arrow_back

Cloud Security Scanner: Qwik Start

参加 ログイン

Cloud Security Scanner: Qwik Start

45分 クレジット: 1

GSP112

Google Cloud セルフペース ラボ

概要

Cloud Security Scanner は、Google App Engine ウェブ アプリケーションに潜むセキュリティ脆弱性を特定するツールです。アプリケーションをクロールして、開始 URL の範囲内にあるすべてのリンクをたどり、できる限り多くのユーザー入力とイベント ハンドラの処理を試みます。

Cloud Security Scanner は、既存の安全な設計プロセスと開発プロセスを補完することを目的としています。誤検出があるとデベロッパーの注意がそがれるため、あまり多くの情報が報告されないようになっています。また信頼度が低いアラートは表示されません。Cloud Security Scanner は、人によるセキュリティ レビューに置き換わるものではなく、アプリケーションにセキュリティの欠陥がないことを保証するものでもありません。ウェブ セキュリティについて詳しくは、OWASP 上位 10 件のプロジェクトをご覧ください。

設定

[ラボを開始] ボタンをクリックする前に

こちらの手順をお読みください。ラボの時間は記録されており、一時停止することはできません。[ラボを開始] をクリックするとスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。

この Qwiklabs ハンズオンラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でラボのアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

必要なもの

このラボを完了するためには、下記が必要です。

  • 標準的なインターネット ブラウザ(Chrome を推奨)
  • ラボを完了するために十分な時間

注: すでに個人の Google Cloud アカウントやプロジェクトをお持ちの場合でも、ラボでは使用しないでください。

注: Chrome OS デバイスを使用している場合は、シークレット ウィンドウを開いてこのラボを実行してください。

ラボを開始して Google Cloud コンソールにログインする方法

  1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。 左側の [ラボの詳細] パネルには、以下が表示されます。

    • [Google コンソールを開く] ボタン
    • 残り時間
    • このラボで使用する必要がある一時的な認証情報
    • このラボを行うために必要なその他の情報(ある場合)
  2. [Google コンソールを開く] をクリックします。 ラボでリソースが起動し、別のタブで [ログイン] ページが表示されます。

    ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

    注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。
  3. 必要に応じて、[ラボの詳細] パネルから [ユーザー名] をコピーして [ログイン] ダイアログに貼り付けます。[次へ] をクリックします。

  4. [ラボの詳細] パネルから [パスワード] をコピーして [ようこそ] ダイアログに貼り付けます。[次へ] をクリックします。

    重要: 認証情報は左側のパネルに表示されたものを使用してください。Google Cloud Skills Boost の認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。
  5. その後次のように進みます。

    • 利用規約に同意してください。
    • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
    • 無料トライアルには登録しないでください。

その後このタブで Cloud Console が開きます。

注: 左上にある [ナビゲーション メニュー] をクリックすると、Google Cloud のプロダクトやサービスのリストが含まれるメニューが表示されます。 ナビゲーション メニュー アイコン

Google Cloud Shell の有効化

Google Cloud Shell は、デベロッパー ツールと一緒に読み込まれる仮想マシンです。5 GB の永続ホーム ディレクトリが用意されており、Google Cloud で稼働します。Google Cloud Shell では、コマンドラインで GCP リソースにアクセスできます。

GCP Console の右上のツールバーにある [Cloud Shell をアクティブにする] ボタンをクリックします。

Cloud Shell アイコン

[続行] をクリックします。

cloudshell_continue

環境のプロビジョニングと接続には少し時間がかかります。接続すると、すでに認証されており、プロジェクトは PROJECT_ID に設定されています。例えば:

Cloud Shell 端末

gcloud は Google Cloud Platform のコマンドライン ツールです。このツールは、Cloud Shell にプリインストールされており、タブ補完がサポートされています。

次のコマンドを使用すると、有効なアカウント名を一覧表示できます。

gcloud auth list

出力:

ACTIVE: *
ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net
To set the active account, run:
    $ gcloud config set account `ACCOUNT`
	

次のコマンドを使用すると、プロジェクト ID を一覧表示できます。

gcloud config list project
	

出力:

[core]
project = <project_ID>
	

出力例:

[core]
project = qwiklabs-gcp-44776a13dea667a6
	

スキャンするアプリを事前に用意する

このラボでは、Hello World サンプル アプリケーションをデプロイして Security Scanner を実行します。Cloud Shell で次のコマンドを実行し、Hello World サンプル アプリケーションのリポジトリのクローンを作成します。

gsutil -m cp -r gs://spls/gsp067/python-docs-samples .

