| SOAP 要求に認証を必須とする (Security Center 1.3、1.5、および 2.0 で更新) |
- 新しい修正:Glide プロパティ glide.basicauth.required.soap が存在し、値が true に設定されていることを確認します。または、プロパティ glide.soap.require_ws_security を true に設定し、製品ドキュメントに従って WS セキュリティプロファイルを構成することで、WS セキュリティのインスタンスを構成します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.basicauth.required.soap 値が true に設定されていることを確認します。または、プロパティ glide.soap.require_ws_security を true に設定し、製品ドキュメントに従って WS セキュリティプロファイルを構成することで、WS セキュリティのインスタンスを構成します。
|
| ネットワークエラーに OCSP チェックを強制する (Security Center 1.3 の新機能、2.0 で更新) |
- 新しい修正:プロパティ com.glide.communications.httpclient.ocsp_allow_network_error が存在し、false に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ com.glide.communications.httpclient.ocsp_allow_network_error が false に設定されていることを確認します。
|
| 外部コンテンツ URL を無効にする (Security Center 2.0 で更新) |
- 新しい修正:Glide プロパティ glide.ui.url.external.content が存在し、値が false に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.ui.url.external.content が false に設定されていることを確認します。
- 新しい CVSS スコア:7.2
- 以前の CVSS スコア:8.1
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| XML 外部エンティティを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
- 新しい修正:Glide プロパティ glide.xml.entity.whitelist が存在し「http://java.sun.com/j2ee/dtds/」に設定されていること、および Glide プロパティ glide.xml.entity.whitelist.enabled が存在し、値が true に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.xml.entity.whitelist が「http://java.sun.com/j2ee/dtds/」に設定され、プロパティ glide.xml.entity.whitelist.enabled が true に設定されていることを確認します。
|
| 認証されていない公開レポートを無効にする (Security Center 2.0 で更新) |
- 新しい修正:Glide プロパティ glide.report.published_reports.enabled が存在し、値が false に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.report.published_reports.enabled が false に設定されていることを確認します。
|
| パスワードリセットポリシーチェックを有効にする (Security Center 2.0 で更新) |
- 新しい修正:Glide プロパティ glide.enable.password_policy が存在し、値が true に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.enable.password_policy が true に設定されていることを確認します。
|
| GlideXMLUtil スクリプト可能項目のエンティティ拡張しきい値を最小化する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい修正:プロパティ glide.xmlutil.max_entity_expansion が 3000 以下に設定されていることを確認します。インスタンスが Washington 以降にある場合、sys_propertiesレコードが存在しない場合、デフォルトの暗黙的な値は 3000 です。インスタンスが Washington 以降にない場合、インスタンスアドミンは、名前が glide.xmlutil.max_entity_expansion 、値が 3000 のsys_propertiesレコードを作成することをお勧めします。
- 以前の修正:プロパティの glide.xmlutil.max_entity_expansion が 3000 以下に設定されていることを確認します。
|
| 発信 SSLv2/SSLv3 接続を無効化する (Security Center 1.3 で更新) |
- 新しい修正:Glide プロパティ glide.outbound.sslv3.disabled が存在し、値が true に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.outbound.sslv3.disabled が true に設定されていることを確認します。
重要: glide.outbound.sslv3.disabledプロパティの値は安全な上書きであり、一度変更すると変更できません。
|
