google Cloud で稼働します。Cloud Shell を使用すると、コマンドラインで Google Cloud リソースにアクセスできます。

1. Google Cloud コンソールの上部にある「Cloud Shell をアクティブにする」アイコン をクリックします。

2. ウィンドウで次の操作を行います。

   • Cloud Shell 情報ウィンドウで操作を進めます。
   • Cloud Shell が認証情報を使用して Google Cloud API を呼び出すことを承認します。

接続した時点で認証が完了しており、プロジェクトに各自の Project_ID、 が設定されます。出力には、このセッションの PROJECT_ID を宣言する次の行が含まれています。

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud は Google Cloud のコマンドライン ツールです。このツールは、Cloud Shell にプリインストールされており、タブ補完がサポートされています。

3. （省略可）次のコマンドを使用すると、有効なアカウント名を一覧表示できます。

gcloud auth list

4. [承認] をクリックします。

出力:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. （省略可）次のコマンドを使用すると、プロジェクト ID を一覧表示できます。

gcloud config list project

出力:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注: Google Cloud における gcloud ドキュメントの全文については、gcloud CLI の概要ガイドをご覧ください。

シナリオ

Cymbal Bank は、米国のリテールバンクで、全米 50 州に 2,000 以上の支店があります。堅牢な支払いプラットフォームを基盤とした包括的なデビットおよびクレジット サービスを提供しています。従来の金融サービス機関からの変革を目指し、デジタル トランスフォーメーションを推進しています。

Cymbal Bank は、1920 年に Troxler という名前で設立されました。自行 ATM への積極的な投資を行っていた Cymbal Group は、Troxler を 1975 年に買収しました。Cymbal Bank は、全米をリードする銀行に成長するにつれ、支店での対面サービスと、2014 年にリリースしたアプリを通じたオンライン サービスの両方で、カスタマー エクスペリエンスをモダナイズする戦略的な取り組みに注力しました。Cymbal Bank は全国で 42,000 人を雇用し、2019 年の収益は 240 億ドルでした。

Cymbal Bank は、一元化されたセキュリティ モニタリング プラットフォームを組み込むことで、自行のバンキング アプリケーションの Google Cloud リソース全体の脅威のモニタリングや脆弱性の修復を可能にしたいと考えています。クラウド セキュリティ エンジニアであるあなたは、Security Command Center の利点について CTO にプレゼンテーションできるように、このサービスの最先端の機能について学ぶことを任されました。

タスク 1. SCC のインターフェース要素を確認する

このタスクでは、Security Command Center（SCC）のインターフェースをひととおり見て、サービスの主な機能について確認していきます。

1. Cloud コンソールのナビゲーション メニュー（）で、[セキュリティ] > [概要] の順に選択します。

注: 「組織を作成する必要がある」というメッセージが表示された場合は、ブラウザを更新してください。

2. [リスクの概要] ページで、ナビゲーション バーを使用して [脅威] タブの [新たな脅威の件数の推移] と [脆弱性] タブの [脆弱性ダッシュボード] に移動し、情報が表示されているパネルを確認します。

脅威と脆弱性は、SCC が環境内のセキュリティ問題を分類しレポートするために使用する 2 つの異なるタイプの検出結果クラスです。検出結果クラスについて詳しくは、検出結果クラスのドキュメントをご覧ください。

• [脅威] は Google Cloud ユーザーに Google Cloud 環境で現在発生している不審なアクティビティについて通知します。たとえばサービス アカウントがそのアカウント自体の権限を調査しているなどです。

• [脆弱性] には構成ミスまたはリソースの脆弱性に関する情報が示されます。たとえば TCP ポートが開いている、仮想マシンで古いライブラリが実行されているなどです。

検出結果は SCC によって生成されるレコードで、Security Command Center ダッシュボードの脆弱性や脅威のデータに関する詳細を提供します。

注: このラボ インスタンスでは、以前に攻撃されたことがないサンドボックス Google Cloud プロジェクトを使用しているため、脅威の数はゼロになります。別のラボ「Security Command Center による脅威の検出と調査」では、脅威から身を守る方法を学習します。

