セキュリティコントロール

[更新: 2025年12月11日]

さくらのクラウドのセキュリティコントロール機能に関するページです。

セキュリティコントロールとは

「セキュリティコントロール」は、クラウド環境における問題を早期に発見して対応を支援する機能です。

  • 発見的統制:クラウド環境におけるリソースや設定を継続的に監視し、不正な状態や望ましくない構成を検知して通知します。

  • 脅威検知:不審なアクセスや挙動、潜在的な攻撃の兆候を自動的に検知し、被害が拡大する前に対応を促します。

本機能を活用することで、セキュリティ状況を可視化し、日々の運用改善につなげることができます。

主な機能

ダッシュボード

ダッシュボードは、セキュリティコントロール機能のトップ画面です。
ここでは、検知された評価結果や対応状況をひと目で把握できるサマリー画面として利用できます。

評価結果

評価結果ページでは、セキュリティコントロールが実行した各評価ルールのチェック結果を一覧または詳細で確認できます。
お客様はここで「どのリソースに、どのような問題があるのか」「重大度はどの程度か」を把握できます。

評価ルール

評価ルールとは、セキュリティ上の観点からどこを確認するかを定めたルールです。
各ルールに基づいてリソースが適切に設定されているかを確認し、その結果が「評価結果」として記録されます。

例:

  • ディスクの暗号化が有効か確認する

  • サーバーに不要なパブリックIPが付与されていないか確認する

対応チケット

対応チケットは、評価ルールで検知された問題を 記録・管理するための仕組み です。
検知イベントが発生すると、自動的にチケットが作成され、対応状況を追跡できます。
チケットを利用することで、セキュリティ上の課題を見逃さず、チームで共有・対応が可能になります。

自動アクション

自動アクションは、セキュリティコントロールが問題を検知したときに、あらかじめ設定した条件に従って自動的に通知や処理を行う機能です。
これにより、検知のたびに手動確認しなくても、担当者やチームに即時情報を届けられます。

評価結果と対応指針

重大度

説明

推奨対応

侵害に直接つながらない。不要なら抑止設定可

必要に応じて対応

悪用されればアクセス権奪取などに至る可能性あり

チケット管理し、定期的に対応検討

高 / 致命的

任意コード実行やデータ引き出しの恐れあり

可及的速やかに対応、臨時メンテ実施

よくある利用シーン

  • 運用改善:定例会でチケット一覧を確認し、対応計画を立案

  • インシデント対応:高以上の検知があった場合、即座に通知を受け取り対応

注意事項

本機能の評価結果はあくまで「リスクの可能性」を示すものであり、最終的な対応判断はお客様自身で行ってください。

利用手順

ログインと初期画面

コントロールパネルにログインします。
ログインに成功すると、ログインしたユーザに付与された権限に応じた作成済みプロジェクトが選択できます。

プロジェクトの選択

左側のメニューから 「イベントログ」 をクリックします。
画面右上の 「セキュリティコントロール」 をクリックします。

イベントログ一覧画面

初回は「セキュリティコントロールは無効状態」と表示されます。
「セキュリティコントロールの有効化」 ボタンを押し、「評価」のためにセキュリティコントロールがリソースにアクセスするためのサービスプリンシパルを選択すると利用開始できます。
新規にサービスプリンシパルを作成して紐づけることもできます。

セキュリティコントロール初期画面 セキュリティコントロールの有効化

※ セキュリティコントロールと紐づけるサービスプリンシパルは、IAMポリシーにて「セキュリティコントロールエージェント」のロールを付与しておく必要があります。

ダッシュボードの確認

有効化後、ダッシュボードで以下が確認できます。

  • 重大度別の異常件数

  • ステータスごとの対応チケット件数

ダッシュボード画面

対応チケットの確認と操作

メニューから 「対応チケット」 を選択します。
検知イベントが発生すると、自動で「対応チケット」が作成されます。

一覧表示では、チケットがリスト化されて表示されます。
ステータス(未対応・対応中・解決済み・対応不要)および優先度(未指定・高・中・低)で絞り込むことができます。

対応チケット一覧画面

詳細画面では、発生日時、内容、重大度などを確認できます。
評価結果の詳細を確認したい場合は「評価結果のJSON」を表示します。
ステータスを対応中・解決済みなどに更新できます。また、対応の優先度をつけることができます。

対応チケット詳細画面

評価結果の確認

メニューから 「評価結果」 を選択します。
評価結果一覧から、確認したい評価をクリックします。
検出(問題あり・なし)および重大度(致命的・高・中・低・指定なし)で絞り込むことができます。

