スキャンエンジン 定義:セキュリティ
スキャンエンジン セキュリティ定義は、不正アクセス、データ侵害、サイバー攻撃、および潜在的な脆弱性を防ぐために、 ServiceNow インスタンス全体でのプロトコルの実装を測定します。
オーストラリアの定義
オーストラリアの 2026 リリースには、次のセキュリティ定義が追加されました。
| 番号 | アクティブ | 検出結果のレベル | 一意の ServiceNow 製品 | 簡単な説明 | ビジネスインパクト | 解決手順 | サポートドキュメント |
|---|---|---|---|---|---|---|---|
| sn_SE10023 | 1 | アクション | スクリプトでは eval() 関数を使用しないでください | セキュリティ侵害。 | スクリプトから eval 関数を削除します。 | ドキュメント | |
| sn_SE10024 | 1 | アクション | スクリプトでは eval() 関数を使用しないでください | セキュリティ侵害。 | スクリプトから eval 関数を削除します。 | ドキュメント | |
| sn_SE10045 | 1 | アクション | 高セキュリティプラグインを有効にする必要があります | 多くのセキュリティ構成は意図せずオープンのままになり、重大な脆弱性の一部に門戸を開く可能性があります。 | High Security プラグインをアクティブ化します。 | ドキュメント | |
| sn_SE10046 | 1 | アクション | Contextual Security: Role Management V2 を有効にする必要があります | 重複レコードを削除し、ロールの継承を可視化するのに役立ちます。 | Contextual Security: Role Management V2 プラグインをアクティブ化します。 | ドキュメント | |
| sn_SE10074 | 1 | アクション | スキャンエンジンには、[適用先] テーブルからデータを読み込むアクセス権がありません | SE は、読み取りアクセス権がないと、これらのテーブルで発生する可能性のある検出結果を識別できません。 | [適用先テーブル] レコードを削除するか、スキャンエンジンアプリケーションにテーブルの読み取りアクセス権を付与するか、[制限付きの申請者アクセス] を選択して [テーブルに適用] レコードを変更します。 | ||
| sn_SE10083 | 1 | 提案 | スコープ指定認定:クライアント呼び出し可能スクリプトインクルードに必要な ACL | ユーザーは、権限のないデータにアクセスする可能性があります。データの不正確さが発生する可能性があります。 | クライアント呼び出し可能スクリプトインクルードのタイプで新しい ACL を作成し、[名前] フィールドをスクリプトインクルード名に設定します。適切なロールを ACL に関連付けます。 | ドキュメント | |
| sn_SE10085 | 1 | アクション | セキュリティマネージャーのデフォルトモードは「拒否」に設定する必要があります。 | ユーザーが意図せずにデータにアクセスするのを防ぎます。 | 値を [拒否] に設定します。 | ドキュメント | |
| sn_SE10089 | 1 | 提案 | 条件のない UI ポリシーによって読み取り専用に設定されたフィールド | リストの編集によって、フィールドが意図せずに更新される可能性があります。 | field___UICTRL_0___table_nameの読み取り専用フラグを確認します。field_name___フィールドを編集する基準を満たしているUICTRL_1___t。 | ドキュメント | |
| sn_SE10090 | 1 | 提案 | 条件なしで UI ポリシーによって必須に設定されたフィールド | 必須データが空になり、ビジネスプロセスを続行できない可能性があります。 | フィールドの辞書レコードの必須フラグをオンにして、フィールドを常に必須にします。 | ドキュメント | |
| sn_SE10100 | 1 | 推奨 | UI ページには読み取り ACL が関連付けられている必要があります | 権限のないユーザーが、バックエンドを通じてアクセスできないデータを表示できる可能性があります。 | ACL の名前が UI ページの名前と一致する読み取り操作で読み取り ACL を作成します。UI ページへの読み取りアクセス権を必要とする読み取り ACL に適切なロールを関連付けます。 | ドキュメント | |
| sn_SE10101 | 1 | アクション | デフォルトのアドミンアカウントを無効にする必要があります | 権限のないユーザーがシステムにアクセスできる可能性があり、機密データの侵害やデータの整合性の問題につながる可能性があります。結果として生じるビジネスインパクトは、重大かつ制限のないものになる可能性があります。 | アドミンアカウントを非アクティブ化し、アドミンプロファイルからグループとロールの関連付けを削除します。 | ドキュメント | |
| sn_SE10146 | 1 | アクション | HTML データ入力は、エスケープを使用して検証する必要があります | インジェクション攻撃が発生し、セキュリティリスクが発生する可能性があります。 | glide.ui.escape_html_list_fieldシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10147 | 1 | アクション | Jelly データ入力は、エスケープを使用して検証する必要があります | インジェクション攻撃が発生し、セキュリティリスクが発生する可能性があります。 | glide.ui.escape_all_scriptシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10148 | 1 | アクション | JavaScript データ入力は、エスケープを使用して検証する必要があります | インジェクション攻撃が発生し、セキュリティリスクが発生する可能性があります。 | glide.html.escape_script システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10150 | 1 | アクション | クライアントスクリプトクエリを検証する必要がある | 攻撃者がプラットフォームに対して不正な操作を実行する可能性があります。 | glide.script.use.sandbox システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10151 | 1 | アクション | 埋め込み HTML コードを無効にする必要があります | 攻撃者がセッション情報と機密データを盗むために利用します。 | glide.ui.security.allow_codetagシステムプロパティの値を false に更新するか、このシステムプロパティの値を false で挿入します。 | ドキュメント | |
| sn_SE10152 | 1 | アクション | 埋め込み HTML の JavaScript タグを無効にする必要があります | 攻撃者がセッション情報と機密データを盗むために利用します。 | glide.ui.security.codetag.allow_scriptシステムプロパティの値を false に更新するか、このシステムプロパティの値を false で挿入します。 | ドキュメント | |
