| SOAP 要求に認証を必須とする (Security Center 1.3、1.5、および 2.0 で更新) |
- 新しい技術構成名:glide.basicauth.required.soap, glide.soap.require_ws_security
- 古い技術構成名:glide.basicauth.required.soap
- 新しい説明:glide プロパティ glide.basicauth.required.soap は、インスタンスへの SOAP 要求を行うためにベーシック認証が必要かどうかを制御します。glide.basicauth.required.soap が推奨値の true に設定されていない場合、SOAP 操作を実行する非認証ユーザーは soap.guest ユーザーにマップされます。これにより、非認証ユーザーが、インスタンスにログインしているユーザーであるかのように、インスタンスに対して操作を実行できます。com.glide.soap.guest_user内のユーザー定義に追加のロールが割り当てられると、追加の影響が生じる可能性があります。
- 以前の説明:glide プロパティ glide.basicauth.required.soap は、インスタンスへの SOAP 要求を行うために認証が必要かどうかを制御します。glide.basicauth.required.soap が推奨値の true に設定されていない場合、インスタンス上の SOAP 要求の認証は無効になります。これにより、管理者または保守レベルの操作への認証されていないアクセスが許可されます。これにより、インスタンス内のセキュリティコントロールが無効になります。
- 新しい修正:プロパティ glide.basicauth.required.soap 値が true に設定されていることを確認します。または、プロパティ glide.soap.require_ws_security を true に設定し、製品ドキュメントに従って WS セキュリティプロファイルを構成することで、WS セキュリティのインスタンスを構成します。
- 以前の修正:プロパティ glide.basicauth.required.soap がsys_propertiesテーブルに存在し、true に設定されていることを確認します。
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| Jelly スクリプトをエスケープ (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい説明:このプロパティは、出力ストリームに書き込まれる前に、含まれるすべての JS および HTML 文字列をエスケープし、いくつかの XSS の問題が発生するのを防ぎます。glide.ui.escape_all_script が推奨値の true に設定されていない場合、Jelly に挿入されたスクリプトのエスケープは無効になります。この軽減策がなければ、プラットフォームはさまざまなスクリプトインジェクション攻撃に対して広くオープンになります。攻撃者はインスタンス上で任意の Rhino スクリプトを実行する可能性があります。
- 以前の説明:次のプロパティは、<j:jelly に含まれるすべての JS 文字列と HTML 文字列をエスケープします>...</j:jelly> を実行して、いくつかの XSS の問題が発生するのを防ぎます。glide.ui.escape_all_script が推奨値の「true」に設定されていない場合、Jelly に挿入されたスクリプトのエスケープは無効になります。この軽減策がなければ、プラットフォームはさまざまなスクリプトインジェクション攻撃に対して広くオープンになります。攻撃者はインスタンス上で任意の Rhino スクリプトを実行する可能性があります。
|
| CSRF 検証をバイパスする警告をユーザーが受け入れるのを防ぐ (Security Center 1.3 および 1.5 で更新) |
- 新しい簡単な説明:CSRF 検証をバイパスする警告をユーザーが受け入れるのを防ぐ
- 以前の簡単な説明:CSRF トークンの厳密な検証を強制する
- 新しい説明:このプロパティは、悪意のある可能性がある要求をインスタンスに送信する警告をユーザーが受け入れることを防止します。この警告は、被害者の他のアクティブセッションの 1 つに属する Anti-CSRF トークンの一致が間違っているために POST 要求が失敗した場合に表示されます。glide.security.csrf.strict.validation.mode が推奨値の true に設定されていない場合、攻撃者は、被害者に属する別のアクティブセッションから漏洩した CSRF 対策トークンを利用して CSRF 攻撃を仕組むことができます。インスタンスへの POST 要求には、ユーザーの現在のセッションと一致する sysparm_ck または X-UserToken 内に CSRF 対策トークンが含まれています。CSRF 対策トークンがユーザーの他のアクティブ セッションの 1 つに関連付けられている場合、このプロパティが false に設定されている場合、POST 要求は security_interceptor.do への 302 リダイレクトを返し、ユーザーが使用できる [続行] ボタンを使用します。このボタンをクリックすると、有効な CSRF 対策トークンが含まれる場合を除き、要求がインスタンスに再送信されます。このプロパティを true に設定すると、security_interceptor.do ページへの 302 リダイレクトに [続行] ボタンが表示されず、ユーザーは要求を再送信できません。CSRF 攻撃が成功すると、攻撃者は被害者が実行できるすべての操作を効果的に実行できます。
