コンプライアンス・ポリシー
事前定義されたコンプライアンス・ポリシーや独自のカスタム・コンプライアンス・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
ASoC 事前定義されたコンプライアンス・ポリシーの選択を含みます。また、当社が事前定義した関数を使用して、独自のカスタム・コンプライアンス・ポリシーを作成することもできます。コンプライアンス・ポリシーの作成と管理は、ユーザー・インターフェースおよび REST API を使用して行うことができます。最大 5 つのポリシーを任意のアプリケーションに関連付けることができます。さらに、指定した日時以降に検出された問題のみを考慮するベースライン・ポリシーを適用できます。
注: コンプライアンス・ポリシーをアプリケーションに関連付けると、デフォルトで有効になります。関連付けを維持する際にコンプライアンス・ポリシーを無効にして、後で再び有効にできます。
注: コンプライアンス・ポリシーを削除すると、すべての関連付けが削除されます。
注: コンプライアンス・ポリシーが有効になっていない場合、重大度が「重大」、「高」、「中」、「低」のアクティブな問題がない場合にのみ、アプリケーションは準拠していると見なされます。コンプライアンス・ポリシーを関連付けて有効にすると、このデフォルトのコンプライアンスを上書きできます。
事前定義コンプライアンス・ポリシー
事前定義されたすべてのコンプライアンス・ポリシーは、ユーザー・インターフェースおよび API で使用可能です。使用可能なポリシーは次のとおりです。
| 業界標準 | コンプライアンス |
|---|---|
| CWE 最も危険なソフトウェア脆弱性 Top 25 2021 | [カナダ] 情報の自由とプライバシー保護法 (FIPPA) |
| CWE 最も危険なソフトウェア脆弱性 Top 25 2024 | EU Digital Operational Resilience Act (DORA) |
| 国際標準化機構規格 - ISO 27001 | EU 一般データ保護規則 (GDPR) |
| 国際標準化機構規格 - ISO 27002 | ネットワークおよび情報セキュリティー指令 (NIS2) |
| NIST 特別文書 800-53 | 決済アプリケーションのデータ・セキュリティー標準 |
| OWASP API セキュリティー Top 10 2019 | 南アフリカ個人情報保護法 (PoPIA) |
| OWASP API セキュリティー Top 10 2023 | クレジット・カード業界データ・セキュリティー基準 (PCI DSS) - V4 |
| OWASP Application Security Verification Standard V4.0.3 | 米国カリフォルニア州消費者プライバシー法 (CCPA) - AB-375 |
| OWASP Cloud-Native Application Security Top 10 | [米国] DISA の Application Security and Development STIGV6R3 |
| OWASP トップ 10 2017 | [米国] 電子資金決済法 (EFTA) |
| OWASP トップ 10 2021 | 米国連邦情報セキュリティー近代化法 (FISMA) |
| OWASP トップ 10 モバイル 2016 | 米国連邦リスクおよび認可管理プログラム (FedRAMP) |
| WASC 脅威の分類 v2.0 | 米国医療保険の携行性と責任に関する法律 (HIPAA) |
| 米国サーベンス・オクスリー法 (SOX) |
ベースライン・コンプライアンス・ポリシー
ベースライン・コンプライアンス・ポリシーは、設定された日付後に初めてアプリケーションで検出された問題に基づいてコンプライアンスを計算します。事前定義されたコンプライアンス・ポリシーとは異なり、ベースライン・コンプライアンス・ポリシーは単一のアプリケーションに固有です。
ベースライン・コンプライアンス・ポリシーは、アプリケーションに関連付け可能な 5 つのポリシーの 1 つとしてカウントされません。関連付けられた 5 つのポリシーと、1 つのベースライン・コンプライアンス・ポリシーを設定できます。
アプリケーションのベースライン・ポリシーを設定するには:
- 一般的な「アプリケーション」ページで、アプリケーション名をクリックして特定のアプリケーションのページを開きます。
- をクリックします。
- 「ベースライン・コンプライアンス・ポリシーの追加」 (または、ベースライン・コンプライアンス・ポリシーが既に存在する場合は「ベースライン・コンプライアンス・ポリシーの更新」) をクリックします。
- 必要に応じて日時を調整し、「ベースラインの設定」をクリックします。
注: 個人スキャンの実行後の日付のベースライン・コンプライアンス・ポリシーが設定されたアプリケーションで個人スキャンをプロモートした場合、スキャンで検出された問題によってアプリケーションのステータスは変更されません。これは、スキャンがプロモートされた時点ではなく、検出された時点から問題がカウントされるためです。
カスタム・コンプライアンス・ポリシー
独自のカスタム・コンプライアンス・ポリシーを作成できます。詳しくは、「カスタム・コンプライアンス・ポリシーの作成」を参照してください。