| GlideRecord スコープフェンシングの従来の動作を無効にする (セキュリティセンター 1.3 の新機能、1.5 および 2.0 で更新) |
- 新しい簡単な説明:GlideRecord スコープフェンシングの従来の動作を無効にする
- 以前の簡単な説明:GlideRecord スコープフェンシングの従来の動作を有効にする
|
| アップロードされる MIME タイプを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
- 新しい修正:プロパティ glide.security.file.mime_type.validation が存在し、true に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.security.file.mime_type.validation が true に設定されていることを確認します。
|
| 入れ子になった式で Jelly JS 補間保護を有効にする (Security Center 2.0 で更新) |
- 新しい修正:Glide プロパティ glide.ui.jelly.js_interpolation.protect_nested_expressions が存在し、値が true に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.ui.jelly.js_interpolation.protect_nested_expressions が true に設定されていることを確認します。
|
| LDAP 認証で SSL を有効にする (Security Center 1.5 および 2.0 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| UserCookie バージョン 3.1 を有効にする (Security Center 2.0 で更新) |
- 新しい説明:UserCookie v3 は、property glide.ui.secure.cookies.use_kmf is disabled の場合にのみ生成されます。UserCookie v3 は、HMAC の秘密鍵をソースコードに保存し、すべての顧客に対して同一であるため、安全ではありません。これにより、悪意のあるアクターがこの1つの秘密鍵を使用してユーザーセッションを乗っ取ることができます。プロパティ glide.ui.secure.cookies.use_kmf を true に設定すると、UserCookie v3.1 が使用され、秘密鍵が KMF などのセキュリティストレージに保存されます。
- 以前の説明:UserCookie v3 は、プロパティ glide.ui.secure.cookies.use_kmf が無効になっている場合にのみ生成されます。UserCookie v3 は、HMAC の秘密鍵をソースコードに保存し、すべての顧客に対して同一であるため、安全ではありません。これにより、悪意のあるアクターがこの1つの秘密鍵を使用してユーザーセッションを乗っ取ることができます。
- 新しい修正:プロパティ glide.ui.secure.cookies.use_kmf が存在し、true に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.ui.secure.cookies.use_kmf が true に設定されていることを確認します。つまり、UserCookie v3.1 が使用され、秘密鍵は KMF などのセキュリティストレージに保存されます。
|
| パスワードリセットの OTP 期限を 1 時間に設定 (Security Center 2.0 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| ユーザーの代理操作をログ記録 (Security Center 1.3 および 2.0 で更新) |
- 新しい修正:プロパティ glide.sys.log_impersonation が存在し、true に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:プロパティ glide.sys.log_impersonation が true に設定されていることを確認します。
|
| 必須の JMS 接続ファクトリ (Security Center 1.3 の新機能、1.5 および 2.0 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| ダッシュボードの作成/削除にはアクセスチェックが必要であることを確認する (Security Center 1.3 の新機能、2.0 で更新) |
- 新しい修正:Glide プロパティ glide.processors.check_access_before_process が存在し、値が true に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正: glide.processors.check_access_before_process の値が常に true であることを確認します。
|
| 非アクティブなセッションを積極的に無効化する (Security Center 1.3 の新機能、1.5 および 2.0 で更新) |
- 新しい修正:Glide プロパティ glide.active.session.timeout.invalidate.session が存在し、値が true に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
- 以前の修正:Glide プロパティ glide.active.session.timeout.invalidate.session を true に設定します。
|