- 以前の説明:このプロパティは、CSRF トークンの再利用を防止する CSRF トークンの厳格な検証を有効にします。glide.security.csrf.strict.validation.mode が推奨値の true に設定されていない場合、CSRF トークンが再利用され、CSRF 攻撃の扉が開かれる可能性があります。
- 新しい CVSS スコア:3.7
- 以前の CVSS スコア:3.1
|
| イベント管理 HTTP プロセッサで認証を必須とする (Security Center 1.3 の新機能、1.5 で更新、2.0 で削除) |
- 新しい簡単な説明:イベント管理 HTTP プロセッサで認証を必須とする
- 以前の簡単な説明:イベント管理 HTTP プロセッサで認証を必須とする
|
| Anti-CSRF トークンを有効にする (Security Center 1.3 の新機能、1.5 で更新、2.0 で削除) |
- 新しい説明: Cross-Site Request Forgery (CSRF) は、認証されたユーザーに、現在認証されている Web アプリケーションに要求を送信するように強制する攻撃です。CSRF 攻撃は、認証されたユーザーに対する Web アプリケーションの信頼を悪用します。このプロパティを使用すると、セキュアトークンを使用して受信要求を識別して検証できます。このトークンはクロスサイトリクエストフォージェリ攻撃を防ぐために使用されます。glide.security.use_csrf_token が推奨値の true に設定されていない場合は、CSRF が可能です。
- 以前の説明:Cross-Site Request Forgery (CSRF) は、認証されたユーザーに、現在認証されている Web アプリケーションに要求を送信するように強制する攻撃です。CSRF 攻撃は、認証されたユーザーに対する Web アプリケーションの信頼を悪用します。このプロパティを使用すると、セキュアトークンを使用して受信要求を識別して検証できます。このトークンはクロスサイトリクエストフォージェリ攻撃を防ぐために使用されます。推奨値の true に設定されていない場合 glide.security.use_csrf_token CSRF が可能です。
|
| 仮想エージェント内で HTML サニタイザーを有効にする (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい簡単な説明: 仮想エージェント内で HTML サニタイザーを有効にする
- 以前の簡単な説明:HTML サニタイザーを有効にする
- 新しい説明:このプロパティは、HtmlSanitizerService が有効かどうかを制御します。com.glide.cs.html.sanitizer.enabled が true に設定されていない場合、VA Web クライアントで保存されたクロスサイトスクリプティング (XSS) 攻撃が発生する可能性があります。
- 以前の説明: このプロパティは、HTMLSanitezerService が有効かどうかを制御します。com.glide.cs.html.sanitizer.enabled が true に設定されていない場合、VA Web クライアントで保存されたクロスサイトスクリプティング (XSS) 攻撃が発生する可能性があります。
|
| 明示的な外部ロールに対して内部アクセスを拒否する (Security Center 1.3 および 1.5 で更新) |
|
| WSDL 要求に認証を必須とする (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい説明: glide.basicauth.required.wsdl が推奨値の true に設定されていない場合、WSDL 要求のベーシック認証が無効になります。WSDL は、インスタンステーブルスキーマなどの Web サービスを記述するために使用されるプロトコルであり、テーブル内のデータを共有するためのメカニズムではありません。このプロパティを true に設定すると、非認証ユーザーにテーブルスキーマを公開できます。
- 以前の説明: glide.basicauth.required.wsdl が推奨値の true に設定されていない場合、WSDL 要求のベーシック認証が無効になります。これにより、認証されていないユーザーへの情報が漏洩する可能性があります。
- 新しい CVSS スコア:5.3
