セキュリティコントロール
[更新: 2026年5月27日]
さくらのクラウドのセキュリティコントロール機能に関するページです。
セキュリティコントロールとは
「セキュリティコントロール」は、クラウド環境における問題を早期に発見して対応を支援する機能です。
発見的統制:クラウド環境におけるリソースや設定を継続的に監視し、不正な状態や望ましくない構成を検知して通知します。
脅威検知:不審なアクセスや挙動、潜在的な攻撃の兆候を自動的に検知し、被害が拡大する前に対応を促します。
本機能を活用することで、セキュリティ状況を可視化し、日々の運用改善につなげることができます。
主な機能
ダッシュボード
ダッシュボードは、セキュリティコントロール機能のトップ画面です。
ここでは、検知された評価結果や対応状況をひと目で把握できるサマリー画面として利用できます。
評価結果
評価結果ページでは、セキュリティコントロールが実行した各評価ルールのチェック結果を一覧または詳細で確認できます。
お客様はここで「どのリソースに、どのような問題があるのか」「重大度はどの程度か」を把握できます。
評価結果一覧には、現在時刻から一定期間内(過去2週間)における最新の評価結果のみが表示されます。
評価ルール
評価ルールとは、セキュリティ上の観点から何を確認するかを定めたルールです。
各ルールに基づいてリソースや設定状態を確認し、その結果が「評価結果」として記録されます。
評価ルールは、セキュリティ基準への準拠状況を判定するためのチェック項目としても利用されます。
例:
ディスクの暗号化が有効か確認する
サーバーに不要なパブリックIPが付与されていないか確認する
セキュリティ基準
セキュリティ基準は、ベストプラクティスや設計指針への準拠状況を可視化する機能です。
セキュリティ基準には、設計指針や原則に対応する評価ルールが含まれます。
評価ルールの実行結果を集約することで、基準ごとの準拠状況や準拠スコアが算出されます。
一覧画面では基準ごとの準拠状況を確認でき、詳細画面では準拠状況の判定に用いられる評価ルールを確認できます。
現在提供しているセキュリティ基準については、利用できるセキュリティ基準 を参照してください。
なお、セキュリティ基準の準拠スコアには以下の制約があります。
準拠スコア算出結果の履歴は保持されません。表示されるのは、最新の評価結果に基づくスコアのみです。そのため、過去時点のスコアとの比較や推移の確認はできません。
セキュリティ基準に含まれる評価ルールのうち、Add-onサービス に関連するものは、Add-onサービスが開通している場合にのみスコア算出対象となります。
準拠スコアの算出ロジックは、将来的に変更される可能性があります。そのため、過去に算出したスコアとの厳密な比較は保証されません。
対応チケット
対応チケットは、評価ルールで検知された問題を 記録・管理するための仕組み です。
検知イベントが発生すると、自動的にチケットが作成され、対応状況を追跡できます。
チケットを利用することで、セキュリティ上の課題を見逃さず、チームで共有・対応が可能になります。
自動アクション
自動アクションは、セキュリティコントロールが問題を検知したときに、あらかじめ設定した条件に従って自動的に通知や処理を行う機能です。
これにより、検知のたびに手動確認しなくても、担当者やチームに即時情報を届けられます。
利用できるセキュリティ基準
現在、次のセキュリティ基準を利用できます。
-
さくらのクラウドで、安全かつ運用しやすい環境を実現するための設計指針です。
評価結果と対応指針
重大度 |
説明 |
推奨対応 |
|---|---|---|
低 |
侵害に直接つながらない。不要なら抑止設定可 |
必要に応じて対応 |
中 |
悪用されればアクセス権奪取などに至る可能性あり |
チケット管理し、定期的に対応検討 |
高 / 致命的 |
任意コード実行やデータ引き出しの恐れあり |
可及的速やかに対応、臨時メンテ実施 |
よくある利用シーン
運用改善:定例会でチケット一覧を確認し、対応計画を立案
インシデント対応:高以上の検知があった場合、即座に通知を受け取り対応
注意事項
本機能の評価結果はあくまで「リスクの可能性」を示すものであり、最終的な対応判断はお客様自身で行ってください。
セキュリティ基準は、すべての環境に対して一律の構成を強制するものではありません。
環境構成の変更後は、評価結果やセキュリティ基準の準拠状況を定期的に確認することを推奨します。