| HR ケース管理のエージェントワークスペースにセキュリティスコープを適用する (セキュリティセンター 1.5 の新機能、2.0 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| セキュリティスコープライセンスと許可プレイブックを強制する (Security Center 1.5 の新機能、2.0 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| ダウンロード可能な MIME タイプを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
- 新しい説明: プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されている場合、 glide.ui.attachment.download_mime_types プロパティは上書きされ、ブラウザーによってレンダリングされるのではなく、すべての MIME タイプがダウンロードされます。たとえば、text/html をダウンロードすると、HTML ファイルはブラウザーでインライン表示されるのではなく、ファイルとしてクライアントに強制的にダウンロードされ、XSS 攻撃を防ぐことができます。XSS により、admin などの上位ロールへの特権エスカレーションが容易になり、横方向の移動が可能になる可能性があります。
- 以前の説明:プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されていない場合、 glide.ui.attachment.download_mime_types プロパティは上書きされ、すべての MIME タイプがブラウザによってレンダリングされるのではなくダウンロードされます。たとえば、text/html をダウンロードすると、HTML ファイルはブラウザーでインライン表示されるのではなく、ファイルとしてクライアントに強制的にダウンロードされ、XSS 攻撃を防ぐことができます。XSS 機能により、admin などの上位ロールへの特権エスカレーションが容易になり、横方向の移動が容易になる可能性があります。
- 新しい修正:プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されていることを確認します。sys_propertiesテーブルにプロパティが存在しない場合、デフォルト値は false です。
- 以前の修正:プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されていることを確認します。
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| 制限されたダウンロード可能な MIME タイプを定義する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| 感染したファイルのダウンロードを許可しない (セキュリティセンター 1.5 および 2.0 で更新) |
- 新しい説明:プロパティ com.glide.snap.infected_download_allowed が true に設定されている場合でも、ウイルス対策サービスが停止しているか到達不能の場合でも、ユーザーはスキャンされていない添付ファイルをダウンロードできます。これは、ユーザーが悪意のあるファイルをダウンロードし、ユーザーのデスクトップを感染させるリスクがあることを意味します(デバイスに他のエンドポイント保護がない場合)。
- 以前の説明: com.glide.snap.infected_download_allowed が推奨値のFalseに設定されていない場合、スキャンされていない悪意のあるファイルをダウンロードする可能性があり、ユーザーのデスクトップに感染するリスクがあります。
- 新しい修正:プロパティ com.glide.snap.infected_download_allowed が false に設定されていることを確認します。
- 以前の修正:プロパティ com.glide.snap.infected_download_allowed が False に設定されていることを確認します。
|
| GlideSystemUserSession スクリプト作成可能 API へのアクセスを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
- 新しい説明: gs.addErrorMessageNoSanitizationMessaging() および gs.addInfoMessageNoSanitization() は、スクリプト環境内でログ記録と通知に使用されます。どちらも、このプロパティが推奨値の false に設定されていない場合にサンドボックスで使用できます。サンドボックスは、非認証ユーザーでロールのないユーザーが利用できる、権限の低いスクリプト環境です。これらのメソッドはどちらも、サニタイズされていない入力をユーザーに表示するために使用できます。サニタイズされていない入力には、ユーザーのブラウザで実行される危険なコードが含まれている可能性があるため、サニタイズされていない入力をユーザーに表示することは危険です。これは、従来の反射型XSS攻撃に利用される可能性があります。反射型 XSS 攻撃は、セッションハイジャックを含む複数のシナリオで使用される可能性があります。
- 以前の説明:Glide スクリプトサンドボックス内のメッセージングは、ログ記録目的で使用されます。このサニタイズされていないエラー関数を呼び出すと、プラットフォームは反射型 XSS 攻撃にさらされます。XSS攻撃は、誰かのセッションCookieを盗むことで、簡単に権限昇格を可能にする可能性があります。glide.sandbox.usersession.allow_unsanitized_messagesが推奨値の false に設定されていない場合、サニタイズされていないエラーメッセージ関数 addErrorMessageNoSainitization および addInfoMessageNoSainitization をスクリプトで使用できます。
