プレビューで利用可能
カスタムコンプライアンス基準について 
カスタムコンプライアンス基準を使用すると、ルールにマッピングされるコントロールのリストから独自のコンプライアンス基準を作成できます。
 |
注意純粋なRTMルール (ルールIDがRTMで始まるもの) は、現在カスタムコンプライアンス標準に含まれていません
|
概念と用語
手順
- [Control]: 組織を保護し、その目標に対するリスクを最小限に抑えるために設計された自動または手動のプロセスで、予防的または探知的な手段を通じて行われます。
- [Rule]: AWS、GCP、AzureまたはConformity Rule。
- [Compliance Standard]: ルールに対するコントロールの体系的なマッピング。
- [Original Compliance Standard]: カスタマイズなしで利用可能な既製のコンプライアンス標準。
- [Level]: カスタムコンプライアンス基準は、コントロールを見出しの下に整理します。カスタムコンプライアンス基準には任意の数の見出しを設定できますが、コントロールは最大3レベルまでしか整理できません。
- [Custom Compliance Standard Editing Types]カスタムコンプライアンス標準には、2つの編集タイプのいずれかがあります:
-
[DRAFT]: 標準は進行中の作業、つまり公開される前に編集および更新できます。
-
[PUBLISHED]: 一度公開された標準は編集や更新ができません。
標準を公開せず、最終決定されるまで下書き状態にしておくことをお勧めします。標準をPUBLISHEDに更新する必要がある場合は、別の名前またはバージョンで新しい標準を作成してから編集を開始してください。注意
元のコンプライアンス標準が更新された場合、意図したとおりに機能し続けるように、カスタムコンプライアンス標準も更新する必要があります。古い標準を使い続けるのではなく、同じ名前で異なるバージョンの新しい標準を作成することをお勧めします。 -
APIを使用してカスタムコンプライアンス標準をCreate/Read/Update/Delete(CRUD) する方法は?
カスタムコンプライアンス基準の作成、更新、削除、および取得については、APIリファレンスを参照してください。
カスタムコンプライアンス標準API機能
手順
- [Visibility Toggling]: POSTおよびPUTリクエストを使用して、パラメーター
isEnabledをfalseに設定することで、カスタムコンプライアンス基準をUIに表示しないようにできます。 - [Editing Modes]: 標準が確定するまで
typeフィールドをDRAFTに設定できます。準備が整ったら、PUTリクエストを使用してtypeをPUBLISHEDに設定し、さらに編集できないようにロックします。 - [Versioning]:
versionは、カスタムコンプライアンス基準のバージョンを設定することができます。 - [Level 3 Headings]: 以前は2つの見出しのみサポートされていましたが、最大3つの見出しレベルまで制御を処理できます。
- [External URL]: 各コントロールにリンクとして
externalUrlを使用して、特定のコントロールに関する追加情報を取得できます。 - [Validation]: ユーザ標準を検証し、デバッグを支援するためのエラーメッセージを提供します。
使用中のカスタムコンプライアンス標準の無効化または削除
アクティブなカスタムコンプライアンス標準が既存のレポート構成で使用されている場合、ユーザがカスタムコンプライアンス標準を無効化または削除しようとするとエラーが発生します。
カスタムコンプライアンス標準が使用されなくなった (レポート構成が更新または削除された) 後にのみ、無効化または削除できます。詳細については、APIリファレンスを参照してください。
Conformity UIでアクセスできる機能
APIを介して作成されると、カスタムコンプライアンス標準は通常の標準と同じ機能セットを持ちます。次のことができます:
手順
- [View]: 'Browse All Checks'の下にある
Standards & Frameworksセクションからのカスタムコンプライアンス基準。 - [Filter]: シンプルフィルターまたはCQLのカスタムコンプライアンス基準。
- [Create reports]: カスタムコンプライアンス基準を使用し、PDFまたはCSVとしてダウンロードします。
- [Schedule a report]: カスタムコンプライアンス標準レポートの自動生成。
例 - CIS Amazon Web Services Foundations Benchmark v2.0.0のカスタムコンプライアンス標準の作成
手順
- 以下の画像の注釈に従って、見出し、コントロールID、コントロールタイトルを変換し、必要なルールをコントロールにマッピングして
POST /compliance-standards/customエンドポイントに送信してください。
- リクエストを送信した後、UIからRun Conformity Botを実行してください。
- カスタムコンプライアンス標準のチェックを表示できるようになりました。
カスタムコンプライアンス標準の維持
次のシナリオでは、カスタムコンプライアンス基準を維持および更新する必要があります。
手順
- Conformityによる新しいルールのリリース。
- カスタムコンプライアンス標準を作成するために使用される元のコンプライアンス標準定義の更新。
- [Recommended Resolution]
- 標準を取得するには、
GET /compliance-standards/custom/{id}を使用してください。IDを忘れた場合は、GET /compliance-standards/customを使用してすべてのカスタムコンプライアンス標準のリストを取得し、編集したいものを検索できます。 GET /compliance-standards/custom/{id}の結果を次のいずれかに貼り付けてください:PUT /compliance-standards/custom/{id}標準がDRAFT状態の場合。POST /compliance-standards/custom標準がPUBLISHED状態の場合 (PUTエンドポイントでPUBLISHED標準を編集することはできないため、新しいものを作成する必要があります。)
- 標準を編集し、バージョンを更新し、マッピングを
DRAFTまたはPUBLISHEDにするか選択してください。 - (オプション): ステップ2で
POSTエンドポイントを使用した場合、パラメーターisEnabledをfalseに更新するか、DELETE /compliance-standards/custom/{id}を使用して標準を完全に削除することで、以前の標準を非推奨にすることもできます。
- 標準を取得するには、
カスタムコンプライアンス標準のデバッグ検証エラー
Conformityは、検証エラーが発生した場合にJSON Pointerと問題の詳細を含む応答を送信します。エラーメッセージのデバッグに関する以下のヒントをご覧ください:
-
[Use of Array Indexes]: エラーメッセージは、エラーの正確な位置を指定するために配列インデックスを値として使用します。例えば、
"pointer": "/data/attributes/controls/1/awsRules"の1は配列の2番目の項目を示します。 -
[Use of Consistent Properties]: Control配列は大きくなる可能性があるため、
"aid":のような一貫したプロパティを検索し、カウントで示された検索結果に移動し、配列インデックスを考慮して1を加えます。例えば、以下の画像では、2番目の検索結果に移動し、level1見出しが欠落しており、重複したRuleがある問題が明確に見えます。
ヒント
例のテンプレート
{
"data": {
"name": "My Custom Compliance Standard",
"isEnabled": true,
"version": "v1.0.0",
"type": "DRAFT",
"description": "This is a template custom compliance standard",
"controls": [
{
"aid": "0.0.1",
"title": "This is the title of my first control",
"headings": {
"level1": "Heading 1",
"level2": "Heading 2",
"level3": "Heading 3"
},
"externalUrl": "Insert a URL here to link to more information about this control",
"awsRules": ["S3-001"],
"azureRules": ["StorageAccounts-012"],
"gcpRules": ["ResourceManager-001"]
}
]
}
}