3. [すべてのリスク] タブを選択し、[構成ミス] カードで [日付] タブを選択します。

このカードには、現在未対応の脅威のうち、この情報パネルの右側の [期間] プルダウンで選択した期間中にプロジェクトで発生したものが列挙されます。

デフォルトでは期間プルダウンには過去 30 日間に出現したすべての脅威が表示されますが、過去 180 日間に発生したすべての脅威を表示できます。

4. 期間セレクタで [過去 180 日間] を選択します。

5. [脆弱性] > [リソースタイプ別] タブを確認します。

未対応の脆弱性が 60 件ほど一覧表示されます。

これらの検出結果の大部分は、このラボのために故意に安全でない状態に設計された、デフォルトの VPC ネットワークを使用しているために生成されたものです。たとえば、これにはすべての IP アドレスからの SSH アクセスと RDP アクセスを許可するファイアウォール ルールが含まれています。

6. [カテゴリ別] タブをクリックします。

これにより、環境の脆弱性が脆弱性のカテゴリと重大度別にまとめて表示されます。重大度は、問題によって Google Cloud 環境にもたらされる潜在的なリスクの見積もりに役立つ検出結果のプロパティです。

重大度は変更できません。検出結果のそれぞれのタイプの重大度は、SCC によって事前に決定されています。重大度のタイプと一般的な例の一覧を下に示します。

• 重大 - GKE Pod 内部からリバースシェル セッションが開始された場合など。
• 高 - SSH ポートがインターネット全体（0.0.0.0/0）に対して開かれている場合など。
• 中 - IAM 基本ロール（オーナー / 編集者 / 閲覧者）の一つがユーザーまたはサービス アカウントに付与されている場合など。
• 低 - VPC フローログが収集されていない場合など。
• 不明 - SCC に表示される場合がありますが、一般的ではありません。

SCC が検出結果の重大度を設定する方法の詳細な基準については、検出結果の重大度のページをご覧ください。

注: 開いている RDP ポートと SSH ポートに関する検出結果の重大度レベルが高いことに注意してください。

7. 最後に、[プロジェクト別] タブをクリックします。このタブは、フォルダまたは組織のルートノードのレベルで SCC を使用する場合に使用します。

注: このラボでアクセスできるプロジェクトは 1 つのみとなるため、このタブには現在のプロジェクトの名前のみが含められます。

8. セキュリティ ポータル（ナビゲーション メニュー（）から [セキュリティ] を選択するとアクセスできます）で、Security Command Center のヘッダーの下に表示されているさまざまなタブを確認します。各説明は次のとおりです。

SCC セクション	説明
概要	環境の脆弱性が、脆弱性のカテゴリと重大度別にまとめて表示されます。
グラフ検索	自然言語クエリを使用してアセットと検出結果を検索できます。
問題	問題とは、Security Command Center Premium および Enterprise がクラウド環境で検出した重要なセキュリティ リスクのことです。
検出結果	検出結果とは、セキュリティの問題を検出したときに Security Command Center サービスが作成するレコードのことです。
アセット	クラウド環境内のアセットを継続的にモニタリングする Cloud Asset Inventory のアセット情報を含みます。
コンプライアンス	CIS、PCI DSS、NIST 800-53 などの重要性が非常に高いコンプライアンス標準に対するプロジェクトの適合性に関する情報が示されます
出典	Google Cloud リソースの構成を分析し、ログファイルを読み、現在実行されているプロセスを確認することで現在のアクティビティをモニタリングするソフトウェア モジュール。
ポスチャーの管理	SCC でセキュリティ ポスチャー サービスを使用できます。詳細については、セキュリティ ポスチャーを管理するガイドをご覧ください。

