プレビューで利用可能

カスタムコンプライアンス基準について 親トピック

カスタムコンプライアンス基準を使用すると、ルールにマッピングされるコントロールのリストから独自のコンプライアンス基準を作成できます。
注意
注意
純粋なRTMルール (ルールIDがRTMで始まるもの) は、現在カスタムコンプライアンス標準に含まれていません

概念と用語 親トピック

手順

  1. [Control]: 組織を保護し、その目標に対するリスクを最小限に抑えるために設計された自動または手動のプロセスで、予防的または探知的な手段を通じて行われます。
  2. [Rule]: AWS、GCP、AzureまたはConformity Rule。
  3. [Compliance Standard]: ルールに対するコントロールの体系的なマッピング。
  4. [Original Compliance Standard]: カスタマイズなしで利用可能な既製のコンプライアンス標準。
  5. [Level]: カスタムコンプライアンス基準は、コントロールを見出しの下に整理します。カスタムコンプライアンス基準には任意の数の見出しを設定できますが、コントロールは最大3レベルまでしか整理できません。
    level3-request-and-standard=d55a32de-01d8-49c3-a45f-775be5fc5c01.png
  6. [Custom Compliance Standard Editing Types]
    カスタムコンプライアンス標準には、2つの編集タイプのいずれかがあります:
    • [DRAFT]: 標準は進行中の作業、つまり公開される前に編集および更新できます。
    • [PUBLISHED]: 一度公開された標準は編集や更新ができません。
    標準を公開せず、最終決定されるまで下書き状態にしておくことをお勧めします。
    標準をPUBLISHEDに更新する必要がある場合は、別の名前またはバージョンで新しい標準を作成してから編集を開始してください。
    注意
    注意
    元のコンプライアンス標準が更新された場合、意図したとおりに機能し続けるように、カスタムコンプライアンス標準も更新する必要があります。古い標準を使い続けるのではなく、同じ名前で異なるバージョンの新しい標準を作成することをお勧めします。

APIを使用してカスタムコンプライアンス標準をCreate/Read/Update/Delete(CRUD) する方法は? 親トピック

カスタムコンプライアンス基準の作成、更新、削除、および取得については、APIリファレンスを参照してください。

カスタムコンプライアンス標準API機能 親トピック

手順

  1. [Visibility Toggling]: POSTおよびPUTリクエストを使用して、パラメーターisEnabledfalseに設定することで、カスタムコンプライアンス基準をUIに表示しないようにできます。
  2. [Editing Modes]: 標準が確定するまでtypeフィールドをDRAFTに設定できます。準備が整ったら、PUTリクエストを使用してtypePUBLISHEDに設定し、さらに編集できないようにロックします。
  3. [Versioning]: versionは、カスタムコンプライアンス基準のバージョンを設定することができます。
  4. [Level 3 Headings]: 以前は2つの見出しのみサポートされていましたが、最大3つの見出しレベルまで制御を処理できます。
  5. [External URL]: 各コントロールにリンクとしてexternalUrlを使用して、特定のコントロールに関する追加情報を取得できます。
  6. [Validation]: ユーザ標準を検証し、デバッグを支援するためのエラーメッセージを提供します。

使用中のカスタムコンプライアンス標準の無効化または削除 親トピック

アクティブなカスタムコンプライアンス標準が既存のレポート構成で使用されている場合、ユーザがカスタムコンプライアンス標準を無効化または削除しようとするとエラーが発生します。
カスタムコンプライアンス標準が使用されなくなった (レポート構成が更新または削除された) 後にのみ、無効化または削除できます。詳細については、APIリファレンスを参照してください。

Conformity UIでアクセスできる機能 親トピック

APIを介して作成されると、カスタムコンプライアンス標準は通常の標準と同じ機能セットを持ちます。次のことができます:

手順

  1. [View]: 'Browse All Checks'の下にあるStandards & Frameworksセクションからのカスタムコンプライアンス基準。
  2. [Filter]: シンプルフィルターまたはCQLのカスタムコンプライアンス基準。
  3. [Create reports]: カスタムコンプライアンス基準を使用し、PDFまたはCSVとしてダウンロードします。
  4. [Schedule a report]: カスタムコンプライアンス標準レポートの自動生成。

例 - CIS Amazon Web Services Foundations Benchmark v2.0.0のカスタムコンプライアンス標準の作成 親トピック

手順

  1. 以下の画像の注釈に従って、見出し、コントロールID、コントロールタイトルを変換し、必要なルールをコントロールにマッピングしてPOST /compliance-standards/customエンドポイントに送信してください。
    cis-annotated-request=98917f54-e9e6-429e-93d3-55834041e199.png
  2. リクエストを送信した後、UIからRun Conformity Botを実行してください。
  3. カスタムコンプライアンス標準のチェックを表示できるようになりました。
    cis-custom-compliance-standard=642d95ef-01af-41ee-beef-235c3f3ccba0.png

カスタムコンプライアンス標準の維持 親トピック

次のシナリオでは、カスタムコンプライアンス基準を維持および更新する必要があります。

手順

  1. Conformityによる新しいルールのリリース。
  2. カスタムコンプライアンス標準を作成するために使用される元のコンプライアンス標準定義の更新。
  3. [Recommended Resolution]
    1. 標準を取得するには、GET /compliance-standards/custom/{id}を使用してください。IDを忘れた場合は、GET /compliance-standards/customを使用してすべてのカスタムコンプライアンス標準のリストを取得し、編集したいものを検索できます。
    2. GET /compliance-standards/custom/{id} の結果を次のいずれかに貼り付けてください:
      • PUT /compliance-standards/custom/{id} 標準がDRAFT状態の場合。
      • POST /compliance-standards/custom標準がPUBLISHED状態の場合 (PUTエンドポイントでPUBLISHED標準を編集することはできないため、新しいものを作成する必要があります。)
    3. 標準を編集し、バージョンを更新し、マッピングをDRAFTまたはPUBLISHEDにするか選択してください。
    4. (オプション): ステップ2でPOSTエンドポイントを使用した場合、パラメーターisEnabledfalseに更新するか、DELETE /compliance-standards/custom/{id}を使用して標準を完全に削除することで、以前の標準を非推奨にすることもできます。

カスタムコンプライアンス標準のデバッグ検証エラー 親トピック

Conformityは、検証エラーが発生した場合にJSON Pointerと問題の詳細を含む応答を送信します。エラーメッセージのデバッグに関する以下のヒントをご覧ください:
  • [Use of Array Indexes]: エラーメッセージは、エラーの正確な位置を指定するために配列インデックスを値として使用します。例えば、"pointer": "/data/attributes/controls/1/awsRules"1 は配列の2番目の項目を示します。
  • [Use of Consistent Properties]: Control配列は大きくなる可能性があるため、"aid":のような一貫したプロパティを検索し、カウントで示された検索結果に移動し、配列インデックスを考慮して1を加えます。例えば、以下の画像では、2番目の検索結果に移動し、level1見出しが欠落しており、重複したRuleがある問題が明確に見えます。
    ヒント
    ヒント
    validation-debugging-tips-annotated=b600acb9-f8dc-448f-b77c-385a750efe46.png

例のテンプレート 親トピック

{
  "data": {
    "name": "My Custom Compliance Standard",
    "isEnabled": true,
    "version": "v1.0.0",
    "type": "DRAFT",
    "description": "This is a template custom compliance standard",
    "controls": [
      {
        "aid": "0.0.1",
        "title": "This is the title of my first control",
        "headings": {
          "level1": "Heading 1",
          "level2": "Heading 2",
          "level3": "Heading 3"
        },
        "externalUrl": "Insert a URL here to link to more information about this control",
        "awsRules": ["S3-001"],
        "azureRules": ["StorageAccounts-012"],
        "gcpRules": ["ResourceManager-001"]
      }
    ]
  }
}