ビュー:
2022年7月4日、Conformity—Conformityの最新リリースにより、以下の機能と更新が2022年7月4日に利用可能になりました。
  • 概要タブの新しいEvolution Chartサマリーウィジェットを紹介します。これにより、最大1年間の全体的なコンプライアンスの傾向と、成功、失敗、合計チェックによるコンプライアンススコアの日平均内訳を確認できます。続きを読む>
  • Conformityは現在、以下のコンプライアンス標準をサポートしています:
  • GCPのISO ISO 27001:2013
  • GCP向けPCI DSS V3.2.1 (2022年4月に更新)
  • APRA CPS 234準拠標準のためのAWSおよびAzureルールマッピングを更新しました。
  • カスタムルールに新しいオペレーター`isNullOrUndefined`を追加しました。
バグ修正
  • 他のアカウントからの関連付けされていないチェックが、グループダッシュボードおよびアカウントダッシュボードの最も重大な障害セクションに表示されるバグを修正しました。
  • Trend Micro Cloud Oneコンソールを介してConformityプラットフォームにSSOでログインする際に、Jira通信チャンネルを使用してJira OAuthに接続できないバグを修正しました。
  • すべての組織でMicrosoft Teamsの通知を迅速に受信するために、Microsoft Teamsの通信チャネルは現在、チャネルごとに1時間あたり100件の通知に制限されています。
  • View by Rule & View by Standards & Frameworksビューで、同じ組織内の他のアカウントから関連付けられていないチェックが表示されるバグを修正しました。
  • スケジュールされたレポートを設定する際に、利用可能なすべてのメールを読み込むためのドロップダウンメール選択のバグを修正しました。
  • Well Architected Toolのメモが生成されないことがあるバグを修正し、サステナビリティの柱へのサポートを追加しました。
カスタムポリシーの更新
新しいデプロイメントの結果としてカスタムポリシーに変更はありません。現在のカスタムポリシーバージョンは1.37です。現在のカスタムポリシーにアクセスするにはこちらをクリックしてください
Conformity Bot更新
Conformity Botのパフォーマンスを強化し、スキャンによる評価のみを行うか、AzureサブスクリプションのActive Directoryルールを実行するために必要な最小限のActive Directoryデータのみをスキャンするようにしました。
新しいルール
GCP
  • CloudSQL-022: PostgreSQLデータベースインスタンスの「log_planner_stats」フラグを無効にする: このルールは、PostgreSQLデータベースフラグ`log_planner_stats`が「off」に設定されていることを確認します
  • CloudSQL-023: PostgreSQLデータベースインスタンスの「log_parser_stats」フラグを無効にする: このルールは、`log_hostname` PostgreSQLデータベースフラグが「on」に設定されていることを確認します。
  • CloudSQL-024: MySQLデータベースインスタンスに対して「skip_show_database」フラグを有効にする: このルールは、`skip_show_database` MySQLデータベースフラグが「オン」に設定されていることを確認します。
  • CloudSQL-025: PostgreSQLデータベースインスタンスの「log_parser_stats」フラグを無効にする: このルールは、`log_parser_stats` PostgreSQLデータベースフラグが「off」に設定されていることを確認します。
  • CloudSQL-026: PostgreSQLデータベースインスタンスのlog_executor_statsフラグを無効にする: `log_executor_stats` PostgreSQLデータベースフラグがオフに設定されていることを確認してください。
  • CloudVPC-006: VPCネットワークのCloud DNSログ記録: このルールは、DNSサーバーポリシーを使用して、すべての仮想プライベートクラウド (VPC) ネットワークでCloud DNSログ記録が有効になっていることを保証します。
  • CloudLoadBalancing-001: 安全でないSSL暗号スイートのチェック: このルールは、安全でないSSLポリシーで設定されたHTTPS/SSLプロキシロードバランサーがないことを確認します。
  • CloudStorage-003: バケットロックを使用した保持ポリシーの設定: このルールは、ログバケットの保持ポリシーがバケットロック機能を使用していることを保証します
  • CloudIAM-010: KMS関連の役割に対する職務分離の強制: このルールは、すべてのGoogle Cloud KMS関連の役割に対して職務分離が実施されることを保証します。
Azure
  • Network-023: 無制限のDNSアクセスを確認: このルールは、ネットワークセキュリティグループがTCPおよびUDPポート53で無制限のインバウンドアクセスを許可しないことを保証します。
  • Network-020: 制限のないICMPアクセスの確認: このルールは、Network Securityグループがインターネット制御メッセージプロトコル (ICMP) を使用した制限のないインバウンドアクセスを許可しないことを保証します。
  • Network-018: 制限のないSMTPアクセスの確認: このルールは、Microsoft AzureのNetwork Securityグループ (NSG) がTCPポート25への無制限のアクセスを許可しないことを保証します。
  • Network-019: 無制限のTelnetアクセスを確認: このルールは、Microsoft AzureのNetwork Securityグループ (NSG) がTCPポート23で無制限のアクセスを許可しないことを保証します
  • SecurityCenter-035: SQL Server仮想マシン用Microsoft Defender for Cloud: このルールは、SQL Server仮想マシンに対してMicrosoft Defender for Cloudが有効になっていることを確認します。
  • SecurityCenter-036: Azure SQL DatabaseサーバーにMicrosoft Defender for Cloudを有効にする: このルールは、Azure SQLデータベースサーバーにMicrosoft Defender for Cloudが有効であることを保証します。
  • SecurityCenter-037: Azureコンテナ用のMicrosoft Defender for Cloudを有効にする: このルールは、Azureコンテナ用のMicrosoft Defender for Cloudが有効になっていることを確認します。
  • SecurityCenter-038: ストレージアカウントに対してMicrosoft Defender for Cloudを有効にする: このルールは、Azureストレージアカウントに対してMicrosoft Defender for Cloudが有効であることを保証します。
ルールアップデート
  • 次のルールを更新して、チェック結果を強化し、例外処理の方法を改善しました。
  • CloudVPC-004: デフォルトVPCネットワークが使用中
  • CloudVPC-005: レガシーネットワークの確認
  • 以下のルールチェック結果を軽微なテキスト変更で更新しました。
  • SecurityCenter-032: 仮想マシンにMicrosoft Defender for Cloudを有効にする
  • SecurityCenter-033: App ServiceにMicrosoft Defender for Cloudを有効にする
  • SecurityCenter-034: Key VaultsにMicrosoft Defender for Cloudを有効にする
  • 以下のルールは、Google Kubernetes (GKE) クラスターにはベストプラクティスが適用されないため、GKE クラスターに対するチェックが行われなくなります。
  • ComputeEngine-001: パブリックIPアドレスを持つ仮想マシンインスタンスを確認
  • ComputeEngine-004: 仮想マシンインスタンスのIP転送を無効にする
  • ComputeEngine-006: デフォルトサービスアカウントに関連付けられたインスタンスを確認
  • ComputeEngine-008: インスタンスに関連付けられたサービスアカウントの完全なAPIアクセスを確認
  • VirtualMachines-023:仮想マシンの高速ネットワーキングを有効化: ルールに対するチェックを`tags`または`resourceId`で除外する機能を有効化しました。
  • ActiveDirectory-003: Active Directoryゲストユーザーの確認: Active-Directory 003を更新して、すべてのゲストユーザーではなく100人のゲストユーザーを評価するようにしました。