ビュー:
2022年1月19日、Conformity—以下の機能と更新が2022年1月19日にConformityにリリースされました。
  • Jiraコミュニケーションチャネル設定モーダルは、設定をテストする際にテストチケットが適切に移行できない場合、エラーメッセージを表示するようになりました。
バグ修正
  • JIRAチケットワークフローにおいて、完了への遷移に画面が添付され、その画面に必須フィールド (例: 解決) がある場合に正しく解決されないバグを修正しました
  • ConformityからのSlack通知メッセージにおいて、UIに表示されているデフォルト設定とは異なり、デフォルトでResourceおよびIntroduced byフィールドが含まれるバグを修正しました。
  • 管理者ユーザーがCloud One ConformityユーザーをConformity直接組織に招待できるようにするバグを修正しました。
  • APIキーに対して複数の安全リストに登録されたIPアドレスがある場合に、無効化および削除ボタンが画面外に押し出されるバグを修正しました。
  • グループ設定またはAzureアクセス設定の更新時に、以前に抑制されたチェックが抑制されていない状態で表示されるバグを修正しました。
  • リソース別表示タブで、スコアが付けられていないチェックが失敗したチェックとして表示され、カウントされる問題を修正しました。
カスタムポリシーの更新
  • 追加された権限はiam:GetAccountAuthorizationDetailsです
新しいルール
GCP
  • ComputeEngine-003: インタラクティブシリアルコンソールサポートを無効化: このルールは、すべての本番用Google Compute Engineインスタンスでインタラクティブシリアルコンソールサポートが無効化されていることを保証します。
  • ComputeEngine-004: 仮想マシンインスタンスのIPフォワーディングを無効にする: このルールは、IPフォワーディングが有効になっているインスタンスがルーター/パケットフォワーダーとして機能するため、セキュリティとコンプライアンスの理由からGoogle Compute EngineインスタンスレベルでIPフォワーディング機能を無効にすることを保証します。
  • CloudSQL-008: PostgreSQLデータベースインスタンスのlog_connectionsフラグを有効にする:このルールは、PostgreSQLデータベースインスタンスでlog_connections構成フラグが有効になっていることを確認します。
  • CloudSQL-009: PostgreSQLデータベースインスタンスの「log_disconnections」フラグを有効にする: このルールは、PostgreSQLデータベースインスタンスで「log_disconnections」フラグが有効になっていることを確認します。
  • CloudSQL-010: PostgreSQLデータベースインスタンスに対して"log_checkpoints"フラグを有効にする: このルールは、PostgreSQLデータベースインスタンスで"log_checkpoints"フラグが有効になっていることを確認します。
  • CloudSQL-011: PostgreSQLデータベースインスタンスの「log_lock_waits」フラグを有効にする: このルールは、PostgreSQLデータベースインスタンスで「log_lock_waits」フラグが有効になっていることを確認します。
  • CloudSQL-012: PostgreSQLデータベースインスタンスの「log_temp_files」フラグを有効にする: このルールは、すべてのGoogle Cloud PostgreSQLデータベースインスタンスで「log_temp_files」データベースフラグが0 (有効) に設定されていることを確認します。
  • CloudSQL-013: PostgreSQLデータベースインスタンスの"log_min_error_statement"フラグを設定する: このルールは、PostgreSQLデータベースインスタンスに対して"log_min_error_statement"フラグの適切な設定が行われていることを保証します。
  • CloudSQL-014: MySQLデータベースインスタンスの「local_infile」フラグを無効にする: このルールは、MySQLデータベースインスタンスで「local_infile」フラグが無効になっていることを確認します。
Azure
  • AppService-017: プレーンFTPデプロイメントの無効化: このルールは、Microsoft Azure App ServicesのWebアプリケーションがプレーンFTPでデプロイされないように設定されていることを保証します。代わりに、FTPでのデプロイメントを無効にするか、FTPSで実行することができます。FTPS (セキュアFTP) は、FTPプロトコルに追加のセキュリティ層を加えることでAzure Webアプリケーションのセキュリティを強化し、業界標準や規制に準拠するのに役立ちます。
  • VirtualMachines-036: 仮想ハードディスク暗号化に顧客管理キーを使用する: このルールは、Microsoft Azure仮想ハードディスク (VHD) ボリュームがプラットフォーム管理キー (PMKs - Microsoft Azureがディスク暗号化に使用するデフォルトキー) ではなく、顧客管理キー (CMKs) を使用することを保証し、VHDデータの暗号化と復号化プロセスを完全に管理できるようにします。
  • Network-015 (制限のないUDPアクセスの確認): このルールは、Microsoft AzureのNetwork Securityグループ (NSG) がUDPポートで制限のないインバウンドアクセス (例: 0.0.0.0/0) を許可しないことを保証します。
  • ActivityLog-027 ("Delete Policy Assignment"イベントのアラートを作成): このルールは、"Delete Policy Assignment"イベントを検出するためにAzureアクティビティログアラートが使用されることを保証します。
ルールアップデート
  • RDS-023: Amazon RDSパブリックスナップショット: スロットリングによる古いチェックを防ぐためにこのルールを更新しました。
  • DeleteAccessKey、DeleteServiceSpecificCredential、DeleteSigningCertificate、DeleteLoginProfile、DeletePolicyVersionイベントによってトリガーされた場合、チェックが削除されないように次のルールを更新しました。
  • IAM-004: 不要なアクセスキー
  • IAM-013: コンソールパスワードを持つIAMユーザーのMFA
  • IAM-016: IAMユーザーポリシー
  • IAM-024: パスワードとアクセスキーを持つIAMユーザー
  • IAM-025: 不要なSSH公開鍵
  • IAM-028: 非アクティブなIAMコンソールユーザー
  • IAM-029: 未使用のIAMユーザー
  • IAM-036: 管理者権限を持つAWS IAMユーザー
  • IAM-058: 許可リストに登録されたIAMユーザーのみが存在することを確認してください
  • IAM-070: IAMユーザーグループメンバーシップの確認
  • IAM-071: IAMグループのみを介して権限を受け取る
バグ修正
  • SSM-003:SSM管理インスタンスのチェック: 保留中または実行中でない状態のEC2インスタンスに対してチェックが生成されるバグを修正しました。
  • DBクラスターイベントがトリガーされた際に、以下のルールに対するチェックを生成することを妨げていたバグを修正しました。
  • RDS-007: RDSマルチAZ
  • RDS-035: クラスター削除保護
  • RDS-042: Auroraクラスターのタグをスナップショットにコピーする機能を有効にする