タスク 2. プロジェクト レベルの SCC 設定を構成する

このタスクでは、モジュール設定を管理し、特定の Security Health Analytics 検出モジュールを有効にすることで、プロジェクト レベルで Security Command Center の統合サービス（ソース）を構成する方法を確認します。

1. 左側のナビゲーション メニューの [Security Command Center] で [設定] をクリックします。

2. [サービス] タブが表示されていることを確認します。

このタブで、ソースと呼ばれる SCC の統合サービス（前のタスクで確認した「SCC の頭脳」部分）のパラメータを設定できます。このラボでは、サービスとソースという用語は同じ意味になります。

サービスは脅威と脆弱性を検出して情報を SCC に提供します。そのほとんどは SCC のプレミアム エディション（このラボでプロビジョニング済み）でのみ利用できます。

構成できる組み込みのサービスは次のとおりです。

• Security Health Analytics（SHA）: リソースの構成ミス（無効化されたログ、余分な IAM 権限、公開されたサービス）を検出してレポートします。プロジェクトでは現在これが有効で、この機能によって 76 件の脆弱性が検出されました。
• Web Security Scanner（WSS）: 外部 IP アドレスを介して公開され、利用できるようになっているウェブ アプリケーションをスキャンし、OWASP top 10 の脆弱性をチェックします。
• Event Threat Detection（ETD）: Google Cloud と Google Workspace のログを継続的にモニタリングして潜在的な脅威をスキャンするログベースの脅威分析を行います。
• Container Threat Detection（CTD）: Container-Optimized OS で最も一般的なコンテナ ランタイム攻撃を検出します。
• Virtual Machine Threat Detection: ハイパーバイザのレベルで VM インスタンスのメモリを分析し、VM メモリで発生している不審なアクティビティを検出できます。予期しないカーネル モジュールや、クリプトマイニング ソフトウェアの実行などがその例に該当します。
• Cloud Run の脅威検出 - Premium または Enterprise で利用可能。カーネルレベルの計測機能を使用して、不審なバイナリを含め、Cloud Run リソースの潜在的な危険性を特定します。有効にすると、すべてのワークロードは、再デプロイ時に第 2 世代の実行環境を使用します。有効にする前に、第 2 世代でワークロードをテストしてください。
• 脆弱性評価 - Premium または Enterprise で利用可能。Google Cloud リソースと Amazon Web Services リソースをスキャンし、共通脆弱性識別子（CVE）の有無を確認します。
• Notebook Security Scanner - Premium または Enterprise で利用可能。Colab Enterprise ノートブックをスキャンして、統合されたオープンソースの Python パッケージの脆弱性を検出します。

3. [Security Health Analytics] の [設定を管理] リンクを選択します。

4. [モジュール] タブを選択します。

モジュールとは、事前定義された検出ロジックの単位、またはカスタムの検出ロジックの単位です。ご覧のとおり、SCC にはさまざまなリソースの構成ミスの検出に役立つ数多くのタイプのモジュールがあります。セキュリティ ポスチャーやモニタリングの対象とするリソースをサポートするために、SCC ではさまざまなタイプのモジュールの有効化と無効化を簡単に切り替えることができます。

5. フィルタ フィールドに「VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED」と入力して、Enter キーを押します。

6. [ステータス] セクションで、プルダウン オプションから [無効] を選択し、[有効にする] を選択します。

この設定を有効にすると、Security Health Analytics は VPC サブネットワークの enableFlowLogs プロパティが欠落しているか false に設定されているかどうかを確認します。

注: 新しく有効化されたモジュールを使用して SCC がリソースのスキャンを開始するまでに遅延が発生します。

Security Command Center のさまざまなサービスとその構成方法がわかったので、次は SCC で脆弱性を特定して修正する方法を見ていきましょう。

タスク 3. SCC の脆弱性の検出結果を分析して修正する

このタスクでは、フィルタの適用、検出結果の状態の変更、ミュートルールの作成によって脆弱性の検出結果を分析および管理し、ファイアウォール構成を更新して重大度の高いネットワーク リスクを修復します。

