| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | ||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | フェーズ | チェック項目 | 重大度 | 対応するツール | 検査項目紐付け識別子 | セキュリティガイドライン/フレームワーク | バージョン | 項番 | |||||||||||||||||||
2 | 大項目 | 中項目 | 小項目 | ||||||||||||||||||||||||
3 | ビルド(コンテナ管理) | コンテナイメージ | ベースイメージ | Alpine Linux (2.2 - 2.7, 3.0 - 3.13) における既知の脆弱性が存在する | Trivy | alpine | CIS Docker Benchmark | v1.7.0 | 4.4 | ||||||||||||||||||
4 | Red Hat Universal Base Image (7, 8) における既知の脆弱性が存在する | Trivy | redhat | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
5 | CentOS (6, 7) における既知の脆弱性が存在する | Trivy | centos | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
6 | Oracle Linux (5, 6, 7, 8) における既知の脆弱性が存在する | Trivy | oracle | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
7 | Amazon Linux (1, 2) における既知の脆弱性が存在する | Trivy | amazon | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
8 | openSUSE Leap (42, 15) における既知の脆弱性が存在する | Trivy | suse | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
9 | Photon OS (1.0, 2.0, 3.0) における既知の脆弱性が存在する | Trivy | photon | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
10 | Debian GNU/Linux (wheezy, jessie, stretch, buster) における既知の脆弱性が存在する | Trivy | debian | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
11 | Ubuntu (Canonical がサポートするすべてのバージョン) における既知の脆弱性が存在する | Trivy | ubuntu | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
12 | ライブラリ | コンテナ内のGemfile.lock(ruby)に依存する既知の脆弱性 | Trivy | gemspec | CIS Docker Benchmark | v1.7.0 | 4.4 | ||||||||||||||||||||
13 | コンテナ外のPipfile.lock (Python) に依存する既知の脆弱性 | Trivy | python-pkg | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
14 | コンテナ内のpoetry.lock (Python) に依存する既知の脆弱性 | Trivy | poetry | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
15 | コンテナ外のcomposer.lock (PHP) に依存する既知の脆弱性 | Trivy | composer | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
16 | コンテナ外のpackage-lock.json (Node.js) に依存する既知の脆弱性 | Trivy | node-pkg | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
17 | コンテナ内のyarn.lock (Node.js) に依存する既知の脆弱性 | Trivy | yarn | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
18 | コンテナ内のpackages.lock.json (.NET) に依存する既知の脆弱性 | Trivy | dotnet-core | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
19 | コンテナ内のJAR/WAR/EAR (Java) に依存する既知の脆弱性 | Trivy | jar | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
20 | コンテナ外のGo Binaries (Go) に依存する既知の脆弱性 | Trivy | gobinary | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
21 | コンテナ内のgo.sum (Go) に依存する既知の脆弱性 | Trivy | gomod | CIS Docker Benchmark | v1.7.0 | 4.4 | |||||||||||||||||||||
22 | コンテナ設定ファイル | 機密情報の露出 | Dockerfileに秘密情報(シークレット・認証情報)が記載されている | CIS Docker Benchmark | v1.7.0 | 4.10 | |||||||||||||||||||||
