ビュー:

2025年9月15日、Conformity: 2025年9月12日に終了する週のTrend Cloud One Conformityアップデートの概要。

更新されたコンプライアンス基準 - CISファウンデーションベンチマーク

私たちは、インターネットのセキュリティ (CIS) 基礎ベンチマークに準拠するためにコンプライアンス基準を更新しました。これで、チェックをフィルタリングし、コンプライアンスレポートをダウンロードして、クラウド環境が最新のCIS基礎ベンチマークに準拠していることを確認できます。
  • CIS Alibaba Foundations Benchmarkv2.0.0
  • CIS AWS Foundations Benchmark v5.0.0
  • CIS Azure Foundations Benchmark v3.0.0
  • CIS GCPファウンデーションベンチマークv4.0.0
  • CIS OCI Foundations Benchmark v3.0.0
Trend Micro Vision One - Cloud Postureに授与されたCIS認証は、CISパートナーウェブサイトで確認でき、コンプライアンスとConformityについて詳しく学ぶことができます。

新しいGCPルール

  • CloudRun-002: リソース管理のためのラベルの使用: このルールは、ユーザ定義のラベルがGoogle Cloud Platform (GCP) プロジェクト内のCloud Runサービスをタグ付け、収集、整理するために使用されていることを保証します。
  • CloudRun-004: Cloud RunサービスのエンドツーエンドHTTP/2を有効にする: このルールは、Cloud Runサービスに対してエンドツーエンドのHTTP/2サポートが有効になっていることを確認します。
  • CloudSQL-034: SSL/TLS接続のみを許可: このルールは、Cloud SQLデータベースインスタンスへのすべての受信接続がSSL/TLSで暗号化されることを保証します。
  • CloudFunction-008: 関数の暗号化に顧客管理の暗号鍵を使用する: このルールは、Google Cloud の関数が Google 管理の暗号鍵ではなく、顧客管理の暗号鍵 (CMEK) を使用することを保証します。
  • CloudRun-008: サービス暗号化に顧客管理暗号鍵を使用する: このルールは、Cloud RunサービスがGoogle管理の暗号鍵ではなく、顧客管理暗号鍵 (CMEK) を使用することを保証します。
  • SecretManager-004: Secret Managerの秘密の暗号化に顧客管理の暗号鍵を使用する: このルールは、Google Cloud Secret Managerの秘密がCloud KMSの顧客管理の暗号鍵 (CMEK) を使用して暗号化されていることを保証します。
  • CloudRun-006: バイナリ認証を有効にするこのルールは、Google Cloud Runサービスに対してバイナリ認証が有効になっていることを確認します。
  • SecretManager-002: シークレットバージョンの破棄遅延を有効化: このルールは、Googleシークレットマネージャのシークレットに対して遅延破棄ポリシーが設定されていることを確認します。
  • CloudRun-007: 非アクティブなサービスアカウントを持つCloud Runサービス: このルールは、実行の失敗や運用の中断を防ぐために、Cloud Runサービスが既存のアクティブなサービスアカウントを参照していることを確認します。
  • CloudSQL-038: Cloud SQLインスタンスの暗号化を顧客管理キーで有効化: このルールは、Google Cloud SQLデータベースインスタンスが顧客管理キー (CMK) で暗号化されていることを保証します。
  • CloudRun-009: Cloud SQLインスタンスの暗号化を顧客管理キーで有効化: このルールは、Google Cloud Runサービスが公開アクセスされないことを保証します。
  • CloudLogging-010: バケットロックを使用して保持ポリシーを構成する: このルールは、Google Cloudログシンクバケットに付随するすべての保持ポリシーがバケットロック機能で構成されていることを保証します。
  • CloudFunction-011: Google Cloud FunctionsのCloud Logging権限: このルールは、Cloud Logging APIがGoogle Cloud Functionsのログを書き込むための十分な権限を持っていることを保証します。
  • NetworkConnectivity-001: プライベートサブネットのためのCloud NATを有効にする: このルールは、外部アクセスが必要なすべてのプライベートVPCサブネットに対してCloud NATが有効であることを保証します。
  • ResourceManager-011: Google Cloud組織のサービスアカウント作成を防止: このルールは、「サービスアカウント作成の無効化」組織ポリシーを通じて、Google Cloud組織内でのCloud IAMサービスアカウントの作成を防止します
  • ResourceManager-008: OSログインの要求: このルールは、GCP組織レベルで「OSログインの要求」制約ポリシーが適用されることを保証し、組織内の新しく作成されたすべてのGoogle CloudプロジェクトでOSログイン機能を有効にします。OSログインは、集中化された自動SSH鍵ペア管理を提供します。
  • ResourceManager-013: 詳細監査ログモードの強制: このルールは、GCP組織内で利用可能なサポートされているクラウドストレージリソースに対して詳細監査ログ機能を有効にするために、「Google Cloud Platform - 詳細監査ログモード」ポリシーが組織レベルで強制されていることを確認します。

新しいAzureルール

  • CosmosDB-012: Microsoft Defender for Azure Cosmos DBアカウントを有効にする: このルールは、リソースレベルでMicrosoft Defender for Azure Cosmos DBが有効になっていることを確認します。
  • RedisCache-006: 更新チャネルの構成: このルールは、Microsoft Azure Cache for Redisサーバが「Stable」更新チャネルを使用していることを確認します。
  • RedisCache-008: Azure Cache for Redisサーバーのアクセスキー認証を無効化: このルールは、Microsoft Azure Cache for RedisサーバーがアクセスキーではなくMicrosoft Entra IDを使用して認証するように構成されていることを確認します。
  • ResourceManager-012: 組織レベルでのシリアルポートアクセスサポートの無効化: このルールは、Google Cloud Platform (GCP) 組織に対して「VMシリアルポートアクセスの無効化」制約ポリシーが有効になっていることを確認します。
  • RedisCache-005: Azure Cache for Redisサーバーのデータ永続化を有効にする: このルールは、Microsoft Azure Cache for Redisサーバーでデータ永続化が有効になっていることを確認し、予期しないキャッシュノードの障害に対する回復力を確保します。