利用手順
ログインと初期画面
コントロールパネルにログインします。
ログインに成功すると、ログインしたユーザに付与された権限に応じた作成済みプロジェクトが選択できます。
左側のメニューから 「イベントログ」 をクリックします。
画面右上の 「セキュリティコントロール」 をクリックします。
初回は「セキュリティコントロールは無効状態」と表示されます。
「セキュリティコントロールの有効化」 ボタンを押し、「評価」のためにセキュリティコントロールがリソースにアクセスするためのサービスプリンシパルを選択すると利用開始できます。
新規にサービスプリンシパルを作成して紐づけることもできます。
※ セキュリティコントロールと紐づけるサービスプリンシパルは、IAMポリシーにて「セキュリティコントロールエージェント」のロールを付与しておく必要があります。
ダッシュボードの確認
有効化後、ダッシュボードで以下が確認できます。
重大度別の異常件数
ステータスごとの対応チケット件数
セキュリティ基準の準拠スコア
対応チケットの確認と操作
メニューから 「対応チケット」 を選択します。
検知イベントが発生すると、自動で「対応チケット」が作成されます。
一覧表示では、チケットがリスト化されて表示されます。
ステータス(未対応・対応中・解決済み・対応不要)および優先度(未指定・高・中・低)で絞り込むことができます。
詳細画面では、発生日時、内容、重大度などを確認できます。
評価結果の詳細を確認したい場合は「評価結果のJSON」を表示します。
ステータスを対応中・解決済みなどに更新できます。また、対応の優先度をつけることができます。
評価結果の確認
メニューから 「評価結果」 を選択します。
評価結果一覧から、確認したい評価をクリックします。
検出(不合格・合格・失敗)および重大度(致命的・高・中・低・指定なし)で絞り込むことができます。
評価結果詳細画面にて、評価結果の内容を確認できます。
セキュリティ基準の確認
メニューから「セキュリティ基準」を選択します。
セキュリティ基準一覧から、確認したい基準をクリックします。
セキュリティ基準詳細画面では、準拠状況とその基準への準拠を判定する評価ルールの一覧が表示されます。
非準拠の評価ルールのうち無効になっているものは「非準拠」タブから一括で有効化できます。
評価ルールの設定
メニューから 「評価ルール」 を選択します。
評価ルール一覧から、編集したい評価ルールをクリックします。
評価ルール詳細画面にて、評価ルールの設定編集、および評価ルールの有効・無効を編集できます。
注釈
Add-onサービスに関連する評価ルールは、Add-onサービスが開通している場合にのみ有効化できます。
評価ルールの一覧
ルール名 |
対象サービス |
概要 |
詳細 |
|---|---|---|---|
iam-member-operation-detected |
IAM |
会員による操作検知 |
イベントログ一覧で「現在選択中のプロジェクト」に記録される、会員による操作イベントを検知します。 |
server-no-public-ip |
サーバー |
パブリックIPアドレス割り当て検知 |
サーバーにパブリックIPアドレスが付与されていないかを確認します。 |
disk-encryption-enabled |
ディスク |
暗号化機能の無効化検知 |
ディスクの暗号化機能が有効になっているかを確認します。 |
dba-encryption-enabled |
DBアプライアンス |
暗号化機能の無効化検知 |
データベースアプライアンスのディスク暗号化機能が有効になっているかを確認します。 |
dba-no-public-ip |
DBアプライアンス |
パブリックIPアドレス割り当て検知 |
データベースアプライアンスにパブリックIPアドレスが付与されていないかを確認します。 |
elb-logging-enabled |
エンハンスドLB |
ログ転送機能無効化検知 |
エンハンスドLBでsyslog転送機能が有効になっていることを確認します。 |
objectstorage-bucket-acl-changed |
オブジェクトストレージ |
バケットACL設定変更検知 |
オブジェクトストレージのバケットACLが変更されたことを検知します。 |
objectstorage-bucket-encryption-enabled |
オブジェクトストレージ |
暗号化機能の無効化検知 |