23 | ビルド時に環境変数(--build-arg)等で機密情報が渡されている | Critical | Trivy | DS031 | CIS Docker Benchmark | v1.7.0 | 4.10 | ||||||||||||||||||||
24 | Docker SecretsやKubernetes Secretsなど、秘密情報管理機能を利用していない | CIS Docker Benchmark | v1.7.0 | 7.4 | |||||||||||||||||||||||
25 | 不適切な設定 | DockerfileでCOPY命令ではなくADD命令を使用している | Low | Trivy | DS005 | CIS Docker Benchmark | v1.7.0 | 4.9 | |||||||||||||||||||
26 | apt-get install時に--no-install-recommendsオプションを付けて、不要パッケージを入れている | High | Trivy | DS029 | CIS Docker Benchmark | v1.7.0 | 4.3 | ||||||||||||||||||||
27 | DockerfileでEXPOSE 22(SSHポート)を開けている | Medium | Trivy | DS004 | CIS Docker Benchmark | v1.7.0 | 5.7 | ||||||||||||||||||||
28 | DockerfileでWORKDIRに/etcや/rootなど、ホストのシステムディレクトリを指定している | High | Trivy | DS030 | CIS Docker Benchmark | v1.7.0 | 5.6 | ||||||||||||||||||||
29 | コンテナ実行ユーザが非rootユーザではなく、rootが指定されている | High | Trivy | DS002 | CIS Docker Benchmark | v1.7.0 | 4.1 | ||||||||||||||||||||
30 | デプロイ | マスターノード | APIサーバ | APIサーバの安全ではないポートが開いている | Critical | Kubescape | C-0005 | なし | |||||||||||||||||||
31 | クラウドプロバイダが提供するホストのメタデータ提供機能を使用している | High | Kubescape | C-0052 | なし | ||||||||||||||||||||||
32 | etcd | secret情報(pod構成の環境変数)がkubernetesマニフェストに含まれている | High | Kubescape | C-0012 | CIS Kubernetes Benchmark | v1.8.0 | 5.4.1 | |||||||||||||||||||
33 | etcdの暗号化が無効になっている | Medium | Kubescape | C-0066 | CIS Kubernetes Benchmark | v1.8.0 | 1.2.28 | ||||||||||||||||||||
34 | コントローラ | コンテナからの権限昇格が許可されている | Medium | Kubescape | C-0016 | CIS Kubernetes Benchmark | v1.8.0 | 5.2.6 | |||||||||||||||||||
35 | ingress-nginx(v0.49.0以下)において、Ingressオブジェクトを作成または更新できるユーザーがカスタムスニペット機能を使用できる | High | Kubescape | C-0059 | なし | ||||||||||||||||||||||
36 | 監査ログの保存が無効になっている | Medium | Kubescape | C-0067 | CIS Kubernetes Benchmark | v1.8.0 | 1.2.17 | ||||||||||||||||||||
37 | podがDeployment、ReplicaSet などに関連づいていない | Low | Kubescape | C-0073 | なし | ||||||||||||||||||||||
38 | imagepullpolicyがalwaysに設定されておらず,latestタグを指定しても古いバージョンのイメージをpullする可能性がある | Low | Kubescape | C-0075 | なし | ||||||||||||||||||||||
39 | deploymentに役割に適したlabelがついていない | Low | Kubescape | C-0076 | なし | ||||||||||||||||||||||
40 | kubernetesリソースに共通するらlabelがついていない | Low | Kubescape | C-0077 | なし | ||||||||||||||||||||||
41 | スケジューラ | CronJobを通して悪意のあるコードの実行がスケジューリングされる可能性がある | Low | Kubescape | C-0026 | なし | |||||||||||||||||||||
42 | profilingオプションがfalseになっているか確認する | Low | Kubescape | C-0151 | CIS Kubernetes Benchmark | v1.8.0 | 1.2.16 | ||||||||||||||||||||
43 | bind-addressが127.0.0.1になっているか確認する | Medium | Kubescape | C-0152 | CIS Kubernetes Benchmark | v1.8.0 | 1.3.7 | ||||||||||||||||||||
44 | ワーカーノード | kubelet | kubeletへのHTTPSリクエストが匿名リクエスト(system:anonymous)になっている | Critical | Kubescape | C-0069 | CIS Kubernetes Benchmark | v1.8.0 | 4.2.1 | ||||||||||||||||||