検出結果を [無効] としてマークして状態を変更する

1. ナビゲーション メニュー（）で、[Security Command Center] の下の [概要] を選択します。

2. 左側のメニューで [検出結果] タブをクリックします。

3. 右上隅の期間セレクタを [全期間] に設定します。

4. 画面の左上隅で [クエリのプレビュー] ウィンドウを探します、ここには利用可能なすべての検出結果を絞り込むためのフィルタが含まれています。

デフォルトでは、[検出結果] タブにはミュートされていない [アクティブ] 状態の検出結果が表示されます。

SCC で使用されるフィルタの多くは、検出結果の state と mute の 2 つのプロパティによって、検出結果が表示されるかどうかが決まります。

• SCC インターフェースに余計な検出結果が表示されないようにしたい場合は、検出結果に mute の値を手動で設定するか、自動的に設定されるようにできます。
• state プロパティは、検出結果に注意を払う必要があり、かつまだ対処されていないかどうか、または修正や他の方法で対処され無効になったかどうかを示します。

注: launch_state という 3 つ目のプロパティがありますが、このラボでは関係ありません。これは、検出結果がプレビュー版、ベータ版、GA 版のいずれであるかを示すために使用されます。

5. [クイック フィルタ] カードで、[デフォルト ネットワーク] カテゴリに関連付けられているチェックボックスをオンにします。

6. [クエリのプレビュー] のクエリ文字列が変化した（AND category="DEFAULT_NETWORK" が追加された）ことに注意してください。

7. [検出結果クエリの結果] セクションで、[デフォルト ネットワーク] に関連付けられたチェックボックスをオンにして、[アクティブ状態を変更] をクリックします。

8. この検出結果の状態を [無効] に設定します。

これで、検出結果は無効になり、画面に表示されなくなります。デフォルトではアクティブでミュートされていない検出結果のみが表示されるためです。

クエリを適用して検出結果をフィルタする

1. [検出結果] タブのビューをリセットできます。これを行うには、SCC ヘッダーの下の [概要] を選択し、[検出結果] を選択します。

2. [クエリを編集] ボタンをクリックします。

3. [クエリエディタ] でクエリ文字列を category="DEFAULT_NETWORK" に変更します。

4. 編集が完了したら、[適用] ボタンをクリックします。

   変更が有効になるまで 1～2 分かかることがあります。完了すると、[デフォルト ネットワーク] の検出結果が 1 件のみ表示されます。

5. [検出結果クエリの結果] セクションで [デフォルト ネットワーク] のチェックボックスをオンにして、[アクティブ状態を変更] をクリックします。

6. この検出結果の状態を [アクティブ] に設定します。

検出結果は手動でアクティブ化、または無効化できますが、ユーザーが削除することはできません。検出結果がスキャナによって 13 か月間更新されなかった場合にのみ、自動で削除されます。

セキュリティ スキャナが同じ検出結果をチェックし、検出結果を発生させた構成ミスを検出しなかった場合は、INACTIVE としてマークを付けます。その脆弱性が依然としてシステムに存在する場合、検出結果は ACTIVE 状態のままになります。

7. クイック フィルタの横にある [すべてクリア] ボタンをクリックして、検出結果タブをリセットします。

8. [クエリのプレビュー] ウィンドウで [クエリを編集] をクリックします。

9. 次のクエリをコピーして貼り付けます。

state="ACTIVE" AND NOT mute="MUTED" AND resource.type="google.compute.Subnetwork"

10. 編集が完了したら、[適用] ボタンをクリックします。

これで、サブネットワークに関連するすべての検出結果が表示されるようになりました。このラボでは、デフォルトの VPC ネットワークは --subnet-mode=auto パラメータを使用して作成されるため、そのサブネットのいずれでもプライベート Google アクセスが有効になっておらず、VPC フローログの書き込みも行われません。