次に、サンプルコードを含むディレクトリに移動します。

cd python-docs-samples/appengine/standard_python3/hello_world

アプリをテストする

アプリの app.yaml 構成ファイルがある hello_world ディレクトリから、次のコマンドを使用してローカルの開発用サーバーを起動します。

dev_appserver.py app.yaml

ローカルの開発用サーバーが起動し、ポート 8080 でリクエストを待機します。Cloud Shell の [ウェブでプレビュー] ボタンをクリックし、[プレビューのポート: 8080] を選択します。

bde9fe42e27656fb.png

ウェブでプレビュー アイコンが表示されていない場合は、左上のナビゲーション メニューを閉じます。

Ctrl+C キーを押してローカルアプリを停止し、コマンドラインに戻ります。

アプリをデプロイする

アプリケーションのルート ディレクトリ(hello_world)で次のコマンドを実行して、アプリを App Engine にデプロイします。

gcloud app deploy

次にリージョンの選択を求められますので、近いリージョンの番号を選択します。

ラボにアプリが作成されると、続行するかどうか尋ねられます。[Y] をクリックして続行します。

アプリのデプロイが開始します。

アプリを表示する

ブラウザでアプリを起動するには、次のコマンドを実行します。

gcloud app browse

Cloud Shell 内のリンクを使用するか、http://[YOUR_PROJECT_ID].appspot.com にアクセスしてアプリを表示します。この URL が脆弱性スキャンの対象になり、次のステップでスキャン パラメータに追加されます。

完了したタスクをテストする

[進行状況を確認] をクリックして、実行したタスクを確認します。タスクが正常に完了している場合、評価スコアが表示されます。

サンプル App Engine アプリケーションをデプロイします。

スキャンを実行する

スキャンは直ちに実行されるのではなく、まずキューに追加されて後で実行されます。その時点の負荷によっては、スキャンが実行されるまでに数時間かかることがあります。フォーム設定について詳しくは、Cloud Security Scanner の使用をご覧ください。

ナビゲーション メニュー > [App Engine] > [セキュリティ スキャン] に移動します。

enable-api.png

[API を有効にする] > [スキャンを作成] をクリックします。

[Starting URLs] に スキャンするアプリケーションの URL を入力してください。

new_scan.png

[保存] をクリックしてスキャンを作成します。

[実行] をクリックしてスキャンを開始します。

506d9de6bb390881.png

スキャンがキューに追加され、進行状況がステータスバーに表示されます。スキャンが完了すると、スキャンの概要ページに結果セクションが表示されます。次の画像は、脆弱性が検出されなかった場合のスキャン結果の例を示しています。

status1.png

これで、Cloud Security Scanner を使用したスキャンが完了しましたが、1 つの URL をスキャンするだけでは十分でないことを示す警告が表示されます。このラボは簡単な例を示すことを目的としていますが、本番環境では多数の URL をスキャンする必要があります。

理解度チェック

今回のラボで学習した内容を理解できているかどうかを確認するために、以下の選択問題を用意しました。正解を目指して頑張ってください。

お疲れさまでした

41ab6fa0d099216d.png SecurityandIdentity_125.png

クエストの終了

このセルフペース ラボは、ベースライン: デプロイと開発およびセキュリティと ID の基礎のクエストの一部です。クエストとは、学習パスを構成する一連のラボのことです。このクエストを完了すると、成果が認められて上のバッジが贈られます。バッジは公開して、オンライン レジュメやソーシャル メディア アカウントにリンクすることができます。このラボを終えてクエストに登録すれば、すぐにクレジットを受け取ることができます。受講可能なその他の Qwiklabs のクエストもご確認ください

次のステップと詳細情報

このラボは、Google Cloud が提供する多くの機能を体験できる「Qwik Start」と呼ばれるラボシリーズの一部です。ラボカタログで「Qwik Start」を検索し、興味のあるラボを探してみてください。

Google Cloud Training & Certification

Google Cloud 技術を最大限に活用できるようになります。このクラスでは、必要な技術力とベスト プラクティスを習得し、継続的に学習することができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、仮想環境など、多忙なスケジュールに対応できるオプションが用意されています。認定資格を取得することで、Google Cloud の技術のスキルと知識を証明できます。

マニュアルの最終更新日: 2020 年 9 月 18 日
ラボの最終テスト日: 2020 年 9 月 17 日

Copyright 2020 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。