ポリシー
事前定義されたポリシーや独自のカスタム・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
ASoC には、事前定義されたポリシーの選択が含まれます。また、事前定義された関数を使用して、独自のカスタム・ポリシーを作成することもできます。ポリシーの作成と管理は、ユーザー・インターフェースおよび REST API を使用して行うことができます。最大 5 つのポリシーを任意のアプリケーションに関連付けることができます。さらに、指定した日時以降に検出された問題のみを考慮するベースライン・ポリシーを適用できます。
注: ポリシーをアプリケーションに関連付けると、デフォルトでそのポリシーが有効になります。関連付けを保守する際にポリシーを無効にして、後で再び有効にすることができます。
注: ポリシーを削除すると、すべての関連付けが削除されます。
注: ポリシーが有効になっていない場合は、重大度が「重大」、「高」、「中」、「低」のアクティブな問題がない場合にのみ、アプリケーションは準拠していると見なされます。ポリシーを関連付け、有効にして、このデフォルトのコンプライアンスをオーバーライドできます。
事前定義されたポリシー
事前定義されたすべてのポリシーは、ユーザー・インターフェースおよび API で使用可能です。使用可能なポリシーは次のとおりです。
| 業界標準 | コンプライアンス |
|---|---|
| CWE 最も危険なソフトウェア脆弱性の Top 25 2021 | カナダ情報自由及びプライバシー保護法 (FIPPA) |
| 国際標準化機構規格 - ISO 27001 | EU 一般データ保護規則 (GDPR) |
| 国際標準化機構規格 - ISO 27002 | 決済アプリケーションのデータ・セキュリティー標準 |
| NIST 特別文書 800-53 | PCI コンプライアンス |
| OWASP API セキュリティー Top 10 2019 | 南アフリカ個人情報保護法 (PoPIA) |
| OWASP トップ 10 2017 | 米国カリフォルニア州消費者プライバシー法 (CCPA) - AB-375 |
| OWASP トップ 10 2021 | [米国] DISA の Application Security and Development STIGV5R2 |
| OWASP トップ 10 モバイル 2016 | [米国] 電子資金決済法 (EFTA) |
| WASC 脅威の分類 2.0 | 米国連邦情報セキュリティー近代化法 (FISMA) |
| 米国連邦リスクおよび認可管理プログラム (FedRAMP) | |
| 米国医療保険の携行性と責任に関する法律 (HIPAA) | |
| 米国サーベンス・オクスリー法 (SOX) |
ベースライン・ポリシー
ベースライン・ポリシーは、設定された日付の後に初めてアプリケーションで検出された問題に基づいてコンプライアンスを計算します。事前定義されたポリシーとは異なり、ベースライン・ポリシーは単一のアプリケーションに固有です。
ベースライン・ポリシーは、アプリケーションに関連付け可能な 5 つのポリシーの 1 つとしてカウントされません。関連付けられた 5 つのポリシーと、1 つのベースライン・ポリシーを設定できます。
アプリケーションのベースライン・ポリシーを設定するには:
- 一般的な「アプリケーション」ページで、アプリケーション名をクリックして特定のアプリケーションのページを開きます。
- 「ポリシー」領域で、「ポリシーの管理」をクリックします。
- 「ベースライン・ポリシーの追加」をクリックします (または、ベースライン・ポリシーが既に存在する場合は「ベースライン・ポリシーの更新」をクリックします)。
- 必要に応じて日時を調整し、 「ベースラインの設定」をクリックします。
注: 個人スキャンの実行後にベースライン・ポリシーが設定されたアプリケーションで個人スキャンをプロモートした場合、スキャンで検出された問題によってアプリケーションのステータスは変更されません。これは、スキャンがプロモートされた時点ではなく、検出された時点から問題がカウントされるためです。
カスタム・ポリシー
独自のカスタム・ポリシーを作成できます。詳しくは、カスタム・ポリシーの作成を参照してください。