2022年4月28日、Conformity—以下のルールとアップデートが2022年4月28日のConformityの最新リリースで利用可能になりました。
- Conformityに追加された新しいAWSおよびAzureルールをサポートするために、PCI DSS c3.2.1標準を更新しました。
- 設定 > 一般設定の更新でGCPアカウントのGCPプロジェクトIDを表示できるようになりました。
バグ修正
- APIエンドポイントの下に表示されるフィールドの説明を含めるためにAPIドキュメントのバグを修正しました。
- Evolution APIのチェックカウント統計におけるバグを修正し、累積数ではなくボット実行の平均数を反映するようにしました。
- Conformityボットが正常に動作しないバグを修正しました。
- 公開APIを介してSMSまたはメールチャネルを作成または更新する際に、未確認のユーザーにエラーを表示するバグを修正しました。
- CloudFormationテンプレートで指定されていない場合、Autoscalingグループのデフォルトクールダウン値を300秒に設定するバグを修正しました。
カスタムポリシーの更新
新しい展開の結果としてカスタムポリシーを更新しました。最新のカスタムポリシーバージョンは1.37で、追加された権限は次のとおりです:
- inspector:評価対象の説明
- inspector:DescribeResourceGroups
- inspector:ListAssessmentTargets
- inspector:プレビューエージェント
新しいルール
Azure
- Monitor-009: Azureクラウドリソースのアクティビティログのエクスポートを有効にする: このルールは、サブスクリプション内の各クラウドリソースに対してアクティビティログのエクスポートが有効になっていることを保証します。
- StorageAccounts-019: Azure Storage Blobサービスのログを有効にする: このルールは、Azure Storage Blobサービスのストレージログが有効になっていることを確認します。
- StorageAccounts-020: Azure Storage Tableサービスのログを有効にする: このルールは、Azure Storage Tableサービスのストレージログが有効になっていることを確認します。
AWS
- EC2-078: Amazon Inspectorによるインスタンスのスキャン: このルールは、すべてのAmazon EC2インスタンスが少なくとも1つのInspector Classic評価対象に含まれていることを保証し、評価実行中にAmazon Inspector ClassicサービスがEC2インスタンスの潜在的なセキュリティ問題や一般的な脆弱性を評価できるようにします。
GCP
- CloudDNS-003: DNSSECゾーン署名アルゴリズムの使用状況を確認: このルールは、DNSSECキー署名が公開DNS管理ゾーンに関連付けられたゾーン署名キー (ZSK) の署名アルゴリズムとしてRSASHA1を使用していないことを保証します。
- CloudIAM-009: Google Cloudの監査ログを設定してすべてのアクティビティを追跡する: このルールは、監査ログ機能がすべてのサービスおよびユーザーのアクティビティを記録するように設定されていることを保証します。
- CloudAPI-001: Google Cloud APIキー: このルールは、Google Cloud Platform (GCP) プロジェクト用に作成されたすべてのAPIキーが定期的にローテーションされることを保証します。
ルールの更新
- ELBv2-003: ALBセキュリティポリシー
- ELBv2-009 Network Load Balancerセキュリティポリシー: ELBv2-003とELBv2-009を最新かつ最も安全なセキュリティポリシーに更新しました。
- IAM-036: 管理者権限を持つAWS IAMユーザー: 特権IAMユーザーに添付されたポリシーを表示するようにIAM-036を更新しました。