- 以前の CVSS スコア:4.3
|
| URL 許可リストのチェックを強制する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| 制限されたダウンロード可能な MIME タイプを定義する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい簡単な説明:制限されたダウンロード可能な MIME タイプを定義する
- 以前の簡単な説明:ダウンロード可能な MIME タイプを制限する
- 新しい説明:text/html、image/svg、image/svg+xml、application/xml などの危険なアイテムが glide.ui.attachment.download_mime_types に含まれている場合、危険なファイルがブラウザーでインラインでレンダリングされ、クロスシットスクリプト攻撃 (XSS) につながる可能性があります。このプロパティは、ブラウザにインライン表示しない添付 MIME タイプのカンマ区切りリストです。たとえば、text/html を含めると、HTML ファイルはブラウザにインラインで表示されるのではなく、添付ファイルとしてクライアントに強制的にダウンロードされます。このリストを適切に管理することで、クロスサイトスクリプティング攻撃を防ぐことができます。
- 以前の説明: glide.ui.attachment.download_mime_types に text/html、image/svg、image/svg+xml、application/xml などの危険なアイテムが含まれている場合、危険なファイルはブラウザーでインラインでレンダリングされ、クロスシットスクリプティング攻撃 (XSS) につながる可能性があります。このプロパティは、ブラウザにインライン表示しない添付 MIME タイプのカンマ区切りリストです。たとえば、text/html を含めると、html ファイルはブラウザでインライン表示されず、添付ファイルとしてクライアントに強制的にダウンロードされます。このリストを適切に管理することで、クロスサイトスクリプティング攻撃を防ぐことができます。
|
| リストビューでの HTML をエスケープ (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい説明:このプロパティは、HTML フィールドのリストビューの表示をサニタイズするのに役立ちます。glide.ui.escape_html_list_fieldが推奨値の true に設定されていない場合、悪意のあるユーザーがフォームフィールド内に HTML コードを挿入して、さまざまなクライアント/ユーザーセッションで不要なスクリプトを実行できます。これは、攻撃者がセッション情報や機密データを盗むために利用される可能性があります。
- 以前の説明:次のプロパティは、HTML フィールドのリストビューの表示をサニタイズするのに役立ちます。glide.ui.escape_html_list_fieldが推奨値の true に設定されていない場合、悪意のあるユーザーがフォームフィールド内に HTML コードを挿入して、さまざまなクライアント/ユーザーセッションで不要なスクリプトを実行できます。これは、攻撃者がセッション情報や機密データを盗むために利用される可能性があります。
|
| 外部ユーザー登録用の電子メールドメインを制限する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい簡単な説明:外部ユーザー登録用の電子メールドメインを制限する
- 以前の簡単な説明:外部ユーザー登録用の電子メールドメインを制限する (プラグインの適用性:外部ユーザー登録)
- 新しい説明: sn_ext_usr_reg.allowed_email_domains プロパティは、ServiceNow インスタンスへの自己登録が許可されるメールアドレスを定義します。受け入れ可能なドメインのリストで sn_ext_usr_reg.allowed_email_domains が設定されていない場合、メールアドレスを持つユーザーはインスタンスにアカウントを登録できます。定義されていない場合、悪意のある攻撃者が、インスタンスへの認証されたアクセスを取得するために、望ましくないドメインのメールアドレスを使用して登録を実行する可能性があります。
- 旧説明: sn_ext_usr_reg.allowed_email_domains 受け入れ可能なドメインのホワイトリストが設定されていない場合、悪意のある攻撃者が不要なドメインのメールアドレスを使用して登録を実行する可能性があります。
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| 外部ユーザー登録向けに Captcha を有効にする (Security Center 1.3 および 1.5 で更新) |
- 新しい簡単な説明:外部ユーザー登録向けに Captcha を有効にする
- 以前の簡単な説明:外部ユーザー登録で Captcha を有効にする (プラグインの適用:外部ユーザー登録)