評価結果一覧画面

評価結果詳細画面にて、評価結果の内容を確認できます。

評価結果詳細画面

評価ルールの設定

メニューから 「評価ルール」 を選択します。
評価ルール一覧から、編集したい評価ルールをクリックします。

評価ルール一覧画面

評価ルール詳細画面にて、評価ルールの設定編集、および評価ルールの有効・無効を編集できます。

評価ルール詳細画面

評価ルールの一覧

ルール名

対象サービス

概要

詳細

disk-encryption-enabled

ディスク

暗号化機能の無効化検知

ディスクの暗号化機能が有効になっているかを確認します。

server-no-public-ip

サーバー

パブリックIPアドレス割り当て検知

サーバーにパブリックIPアドレスが付与されていないかを確認します。

dba-encryption-enabled

DBアプライアンス

暗号化機能の無効化検知

データベースアプライアンスのディスク暗号化機能が有効になっているかを確認します。

dba-no-public-ip

DBアプライアンス

パブリックIPアドレス割り当て検知

データベースアプライアンスにパブリックIPアドレスが付与されていないかを確認します。レプリケーションインスタンス(リードレプリカ)も含む全てのDBアプライアンスが対象となります。

objectstorage-bucket-acl-no-public-read

オブジェクトストレージ

バケットのパブリックリード有効化検知

オブジェクトストレージのバケットACL設定において、パブリックな読み取りアクセスが許可されていないことを確認します。

elb-logging-enabled

エンハンスドLB

ログ転送機能無効化検知

エンハンスドLBでsyslog転送機能が有効になっていることを確認します。

addon-datalake-no-public-access

Add-on/データ分析/データレイク

ストレージのパブリックネットワークアクセス設定有効化検知

データレイクストレージへのパブリックネットワークアクセス設定有効化を検知します。

addon-dwh-no-public-access

Add-on/データ分析/データウェアハウス

ストレージのパブリックネットワークアクセス設定有効化検知

データウェアハウスストレージへのパブリックネットワークアクセス設定有効化を検知します。

addon-threat-detection-enabled

Add-on/セキュリティ/脅威検知と対応

脅威検知機能の無効化検知

Add-on機能のうち、脅威検知サービスのリソースが未作成であることを検知します。

iam-member-operation-detected

IAM

会員認証による操作検知

さくらの会員認証による操作を検知します。

addon-threat-detections

Add-on/セキュリティ/脅威検知と対応

Add-on (Defender for Cloud)によるセキュリティインシデントアラートの検出

Add-on (Defender for Cloud)によるセキュリティインシデントアラート(脅威検知)が発生した際にセキュリティコントロール上に表示させるための評価ルールです。

addon-vulnerability-detections

Add-on/セキュリティ/脅威検知と対応

Add-on (Defender for Cloud)による推奨事項の検出

Add-on (Defender for Cloud)による推奨事項(脆弱性)の検出が行われた際にセキュリティコントロール上に表示させるための評価ルールです。

nosql-encryption-enabled

NoSQL

暗号化機能の無効化検知

暗号化が無効なNoSQLアプライアンスが1つ以上存在するとき、検出します。暗号化方式は考慮しません。

自動アクションの設定

メニューから 「自動アクション」 を選択します。
すでに作成した自動アクションがあれば、一覧で表示されます。

自動アクション一覧画面

「自動アクションの作成」 を選択します。
アクションタイプ(シンプル通知/ワークフロー)を選択します。
シンプル通知/ワークフローのリソースIDとサービスプリンシパルのリソースIDを選択します。
条件式を入力し、作成をクリックします。

自動アクション作成画面

情報

シンプル通知、ワークフロー、サービスプリンシパル、IAMポリシーについて詳しくはそれぞれのマニュアルを参照ください。

条件式について

条件式 は、自動アクションを実行するための「きっかけ」を決める設定です。
条件式を使うことで、検知イベントが発生したときに どんな場合に自動アクションを実行するかを絞り込むことができます。
条件式を活用すると、不要な通知を減らし、重要な問題に集中して対応できます。

入力例

評価結果の検出が「問題あり」 の場合に通知する

event.evaluationResult.status == "REJECTED"

評価結果の検出が「問題あり」かつ重大度が「高」以上の場合に通知する

event.evaluationResult.status == "REJECTED" && event.evaluationResult.severity in ["HIGH", "CRITICAL"]

評価結果のステータスが「失敗」の場合に通知する

event.evaluationResult.status == "FAILED"

特定の評価ルールの評価が実行された場合に通知する

event.evaluationResult.evaluation_rule_id == "{評価ルールID}"