45 | APIサーバ以外からのアクセスができる状態になっている | Critical | Kubescape | C-0070 | CIS Kubernetes Benchmark | v1.8.0 | 1.2.6 | ||||||||||||||||||||
46 | kube-proxy | kube-proxyのkubeconfigファイルのパーミッションが600未満になっている | Medium | Kubescape | C-0164 | CIS Kubernetes Benchmark | v1.8.0 | 4.1.3 | |||||||||||||||||||
47 | kube-proxyのkubeconfigファイルの所有者がroot:rootになっていない | Medium | Kubescape | C-0165 | CIS Kubernetes Benchmark | v1.8.0 | 4.1.4 | ||||||||||||||||||||
48 | pod | メモリを無制限に要求・使用できるpodがある | High | Kubescape | C-0004 | NSA/CISA Kubernetes Hardening Guide | Version 1.2 | Resource policie | |||||||||||||||||||
49 | CPUとメモリのいずれかにリソース制限がついていない | High | Kubescape | C-0009 | NSA/CISA Kubernetes Hardening Guide | Version 1.2 | Resource policie | ||||||||||||||||||||
50 | アプリケーションコンテナにroot権限が付与されている | Medium | Kubescape | C-0013 | CIS Kubernetes Benchmark | v1.8.0 | 5.2.7 | ||||||||||||||||||||
51 | hostPID,hostIPCを用いている(コンテナとホストが分離されていない) | High | Kubescape | C-0038 | なし | v1.8.0 | 3.8.2 | ||||||||||||||||||||
52 | Liveness probeが設定されていない | Medium | Kubescape | C-0056 | なし | v1.8.0 | 5.4.2 | ||||||||||||||||||||
53 | default namespaceでpodが実行されている | Low | Kubescape | C-0061 | CIS Kubernetes Benchmark | v1.8.0 | 5.7.4 | ||||||||||||||||||||
54 | コンテナのentrypointでsudoコマンドが存在する | Medium | Kubescape | C-0062 | NSA/CISA Kubernetes Hardening Guide | Version 1.2 | Building secure container images | ||||||||||||||||||||
55 | CPUを無制限に要求・使用できるpodがある | High | Kubescape | C-0050 | NSA/CISA Kubernetes Hardening Guide | Version 1.2 | Resource policie | ||||||||||||||||||||
56 | subPathまたはsubPathExprを使用してホストファイルシステムにアクセスできるようになっている(k8sバージョンがv1.22.0 - v1.22.1、v1.21.0 - v1.21.4、v1.20.0 - v1.20.10、v1.19.14以下限定) | Medium | Kubescape | C-0058 | なし | v1.8.0 | 5.1.3 | ||||||||||||||||||||
57 | コンテナランタイム | 信頼できないまたは禁止されているコンテナレジストリの使用 | High | Kubescape | C-0001 | NIST SP 800-190 | 初版 | 3.1.5 | |||||||||||||||||||
58 | コンテナ内でスクリプトをダウンロードしたり,アプリに変更を加えること(つまりwriteやexecute)ができる | Low | Kubescape | C-0017 | NSA/CISA Kubernetes Hardening Guide | Version 1.2 | Immutable container file systems | ||||||||||||||||||||
59 | コンテナ内のsshサーバに外部からアクセスできる | Low | Kubescape | C-0042 | なし | v1.8.0 | 5.1.1 | ||||||||||||||||||||
60 | コンテナに安全でない権限が付与されている | High | Kubescape | C-0046 | CIS Kubernetes Benchmark | v1.8.0 | 5.2.6 | ||||||||||||||||||||
61 | SELinux、AppArmor、seccomp などのセキュリティ サービスを利用していない | Medium | Kubescape | C-0055 | CIS Kubernetes Benchmark | v1.8.0 | 5.7.2 | ||||||||||||||||||||
62 | コンテナランタイムソケット(/var/run/docker)をマウントしている | Medium | Kubescape | C-0074 | なし | v1.8.0 | 1.1.6 | ||||||||||||||||||||
63 | イメージがarmosecが定義した信頼できるコンテナイメージではない | Medium | Kubescape | C-0078 | なし | v1.8.0 | 2.6.1 | ||||||||||||||||||||
64 | CAP_SYS_ADMIN 権限をもったコンテナから任意コードが実行できる状態にある | Medium | Kubescape | C-0079 | CIS Kubernetes Benchmark | v1.8.0 | 5.2.9 | ||||||||||||||||||||