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| 外部ユーザー登録リンクの有効期限を最小化する (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい簡単な説明:外部ユーザー登録リンクの有効期限を最小化する
- 以前の簡単な説明:外部ユーザー登録リンクの有効期限を最小化する (プラグインの適用性:外部ユーザー登録)
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| 感染したファイルのダウンロードを許可しない (セキュリティセンター 1.5 および 2.0 で更新) |
- 新しい簡単な説明:感染したファイルのダウンロードを許可しない
- 以前の簡単な説明:感染したファイルのダウンロードを許可しない
- 新しい修正: プロパティ com.glide.snap.infected_download_allowed が False に設定されていることを確認します。
- 以前の修正:プロパティ com.glide.snap.infected_download_allowed が True に設定されていることを確認します。
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| AttachmentCreator SOAP Web サービスでファイルの MIME タイプを検証する (Security Center 1.3 の新機能、1.5 で更新) |
- 新しい説明: glide.attachment.enforce_security_validation が推奨値の true に設定されていない場合、添付ファイルの MIME タイプの検証が行われず、間違ったファイル拡張子を使用して危険なファイルがシステムにアップロードされる可能性があります。このプロパティを true に設定すると、ファイルは正しいファイルタイプ拡張子でアップロードされます。少なくともMIMEタイプの検証を使用して、ファイルのアップロードを検証することがセキュリティのベストプラクティスです。
- 以前の説明: glide.attachment.enforce_security_validation が推奨値の True に設定されていない場合、添付ファイルの MIME タイプの検証が行われず、間違ったファイル拡張子を使用して危険なファイルがシステムにアップロードされる可能性があります。このプロパティを true に設定すると、ファイルは正しいファイルタイプ拡張子でアップロードされます。少なくともMIMEタイプの検証を使用して、ファイルのアップロードを検証することがセキュリティのベストプラクティスです。
- 新しい修正:プロパティ glide.attachment.enforce_security_validation が true に設定されていることを確認します。
- 以前の修正:プロパティ glide.attachment.enforce_security_validation が True に設定されていることを確認します。
|
| MultiSSO のデバッグを無効にする (Security Center 1.3 および 1.5 で更新) |
- 新しい簡単な説明:MultiSSO のデバッグを無効にする
- 以前の簡単な説明:MultiSSO のデバッグを無効にする (プラグインの適用性:複数プロバイダーのシングルサインオン)
|
| 許可される ServiceNow 内部 IP アドレスを定義する (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい技術構成名:glide.ip.authenticate.strict
- 古い技術構成名:glide.ip.authenticate.strict,glide.ip.authenticate.allow.secured
- 新しい説明: glide.ip.authenticate.strict が true に設定されている場合、ServiceNow の内部担当者とシステムは、必須 IP 範囲からインスタンスへの受信接続のみを行うことができます。この制限により、ServiceNow は重要な内部インフラストラクチャに対するインスタンスを可視化できなくなり、サポートスタッフや営業スタッフなど、より広範な ServiceNow 担当者が企業ネットワーク経由でアクセスできなくなります。「true」に設定すると、 glide.ip.authenticate.allow プロパティを使用して内部 ServiceNow 受信接続が許可されます。true に設定されていない場合は、 glide.ip.authenticate.allow で定義されているより広範な ServiceNow 内部 IP 範囲を使用して、内部 ServiceNow 受信接続が許可されます。