検出結果をカテゴリでフィルタしてミュートする

テスト環境で作業しているときに、特定の検出結果を非表示にしたい場合があります。この例では、このネットワークのプライベート Google アクセスに関する SCC の検出結果が表示されないようにするため、それらの検出結果をミュートします。

1. [クイック フィルタ] ウィンドウで、カテゴリ [プライベート Google アクセスが無効] を選択します。

2. [検出結果クエリの結果] ペインで、一番上の [カテゴリ] チェックボックスをオンにすると、[プライベート Google アクセスが無効] の検出結果が選択されます。

3. [ミュート オプション] ボタンを選択します。

4. プルダウンで [ミュートのオーバーライドを適用] を選択します。このオペレーションによって既存の検出結果がミュートされます。

5. 左側のメニューで [概要]、[検出結果] の順に選択して、検出結果ビューをリセットします。

[プライベート Google アクセスが無効] の検出結果がミュートされ、表示されなくなりました。ミュートは SCC の結果をフィルタする場合に非常に有効で、関心のあるリソースと検出結果をきめ細かく制御できます。

ミュートルールを作成して特定の検出結果を非表示にする

デフォルト ネットワークのもう一つの構成ミスは、このネットワークのサブネットで VPC フローログも無効になっていることです。テスト環境で作業しているため、VPC フローログを有効にする必要はありません。

このセクションでは、このカテゴリに関連する既存の検出結果と今後の検出結果をすべてミュートします。

1. [検出結果クエリの結果] ウィンドウで、[ミュート オプション] > [ミュートルールを管理] を選択します。

2. [ミュートルールを作成する] ボタンをクリックします。

注: 前の手順で [プライベート Google アクセスが無効] の検出結果をミュートしましたが、これは 1 回限りのオペレーションです。この条件に一致する検出結果が新たに今後発生した場合は、引き続き SCC に表示されます。

一方、動的ミュートルールは、今後発生する検出結果についても自動的にミュートします。

3. [動的ミュートルールの作成] ウィンドウで、次のように設定します。

   • ミュートルール ID: mute-flowlogs-findings
   • 説明: VPC フローログのミュート ルール
   • 検出クエリ: category="FLOW_LOGS_DISABLED"

4. [保存] ボタンを選択します。

ミュートルールが作成されたという通知が表示されます。

[進行状況を確認] をクリックし、この目標を達成したことを確認します。 ミュートルールを作成する

7. 左側のメニューから [検出結果] を選択してメイン SCC ダッシュボードを更新します。

注: 既存の検出結果には動的ミュート ルールは非同期で適用されるので、最初の「フローログが無効」検出結果は、数時間後までダッシュボードに表示され続けます。ただし、新たに発生した検出結果には、ルールが即座に適用されます。

別の VPC ネットワークを作成して検出結果のミュートルールをテストする

このセクションでは、サブネットが自動的に構成されるネットワークをもう 1 つ作成して、検出ルールの最近の変更をテストします。

1. 新しい Cloud Shell セッションを開き（）、次のコマンドを実行してネットワークを作成します。

gcloud compute networks create scc-lab-net --subnet-mode=auto 注: サブネットの作成には数分かかることがあります。

次のように出力されることを確認します。

出力:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-c6821aef4c0f/global/networks/SCC-lab-net]. NAME: SCC-lab-net SUBNET_MODE: AUTO BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

[進行状況を確認] をクリックし、この目標を達成したことを確認します。 ネットワークを作成する

2. 上記のメッセージを確認した後、Cloud Shell ウィンドウを閉じます。

3. SCC の検出結果ウィンドウを更新し、[プライベート Google アクセスが無効] の新規の検出結果があるかどうか確認します。

   作成したミュートルールによって、VPC フローログの検出結果が削除されていることも確認できます。

   VPC フローログに対するミュートルールを作成しましたが、それでもクエリエディタを使用すれば SCC で表示できます。

4. [クエリを編集] ボタンをクリックして次の内容を貼り付け、既存のクエリフィルタ テキストを上書きします。

category="FLOW_LOGS_DISABLED"