65 | オープン ソースCDプラットフォーム Argo CDといったソフトウェア サプライ チェーンのゼロデイ脆弱性がある | Medium | Kubescape | C-0081 | なし | ||||||||||||||||||||||
66 | クラウドの認証情報などにアクセスできるボリュームがある | Medium | Kubescape | C-0020 | CIS Kubernetes Benchmark | v1.8.0 | 5.1.2 | ||||||||||||||||||||
67 | コンテナにホストのディレクトリやボリュームをマウントしている | High | Kubescape | C-0045 | CIS Kubernetes Benchmark | v1.8.0 | 4.6.1 | ||||||||||||||||||||
68 | RBAC(権限) | サービスアカウント | 不必要にkubernetesダッシュボードにアクセスできるサービスアカウントが存在する | Low | Kubescape | C-0014 | CIS Kubernetes Benchmark | v1.8.0 | 5.2.12 | ||||||||||||||||||
69 | pod起動時にサービスアカウントトークンがpodにマウントされる | Medium | Kubescape | C-0034 | CIS Kubernetes Benchmark | v1.8.0 | 5.1.6 | ||||||||||||||||||||
70 | RBACが無効になっている(サービスアカウントが無制限に権限を持つ状態になっている) | Medium | Kubescape | C-0053 | CIS Kubernetes Benchmark | v1.8.0 | 5.1.2 | ||||||||||||||||||||
71 | Impersonation ロールが使用可能になっている | Medium | Kubescape | C-0065 | CIS Kubernetes Benchmark | v1.8.0 | 5.1.8 | ||||||||||||||||||||
72 | ロール | クラスタ内にkubectl execが実行できるコンテナが存在する | Medium | Kubescape | C-0002 | なし | |||||||||||||||||||||
73 | データ・リソース削除に関する過剰な権限がある | Medium | Kubescape | C-0007 | CIS Kubernetes Benchmark | v1.8.0 | 5.1.9 | ||||||||||||||||||||
74 | 不必要にsecretにアクセスできるサービスアカウントが存在する | High | Kubescape | C-0015 | CIS Kubernetes Benchmark | v1.8.0 | 5.1.2 | ||||||||||||||||||||
75 | 不必要にkubernetes eventを削除できるコンポーネントが存在する | Medium | Kubescape | C-0031 | なし | v1.8.0 | 2.3.1 | ||||||||||||||||||||
76 | 不必要にクラスタ管理者の権限に紐つけられたコンポーネントが存在する | Medium | Kubescape | C-0035 | CIS Kubernetes Benchmark | v1.8.0 | 5.1.1 | ||||||||||||||||||||
77 | 不必要にconfigmap,corednsに更新できる権限のあるサービスアカウントが存在する | Medium | Kubescape | C-0037 | CIS Kubernetes Benchmark | v1.8.0 | 5.1.3 | ||||||||||||||||||||
78 | 不必要にpodへのポートフォーワードができるようなコンポーネントが存在する | Medium | Kubescape | C-0063 | CIS Kubernetes Benchmark | v1.8.0 | 5.1.10 | ||||||||||||||||||||
79 | ネットワーク | コンポーネント間通信 | 既知の悪用されたコンポーネントの1つに対するノードポート/ロードバランサーのサービスが存在する(外部からアクセスできる状態にある) | Medium | Kubescape | C-0021 | NSA/CISA Kubernetes Hardening Guide | Version 1.2 | Network policies | ||||||||||||||||||
80 | コンテナがhostportを使用している | Medium | Kubescape | C-0044 | CIS Kubernetes Benchmark | v1.8.0 | 5.2.13 | ||||||||||||||||||||
81 | pod間通信に制限が設けられていない | Low | Kubescape | C-0049 | CIS Kubernetes Benchmark | v1.8.0 | 5.3.2 | ||||||||||||||||||||
82 | ネットワーク制御(ポリシー) | Readiness probeが構成されていない | Low | Kubescape | C-0018 | なし | v1.8.0 | 4.1.1 | |||||||||||||||||||
83 | podごとにネットワークを制御するポリシーが設定されていない | Medium | Kubescape | C-0030 | CIS Kubernetes Benchmark | v1.8.0 | 5.3.2 | ||||||||||||||||||||
84 | ホストネットワークへのアクセスが可能な状態にある | High | Kubescape | C-0041 | なし | ||||||||||||||||||||||
85 | 既知の重大な脆弱性を持つコンテナが外部に公開されている | High | Kubescape | C-0083 | NIST SP 800-190 | 初版 | 3.1.1 | ||||||||||||||||||||