- 以前の説明: glide.ip.authenticate.strict true に設定されている場合、 glide.ip.authenticate.allow.secured で指定された IP 範囲のみがインスタンスへの受信接続を確立できます。このプロパティには、必須の ServiceNow 内部 IP 範囲 (セキュア VPN、DC) のみのリストが含まれています。glide.ip.authenticate.allow.securedが推奨値または順列「10.0.0.0/8, 37.98.232.0/21, 103. 23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1" または新しい値リスト "10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:0, ::1" は IPv6 localhost を Utah に追加するため、SN データセンターおよびセキュア VPN 以外の信頼できないソースが機密にアクセスする可能性がありますインスタンスでのエンドポイントの監視。
- 新しい修正: プロパティ glide.ip.authenticate.allow.secured に信頼できる値のみが含まれていて、プロパティ glide.ip.authenticate.strict が true に設定されていることを確認します。
- 以前の修正:プロパティ glide.ip.authenticate.allow.secured に「10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:1, ::1」の値のみが含まれ、プロパティ glide.ip.authenticate.strict が true に設定されていることを確認します。
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| XMLDocument2 ストリーミングパーサー内のエンティティ拡張を無効にする (セキュリティセンター 1.5 で更新) |
- 新しい簡単な説明:XMLDocument2 ストリーミングパーサー内のエンティティ拡張を無効にする
- 以前の簡単な説明:エンティティ拡張を無効にする
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| ドット連結フィールドにドメインセパレーションを適用する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい簡単な説明:ドット連結フィールドにドメインセパレーションを適用する
- 以前の簡単な説明:ドット連結フィールドにドメインセパレーションを適用する (プラグインの適用性:ドメインセパレーション)
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| CMDB モデルの権限を制限する (セキュリティセンター 1.3 および 1.5 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| モバイルアプリケーションのバックグラウンド処理中にペーストボードをクリアすることを必須とする (Security Center 1.3 の新機能、1.5 で更新) |
- 新しい説明: glide.sg.clear_pasteboard_when_backgrounded プロパティは、ServiceNow モバイルアプリからコピーされたテキストを、アプリがバックグラウンドモードになった後もクリップボードとペーストボードに保持するかどうかを制御します。推奨値の true に設定されていない場合、機密情報が Android または iOS クリップボードに開示され、デバイス上の他のアプリケーションに公開される可能性があります。
- 以前の説明:このプロパティ glide.sg.clear_pasteboard_when_backgrounded 、ServiceNow モバイルアプリからコピーされたテキストが、アプリにフォーカスがなくなった後もクリップボード/ペーストボードに保持されるかどうかを制御します。推奨値の true に設定されていない場合、機密情報が Android または iOS クリップボードに開示され、デバイス上の他のアプリケーションに公開される可能性があります。
|
| アカウント復旧の有効化 (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい簡単な説明:アカウント復旧の有効化
- 以前の簡単な説明:アカウント復旧の有効化 (プラグインの適用性:複数プロバイダーのシングルサインオン)
|
| SQL エラーメッセージを無効にする (Security Center 1.3 および 1.5 で更新) |
- 新しい説明: glide.db.loguser が推奨値の false に設定されていない場合、機密性の高いサーバー側のエラーメッセージがエンドユーザーに表示される可能性があります。エラーメッセージには、スタックトレースやデータベースの構造に関する情報が含まれており、前提条件が存在する場合、SQL インジェクションを成功させるために必要な知識を攻撃者に提供する可能性があります。多層防御のため、これらのエラーメッセージはエンドユーザーに表示されません。