指定したサイトに存在するすべてのバケットについて、バケット単位の暗号化設定を確認します。 |
nosql-encryption-enabled |
NoSQL |
暗号化機能の無効化検知 |
暗号化が無効なNoSQLアプライアンスが1つ以上存在するとき、検出します。 |
addon-datalake-no-public-access |
Add-on/データ分析/データレイク |
ストレージのパブリックネットワークアクセス設定有効化検知 |
データレイクストレージへのパブリックネットワークアクセス設定有効化を検知します。 |
addon-dwh-no-public-access |
Add-on/データ分析/データウェアハウス |
ストレージのパブリックネットワークアクセス設定有効化検知 |
データウェアハウスストレージへのパブリックネットワークアクセス設定有効化を検知します。 |
addon-threat-detection-enabled |
Add-on/セキュリティ/脅威検知と対応 |
脅威検知・脆弱性検知エージェント未導入検知 |
指定されたゾーン内にある対象プロジェクトが所有する全てのサーバで、Add-onの脅威検知および脆弱性検知サービスのエージェントがインストールされていることを確認します。 |
addon-threat-detections |
Add-on/セキュリティ/脅威検知と対応 |
Add-on (Defender for Cloud)によるセキュリティインシデントアラートの検出 |
Add-on (Defender for Cloud)によるセキュリティインシデントアラート(脅威検知)が発生した際にセキュリティコントロール上に表示させるための評価ルールです。 |
addon-vulnerability-detections |
Add-on/セキュリティ/脅威検知と対応 |
Add-on (Defender for Cloud)による推奨事項の検出 |
Add-on (Defender for Cloud)による推奨事項(脆弱性)の検出が行われた際にセキュリティコントロール上に表示させるための評価ルールです。 |
評価の実行間隔
評価は1日1回実行されます。
ただし、実行時刻は固定ではなく、特定の時間帯を保証するものではありません。
自動アクションの設定
メニューから 「自動アクション」 を選択します。
すでに作成した自動アクションがあれば、一覧で表示されます。
「自動アクションの作成」 を選択します。
アクションタイプ(シンプル通知/ワークフロー)を選択します。
シンプル通知/ワークフローのリソースIDとサービスプリンシパルのリソースIDを選択します。
条件式を入力し、作成をクリックします。
注意
対応チケットが既に作成されており、かつ未解決状態となっている評価ルールの場合、新たに評価が実行されても自動アクションの条件式は再評価されず、自動アクションも実行されません。
自動アクションを再度実行させたい場合は、該当する対応チケットのステータスを「解決済み」または「対応不要」に変更してください。次回の評価実行時に条件式が再度判定され、自動アクションが実行されます。
情報
シンプル通知、ワークフロー、サービスプリンシパル、IAMポリシーについて詳しくはそれぞれのマニュアルを参照ください。
条件式について
条件式 は、自動アクションを実行するための「きっかけ」を決める設定です。
条件式を使うことで、検知イベントが発生したときに どんな場合に自動アクションを実行するかを絞り込むことができます。
条件式を活用すると、不要な通知を減らし、重要な問題に集中して対応できます。
入力例
検出結果が「不合格」 の場合に実行する |
event.evaluationResult.status == "REJECTED" |
検出結果が「不合格」かつ重大度が「高」以上の場合に実行する |
event.evaluationResult.status == "REJECTED" && event.evaluationResult.severity in ["HIGH", "CRITICAL"] |
検出結果が「失敗」の場合に実行する |
event.evaluationResult.status == "FAILED" |
特定の評価ルールの自動アクション発生時に実行する |
event.evaluationResult.evaluation_rule_id == "{評価ルールID}" |