86 | 既知のリモート コード実行 (RCE) の脆弱性を持つコンテナ イメージが外部に公開されている | High | Kubescape | C-0084 | NIST SP 800-190 | 初版 | 3.1.1 | ||||||||||||||||||||
87 | デプロイ後 (運用・監視) | マスターノード | APIサーバ | kubectl cpコマンドを通じてAPIサーバ経由でコンテナのファイルシステムからのデータのコピーを検出 | Notice | falco | Exfiltrating Artifacts via Kubernetes Control Plane | MITRE ATT&CK for Enterprise – Containers | v16.0 | exfiltration | |||||||||||||||||
88 | コンテナ(コンテナランタイム) | シェル構成ファイルの変更を検出 | Warning | falco | Modify Shell Configuration File | MITRE ATT&CK for Enterprise – Containers | v16.0 | persistence | |||||||||||||||||||
89 | 新たにスケジュールされたcronジョブを検出 | Notice | falco | Schedule Cron Jobs | MITRE ATT&CK for Enterprise – Containers | v16.0 | execution | ||||||||||||||||||||
90 | SSHディレクトリ内のファイルに対する読み取り試行を検出 | Error | falco | Read ssh information | MITRE ATT&CK for Enterprise – Containers | v16.0 | collection | ||||||||||||||||||||
91 | setnsシステムコールを使ってスレッドの名前空間を変更しようとする試行を検出 | Notice | falco | Change thread namespace | MITRE ATT&CK for Enterprise – Containers | v16.0 | privilege_escalation | ||||||||||||||||||||
92 | unshareシステムコールを使用して、権限昇格を試みる操作を検出 | Notice | falco | Change namespace privileges via unshare | MITRE ATT&CK for Enterprise – Containers | v16.0 | privilege_escalation | ||||||||||||||||||||
93 | システムバイナリ(例: coreutilsやユーザー管理)が行う予期しないネットワークアクティビティを検出 | Notice | falco | System procs network activity | MITRE ATT&CK for Enterprise – Containers | v16.0 | execution | ||||||||||||||||||||
94 | setuidを使用して、sudoやsuを除いたユーザー切り替えの試行を検出 | Notice | falco | Non sudo setuid | MITRE ATT&CK for Enterprise – Containers | v16.0 | privilege_escalation | ||||||||||||||||||||
95 | ユーザー管理バイナリ(例: usermod、deluserなど)によるアクティビティを検出 | Notice | falco | User mgmt binaries | MITRE ATT&CK for Enterprise – Containers | v16.0 | persistence | ||||||||||||||||||||
96 | /devディレクトリ下にファイルを作成しようとする試行を検出 | Error | falco | Create files below dev | MITRE ATT&CK for Enterprise – Containers | v16.0 | persistence | ||||||||||||||||||||
97 | コンテナ内でのパッケージ管理コマンド実行を検出 | Error | falco | Launch Package Management Process in Container | MITRE ATT&CK for Enterprise – Containers | v16.0 | persistence | ||||||||||||||||||||
98 | コンテナ内でのリモートコピーツール(rsync,scp,sftp等)の使用を検出 | Notice | falco | Launch Remote File Copy Tools in Container | MITRE ATT&CK for Enterprise – Containers | v16.0 | exfiltration | ||||||||||||||||||||
99 | コンテナ内でのリモートファイルコピーツール(curl,wget)などの使用を検出 | Notice | falco | Launch Ingress Remote File Copy Tools in Container | MITRE ATT&CK for Enterprise – Containers | v16.0 | command_and_control | ||||||||||||||||||||
100 | pod | データベースサーバ関連のプログラムによる予期しない子プロセス生成を検出 | Notice | falco | DB program spawned process | MITRE ATT&CK for Enterprise – Containers | v16.0 | execution | |||||||||||||||||||