- 以前の説明: glide.db.loguser が推奨値の false に設定されていない場合、機密性の高いサーバー側のエラーメッセージがエンドユーザーに表示される可能性があります。
|
| 相対リンクを強制する (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい説明: glide.cms.catalog_uri_relative プロパティは、/ess/catalog.do の URI パラメーターからの相対リンクを強制します。glide.cms.catalog_uri_relative が推奨値の true に設定されていない場合、URL は enforceRelativeURL(url) 関数でサニタイズされません。絶対 URL は、パラメーターまたはフィールド値の一部として使用するとセキュリティリスクを引き起こす可能性があり、ソースページが攻撃者が制御する Web サイトにリダイレクトされます。このプロパティは、サービスポータルに置き換えられた従来のコンテンツ管理システム (CMS) に影響します。
- 以前の説明: glide.cms.catalog_uri_relative プロパティは、/ess/catalog.do の URI パラメーターからの相対リンクを強制します。glide.cms.catalog_uri_relative が推奨値の true に設定されていない場合、URL は enforceRelativeURL(url) 関数でサニタイズされません。絶対 URL は、パラメーターまたはフィールド値の一部として使用するとセキュリティリスクを引き起こす可能性があり、ソースページが攻撃者が制御する Web サイトにリダイレクトされます。
|
| GlideXMLUtil スクリプト可能項目のエンティティ拡張しきい値を最小化する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 新しい簡単な説明:GlideXMLUtil スクリプト可能項目のエンティティ拡張しきい値を最小化する
- 以前の簡単な説明:エンティティ拡張しきい値を最小化する
- 新しい説明:このプロパティは、XML パーサー内のエンティティ展開の最大量を制御します。glide.xmlutil.max_entity_expansion が推奨値の 3000 以下に設定されていない場合、GlideXMLUtil 解析スクリプト可能はサービス拒否攻撃に対して脆弱になる可能性があります。
- 以前の説明:このプロパティは、XML パーサー内のエンティティ展開の最大量を制御します。glide.xmlutil.max_entity_expansion が推奨値の 3000 以下に設定されていない場合、XML パーサーはサービス拒否攻撃に対して脆弱になる可能性があります。
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| GlideRecord スコープフェンシングの従来の動作を無効にする (セキュリティセンター 1.3 の新機能、1.5 および 2.0 で更新) |
- 新しい説明:GlideRecord は、そのレベルのアクセス権で構成されていないテーブルへのクロススコープ作成/更新アクセスを提供しました。このスコープ指定のアクセス動作にパッチが適用されたときに、顧客のアプリケーションが壊れないようにするために、プロパティ glide.record.legacy_cross_scope_access_policy_in_script が作成されました。true の場合、クロススコープアクセスは従来の動作にフォールバックします (安全でない)。このプロパティは、スコープフェンシングを無効にし、スコープ対象アプリがグローバルスクリプトインターフェイスにアクセスできるようにします。セキュリティのベストプラクティスは、スコープフェンシングの制限を設けることです。スコーピングにより、アプリケーションは最小特権の原則に従って、明示的なアクセス権を持つリソースまたはスコープ内のリソースにのみアクセスできます。この機能を無効にすると、機密性、可用性、および整合性に影響を与える可能性があります。
- 以前の説明:従来の動作では、作成/更新アクセスが許可されていないテーブルへのアクセス権が提供されていました。このスコープ指定のアクセス動作にパッチを適用したときに、従来の顧客のアプリケーションが壊れないようにするために、プロパティ glide.record.legacy_cross_scope_access_policy_in_script が作成されました。true の場合、クロススコープアクセスは従来の動作にフォールバックします (安全でない)。このプロパティは、スコープフェンシングを無効にし、スコープ対象アプリがグローバルスクリプトインターフェイスにアクセスできるようにします。セキュリティのベストプラクティスは、スコープフェンシングの制限を設けることです。スコーピングにより、アプリケーションは最小特権の原則に従って、明示的なアクセス権を持つリソースまたはスコープ内のリソースにのみアクセスできます。この機能を無効にすると、機密性、可用性、および整合性に影響を与える可能性があります。