|
| サービス組織の作業指示管理クエリルールを有効にする (Security Center 1.5 の新機能、2.0 で更新) |
- 新しい説明:true に設定すると、sn_query_ruleテーブルのルール/フィルターを使用して、クエリビジネスルールと読み取り ACL を介して、ログインしたユーザーに対するフィールドサービス管理 (FSM) 関連テーブル (作業指示書および作業指示タスク) への読み取りアクセス権が決定されます。false に設定されている場合、レコードはクエリルールに基づいてフィルタリングされません。クエリービジネスルールは、セキュリティ検証を追加します。具体的には、このプロパティは、アサインされたテリトリーまたはテリトリーメンバーシップに基づいて、エージェント、認定者、およびディスパッチャーのレコードをフィルタリングします。レコードを読み取るときは、最小特権の原則に従うことがベストプラクティスです。このプロパティが true に設定されていない場合、フィールドサービス管理 (FSM) テーブルからデータが漏洩するリスクが高まる可能性があります。
- 以前の説明:true に設定すると、sn_query_ruleテーブルのルール/フィルターを使用して、クエリビジネスルールと読み取り ACL を介して、ログインしたユーザーに対するフィールドサービス管理 (FSM) 関連テーブル (作業指示書および作業指示タスク) への読み取りアクセス権が決定されます。false に設定されている場合、レコードはクエリルールに基づいてフィルタリングされません。クエリービジネスルールは、セキュリティ検証を追加します。具体的には、このプロパティは、アサインされたテリトリーまたはテリトリーメンバーシップに基づいて、エージェント、認定者、およびディスパッチャーのレコードをフィルタリングします。レコードを読み取るときは、最小特権の原則に従うことがベストプラクティスです。
|
| 外部ユーザー登録用の電子メールドメインを制限する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい説明: sn_ext_usr_reg.allowed_email_domains プロパティは、ServiceNow インスタンスへの自己登録が許可されるメールアドレスを定義します。形式は、example@domain2.com などのメールが受け入れられる domain1.com,domain2.com などの受け入れ可能なメールドメインのカンマ区切りリストにする必要があります。受け入れ可能なドメインのリストで sn_ext_usr_reg.allowed_email_domains が設定されていない場合、メールアドレスを持つユーザーはインスタンスにアカウントを登録できます。定義されていない場合、悪意のある攻撃者が、インスタンスへの認証されたアクセスを取得するために、望ましくないドメインのメールアドレスを使用して登録を実行する可能性があります。
- 以前の説明: sn_ext_usr_reg.allowed_email_domains プロパティは、ServiceNow インスタンスへの自己登録が許可されるメールアドレスを定義します。受け入れ可能なドメインのリストで sn_ext_usr_reg.allowed_email_domains が設定されていない場合、メールアドレスを持つユーザーはインスタンスにアカウントを登録できます。定義されていない場合、悪意のある攻撃者が、インスタンスへの認証されたアクセスを取得するために、望ましくないドメインのメールアドレスを使用して登録を実行する可能性があります。
|
| ドット連結フィールドにドメインセパレーションを適用する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい説明:このプロパティは、ドット連結フィールドにドメインセパレーション機能を確実に適用するために、結合クエリにドメインセパレーション条件を指定するかどうかを制御します。ドメインセパレーションを使用しているインスタンスで glide.sys.domain.include_domain_condition_on_join が推奨値である true に設定されていない場合、特定のドメインと共有されない機密情報が公開される可能性があります。コンポーネントが安全でないクロスドメインクエリに依存している場合、インスタンスへの機能への影響は中程度になる可能性があります。インスタンスは、有効にする前に準本番環境でテストする必要があります。
- 以前の説明:このプロパティは、ドット連結フィールドにドメインセパレーション機能を確実に適用するために、結合クエリにドメインセパレーション条件を指定するかどうかを制御します。ドメインセパレーションを使用しているインスタンスで glide.sys.domain.include_domain_condition_on_join が推奨値である true に設定されていない場合、特定のドメインと共有されない機密情報が公開される可能性があります。
|
| URL 許可リストのチェックを強制する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい修正:プロパティ glide.security.url.whitelist.strict_check が true に設定されているか、プロパティ glide.security.url.whitelist が値に設定されていることを確認します。
- 以前の修正:プロパティ glide.security.url.whitelist.strict_check が「true」に設定され、プロパティ glide.security.url.whitelist が値に設定されていることを確認します。
|
| SOAP 要求のゲストユーザーを設定する (Security Center 1.3 および 2.0 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| バックグラウンドスクリプトへのアクセスを制限する (Security Center 1.3 および 2.0 で更新) |