5. [適用] をクリックします。

   [検出結果クエリの結果] ウィンドウの [リソースの表示名] 列に、「default」ネットワークと「SCC-lab-net」ネットワークの両方が表示されます。

注: デフォルト ネットワークが表示されない場合は、Rows per page パラメータが 100 に設定されていることを確認してください。また、Time Range パラメータが All time に設定されていることも確認してください。

6. [クエリのプレビュー] ウィンドウで [クエリを編集] をクリックします。

7. 次のクエリをコピーして貼り付け、既存のクエリテキストを上書きします。

state="ACTIVE" AND NOT mute="MUTED"

8. 編集が完了したら、[適用] ボタンをクリックします。

   以前にミュートした検出結果が表示されます。

重大度が「高」の 2 件の検出結果を調査して修正する

このセクションでは、重大度が「高」の 2 件の検出結果を調査し、修正方法を確認していきます。

1. [クイック フィルタ] セクションで [重大度] タイプまで下方向にスクロールし、重大度オプションのリストから [高] を選択します。

[RDP ポートがオープン状態] と [SSH ポートがオープン状態] の 2 件の検出結果が表示されます。これらが発生したのは「デフォルト」ネットワークに含まれる 2 つのファイアウォール ルールによって、このネットワークのすべてのインスタンスに対する SSH インターネット トラフィックと RDP インターネット トラフィックが有効になっているためです。

2. [検出結果クエリの結果] ウィンドウで、[RDP ポートがオープン状態] の検出結果をクリックします。

新しいウィンドウが表示され、問題自体の詳細な説明、影響を受けるリソースのリスト、修復に役立つ [次のステップ] が表示されます。

3. [次のステップ] セクションでリンクをクリックしてファイアウォール ルールのページに移動すると、新しいタブが開きます。

4. [編集] をクリックします。

5. ソース IP 範囲「0.0.0.0/0」を削除します。

6. ソース IP 範囲「35.235.240.0/20」を追加して Enter キーを押します。

注: この IP アドレス範囲は Identity-Aware Proxy を介して VM インスタンスに安全に接続するために使用します。詳細については、TCP 転送での IAP の使用のページをご覧ください。

他のパラメータは変更しないでください。

7. [保存] をクリックします。

8. 保存したら、ファイアウォール ルールを編集したブラウザタブを閉じます。

9. SCC 検出結果のブラウザタブを更新します。

   これで、重大度 [高] の検出結果は [SSH ポートがオープン状態] 1 件のみとなります。

検出結果に対処するようにファイアウォール ルールを更新する

1. [SSH ポートがオープン状態] の検出結果をクリックします。

2. [次のステップ] セクションまで下方向にスクロールし、リンクをクリックしてファイアウォール ルールのページに移動すると、新しいタブが開きます。

3. [編集] をクリックします。

4. ソース IP 範囲「0.0.0.0/0」を削除します。

5. ソース IP 範囲「35.235.240.0/20」を追加して Enter キーを押します。

   他のパラメータは変更しないでください。

6. [保存] をクリックします。

7. 保存したら、ファイアウォール ルールを編集したブラウザタブを閉じます。

[進行状況を確認] をクリックし、この目標を達成したことを確認します。 ファイアウォール ルールを更新する

8. オープン状態の検出結果の説明が示されているウィンドウを閉じて、ブラウザ ウィンドウを更新します。

   重大度 [高] の検出結果は表示されなくなります。

お疲れさまでした

このラボを通して、Security Command Center インターフェース要素の確認、プロジェクト レベルでの SCC 設定の構成、SCC の脆弱性の分析と修正の方法を学習しました。また、SCC を使用して、Google Cloud 環境の重大なセキュリティの脆弱性を特定して修復しました。

次のステップと詳細情報

• Security Command Center で検出結果を分析するというタイトルのラボをご確認ください。

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2026 年 1 月 30 日

ラボの最終テスト日: 2026 年 1 月 30 日

Copyright 2026 Google LLC. All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。