|
| MultiSSO プラグインの更新バージョンを有効にする (Security Center 1.3 および 1.5 で更新) |
- 新しい簡単な説明:更新された複数 SSO プラグインのバージョンを有効にする
- 以前の簡単な説明:更新された複数 SSO プラグインのバージョンを有効にする (プラグイン適用:複数プロバイダーのシングルサインオン)
|
| LDAP 認証で SSL を有効にする (Security Center 1.5 および 2.0 で更新) |
検出精度を向上させるためにスクリプトが更新されました。 |
| API 要求でパスワードリセットを強制する (Security Center 1.5 で更新) |
検出精度を向上させるためにスクリプトが更新されました。 |
| ログイン時にパスワードポリシーを適用しない (セキュリティセンター 1.5 で更新、2.0 で削除) |
-
新しい説明:プロパティ glide.apply.password_policy.on_login を False に設定すると、ログイン時にパスワードの複雑さが強制されなくなります。プロパティを True に設定すると、パスワードの複雑さが強制され、組織のポリシーコンプライアンスの問題が発生します。
ASVS 4.03 v2.1.9の推奨事項によると:
許可される文字の種類を制限するパスワード作成ルールがないことを確認します。大文字、小文字、数字、特殊文字を必須とするべきではありません。(C6)
ASVS の推奨事項では、パスワードの複雑さを強制する代わりに、パスワードの長さに最低 12 文字を強制します。
参照: OWASP ASVS v4.0 認証
- 以前の説明:
プロパティ glide.apply.password_policy.on_login を False に設定すると、ログイン時にパスワードの複雑さが強制されません。プロパティを True に設定すると、パスワードの複雑さが強制され、組織のポリシーコンプライアンスの問題が発生します。 ASVS 4.03 v2.1.9の推奨事項によると: 許可される文字の種類を制限するパスワード作成ルールがないことを確認します。大文字、小文字、数字、特殊文字を必須とするべきではありません。(C6) ASVS の推奨事項では、パスワードの複雑さを強制する代わりに、パスワードの長さに最低 12 文字を強制します。 参照: OWASP ASVS v4.0 認証
|
| アクティブな SAML 構成でデモ認証を使用しない (セキュリティセンター 1.5 で更新) |
- 新しい簡単な説明:アクティブな SAML 構成でデモ認証を使用しない
- 以前の簡単な説明:アクティブな SAML 構成でデモ認証を使用しない (プラグイン適用:複数プロバイダーのシングルサインオン)
|
| SAML の「notBefore」または「notOnOrAfter」の制約期間を最小化する (セキュリティセンター 1.3 および 1.5 で更新) |
- 新しい簡単な説明:SAML の「notBefore」または「notOnOrAfter」の制約期間を最小化する
- 以前の簡単な説明:SAML の「notBefore」または「notOnOrAfter」の制約期間を最小化する (プラグイン適用:複数プロバイダーのシングルサインオン)
|
| 期限切れの Anti-CSRF トークンをブロック (セキュリティセンター 1.5 で更新) |
- 新しい簡単な説明:期限切れの Anti-CSRF トークンをブロック
- 以前の簡単な説明:期限切れの CSRF トークンをブロック
|
| カスタマーサービスアプリケーションでのゲストウォークアップエクスペリエンスに Captcha を必須とする (セキュリティセンター 1.3 の新機能、1.5 で更新) |
- 新しい簡単な説明:カスタマーサービスアプリケーションでのゲストウォークアップエクスペリエンスに Captcha を必須とする
- 以前の簡単な説明:カスタマーサービスアプリケーションでのゲストウォークアップエクスペリエンスに Captcha を必須とする (プラグイン適用:カスタマーサービスのゲストウォークアップエクスペリエンス)
|
| HR アプリの ACL 評価で代理操作をチェックする (セキュリティセンター 1.3 の新機能、1.5 で更新) |
- 新しい簡単な説明:HR アプリの ACL 評価で代理操作をチェックする
- 以前の簡単な説明:HR アプリの ACL 評価で代理操作をチェックする (プラグイン適用:ヒューマンリソース (HR) スコープ対象アプリ)
|
| 私用メールからの HR ケースの更新を制限する (セキュリティセンター 1.3 の新機能、1.5 で更新) |
- 新しい簡単な説明:私用メールからの HR ケースの更新を制限する
- 以前の簡単な説明:私用メールからの HR ケースの更新を制限する (プラグイン適用:ヒューマンリソース (HR) スコープ対象アプリ)
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| MID 監査ログを有効化する (セキュリティセンター 1.3 の新機能、1.5 で更新) |