- 新しい説明:このプロパティは、[スクリプトバックグラウンド] モジュールにアクセスするために必要なロールを保持します。glide.script_processor.admin が推奨値とデフォルト値の admin に設定されていない場合、低い特権ロールを持つユーザーはインスタンスでバックグラウンドスクリプトを実行できます。これにより、ACL システムが完全にバイパスされ、テーブルへのフルアクセスが可能になります。
- 以前の説明:このプロパティは、[スクリプトバックグラウンド] モジュールにアクセスするために必要なロールを保持します。glide.script_processor.adminが推奨値の admin、security_admin、または maint に設定されていない場合、低い特権ロールを持つユーザーはインスタンスでバックグラウンドスクリプトを実行できます。これにより、ACL システムが完全にバイパスされ、テーブルへのフルアクセスが可能になります。
- 新しい修正:プロパティ glide.script_processor.admin がアドミンに設定されていることを確認します。これはインスタンスのデフォルト値です。
- 以前の修正:プロパティ glide.script_processor.admin が admin、security_admin、または maint ロールに設定されていることを確認します。
|
| 証明書チェーンとホスト名の検証 (Security Center 1.3 の新機能、2.0 で更新) |
- 新しい説明:Glide プロパティ com.glide.communications.httpclient.verify_hostname が安全な値 true に設定されていない場合、ServiceNow インスタンスから開始された TLS 接続中にリモートホストによって提示されたホスト名と証明書チェーンは検証されません。これにより、TLS 接続のセキュリティが侵害され、2 者間の通信が傍受される中間者攻撃が可能になります。これにより、機密データが開示される可能性があります。
- 以前の説明: com.glide.communications.httpclient.verify_hostname が true に設定されていない場合、2 者間の通信が傍受される中間者攻撃が可能になります。このプロパティを安全でない値に設定すると、失効ステータスの確認によって証明書チェーン内のすべての証明書を評価する証明書検証プロセスが無効になります。http クライアントが潜在的に有害なホスト名に接続しないようにするには、このプロパティを true に設定します。
|
| 無効なパスワードリセット試行に対するロックアウト時間を制御する (Security Center 1.3 および 2.0 で更新) |
- 新しい簡単な説明: Control Lockout Time for Invalid Password Reset Attempts
- 以前の簡単な説明: Minimize Reset Password Request Max Attempts Window Duration
- 新しい説明: password_reset.request.max_attempt_window プロパティは、 password_reset.request.max_attempt propertyで設定された最大試行失敗回数を超えた場合に、ユーザーがパスワードのリセットまたは変更のために待機しなければならない分数を定義します。password_reset.request.max_attempt_windowプロパティの時間が短いと、パスワードリセットの試行回数が増えるため、パスワードの総当たり攻撃に成功するリスクが高まります。デフォルトの 1440 分をお勧めします。
- 以前の説明: password_reset.request.max_attempt_window が推奨値の 1440 以下に設定されていない場合、誤った認証試行の最大回数に達してもアカウントがロックされないため、アカウントの総当たり攻撃を実行できる可能性があります。
- 新しい修正:プロパティ password_reset.request.max_attempt_window が 1440 以上に設定されていることを確認します。
- 以前の修正:プロパティ password_reset.request.max_attempt_window が 1440 以下に設定されていることを確認します。
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| GlideRecord スコープフェンシングの従来の動作を無効にする (セキュリティセンター 1.3 の新機能、1.5 および 2.0 で更新) |
- 新しい簡単な説明: Disable GlideRecord Scope Fencing Legacy Behavior
- 以前の簡単な説明: Enable GlideRecord Scope Fencing Legacy Behavior
- 新しい修正:Glide プロパティ glide.record.legacy_cross_scope_access_policy_in_script を false に設定します。sys_propertiesテーブルに存在しない場合、デフォルト値は true です。
- 以前の修正:Glide プロパティ glide.record.legacy_cross_scope_access_policy_in_script を false に設定します。
|
| 無効なパスワードリセットの試行回数を制限する (セキュリティセンター 1.3 で更新、2.0 で更新) |
- 新しい簡単な説明: Limit Invalid Password Reset Attempts
- 以前の簡単な説明: Minimize Reset Password Request Max Attempt Allowance
|