- 新しい簡単な説明: MID 監査ログを有効化する
- 以前の簡単な説明: MID 監査ログを有効化する (プラグイン適用:MID サーバー)
|
| 認証情報エイリアスの使用を強制する (セキュリティセンター 1.3 の新機能、1.5 で更新) |
- 新しい簡単な説明:認証情報エイリアスの使用を強制する
- 以前の簡単な説明:認証情報エイリアスの使用を強制する (プラグイン適用:MID サーバー)
|
| 必須の JMS 接続ファクトリ (Security Center 1.3 の新機能、1.5 および 2.0 で更新) |
- 新しい簡単な説明:必須の JMS Connection Factory
- 以前の簡単な説明:必須の JMS Connection Factory (プラグイン適用:MID サーバー)
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| トレーニングおよび予測フローの添付ファイルサイズの制限 (Security Center 1.3 の新機能、1.5 で更新) |
- 新しい簡単な説明:トレーニングと予測フローの添付ファイルのサイズを制限する
- 以前の簡単な説明:トレーニングと予測フローの添付ファイルのサイズを制限する (プラグイン適用:プラットフォームドキュメントインテリジェンス (DocIntel))
|
| アーカイブテーブル ACL のチェックを確認する (Security Center 1.3 の新機能、1.5 で更新) |
ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| セッション監査イベントのログ記録 (Security Center 1.3 の新機能、1.5 で更新) |
- 新しい説明:Glide プロパティ glide.authenticate.session_access.log_audit_event が true に設定されている場合、セッション監査イベントがsys_session_access_auditテーブルに作成されます。悪意のあるアクターの調査を支援するために、セッションにアクセスしたユーザーに関する情報をログに記録することをお勧めします。ログに記録される情報には、ユーザー、セッション ID (非機密)、IP アドレス、ロール、ポリシーが含まれます。
- 以前の説明:Glide プロパティ glide.authenticate.session_access.log_audit_event が true に設定されている場合、セッション監査イベントがsys_session_access_auditテーブルに作成されます。悪意のあるアクターの調査を支援するために、セッションアクセスに関する一般的な情報をログに記録することをお勧めします。ログに記録される情報には、ユーザー、セッション ID (非機密)、IP アドレス、ロール、ポリシーが含まれます。
|
| Information Request Playbook に対してスコープ付き ACL アクセスを強制する (Security Center 1.3 の新機能、1.5 で更新) |
- 新しい簡単な説明:情報要求プレイブックに対してスコープされた ACL アクセスを強制する
- 以前の簡単な説明:情報要求プレイブックにスコープされた ACL アクセスを強制する
- ルールスクリプト:スクリプトが更新され、検出の精度が向上しました。
|
| 非アクティブなセッションを積極的に無効化する (Security Center 1.3 の新機能、1.5 および 2.0 で更新) |
- 新しい説明:Glide プロパティ glide.active.session.timeout.invalidate.session は、Tomcat コンテナがセッションを無効にする前に、タイムアウトしたセッションを事前に無効にするかどうかを制御します。このプロパティが true に設定されていない場合、タイムアウトしたセッションが無効にならない短い間隔 (キューサイズに応じて 60+ 秒) が生じることがあります。セッションがハイジャックされた場合、攻撃者はこの短い期間にセッションを利用できる可能性があります。
- 以前の説明:Glide プロパティ glide.active.session.timeout.invalidate.session は、タイムアウトセッションが Tomcat コンテナより先に事前に無効化されるかどうかを制御します。このプロパティが true に設定されていない場合、タイムアウトしたセッションが無効にならない短い間隔 (キューサイズに応じて 60+ 秒) が生じることがあります。セッションがハイジャックされた場合、攻撃者はこの短い期間にセッションを利用できる可能性があります。
|
| HTTP 応答の本文サイズを制限する (セキュリティセンター 1.3 の新機能、1.5 で更新) |
- 新しい簡単な説明:HTTP 応答の本文サイズを制限する
- 以前の簡単な説明:応答の本文サイズが原因で、HTTP 応答が OutofMemory 例外をトリガーしないようにしてください
|