| sn_SE10153 | 1 | アクション | AJAXEvaluate API を無効にする必要があります | AJAXEvaluate は、サーバー側のオブジェクトを利用して、クライアントブラウザーで任意の JavaScript を実行できるようにします | glide.script.allow.ajaxevaluate システムプロパティの値を false に更新するか、このシステムプロパティの値を false に挿入します。 | ドキュメント | |
| sn_SE10154 | 1 | アクション | HTMLSanitizer 検証を有効にする必要があります | クライアント側のクロスサイトスクリプティング攻撃。 | glide.html.sanitize_all_fields システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10155 | 1 | アクション | SOAP 要求に対して厳格なセキュリティを有効にする必要があります | 無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスできます。 | glide.soap.strict_security システムプロパティの値を true に更新するか、このシステムプロパティの値を true で挿入します。 | ドキュメント | |
| sn_SE10156 | 1 | アクション | Jelly 補間を有効にする必要があります | JEXL インジェクションは、クロスサイトリクエストフォージェリとコード実行の両方につながる可能性がある | glide.ui.jelly.js_interpolation.protect システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10157 | 1 | アクション | Excel 式のエスケープを有効にする必要があります | 悪意のある式は、閲覧者のコンピューターの侵害に使用される可能性があるため、埋め込みスプレッドシートに機密情報が含まれていない場合であってもリスクをもたらします。 | glide.export.escape_formulasシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10159 | 1 | 提案 | オプション:特定の IP 範囲へのアクセスを制限します | インターネット上のターゲットインスタンスへの露出の不必要なリスク | 特定の IP アドレスのみがインスタンスにアクセスできるようにする必要がある場合は、 IP 範囲ベースの認証 プラグインをアクティブ化します。 | ドキュメント | |
| sn_SE10160 | 1 | アクション | Security Jump Start (ACL ルール) プラグインを有効にする必要があります | アクセス制御を適用して、インスタンスへの意図しないアクセスをロックする必要があります。ACL ジャンプスタートルールは、多くのシステムテーブルを保護するための出発点を提供し、組織が迅速に本番環境に移行できるようにするために作成されました。 | Security Jump Start (ACL ルール) プラグインをアクティブ化します。 | ドキュメント | |
| sn_SE10161 | 1 | アクション | 受信トランザクションは 2 回検証する必要があります | 2 つのゾーン間でトランザクションが発生した場合は、常にアクセス要求をチェックする必要があります。 | glide.security.strict.updates システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10162 | 1 | アクション | UI アクション条件は実行前に検証する必要があります | 2 つのゾーン間でトランザクションが発生した場合は、常にアクセス要求をチェックする必要があります。 | glide.security.strict.actions システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10163 | 1 | アクション | パフォーマンスモニタリング ACL を有効にする必要があります | サーバーの詳細、スレッド、サーバー上で実行されているプロセスなどの機密データは、適切な権限のないエンドユーザーが表示したりアクセスしたりすることはできません。 | glide.security.diag_txns_aclシステムプロパティの値をtrueに更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10165 | 1 | アクション | AJAXGlideRecord ACL チェックを有効にする必要があります | クライアントスクリプトを使用すると、GlideAjax API を介してサーバーから任意のデータをクエリできます。サーバー側のリソースには適切な承認なしでアクセスできるため、ACL を検証しておくと、設定された承認に基づいてアプリケーションが要求を検証するのに役立ちます。 | glide.script.secure.ajaxgliderecord システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10166 | 1 | アクション | SOAP コンテンツタイプのチェックを有効にする必要があります | 受信 SOAP 要求を受け入れる場合は、適切な検証を実行して、関連するコンテンツタイプが要求の一部として定義されていることを確認して、セキュリティリスクと見なされる可能性のある無効な SOAP 応答を制限する必要があります。 | glide.soap.require_content_type_xmlシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10167 | 1 | アクション | SNC アクセスコントロールプラグインを有効にする必要があります | より幅広いユーザーグループに対してインスタンスアクセスが不必要に公開されます。 | カスタマーサポートに連絡して、<ph keyref="var.company-no-reg-tm"/> SNC Access Control プラグインを有効にします。 | ドキュメント | |
| sn_SE10168 | 1 | 提案 | オプション:厳格な IP 制限を有効にする必要があります。 | より幅広いユーザーグループに対してインスタンスアクセスが不必要に公開されます。 | glide.ip.authenticate.strict システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10169 | 1 | アクション | オプション:明示的なロールプラグインを有効にする必要があります | 外部ユーザー (非従業員) は、ロールが割り当てられておらず、内部ユーザー (従業員) のみがアクセスできるように意図または設計された、 ServiceNow 内の多くの機密テーブルにアクセスできます。 | カスタマーサポートに連絡して、<ph keyref="var.company-no-reg-tm"/> Explicit Role プラグインを有効にします。 | ドキュメント | |
| sn_SE10172 | 1 | アクション | ライブプロファイルの詳細に対して ACL を有効にする必要があります | API 要求は常にテーブル ACL を優先する必要があります。無許可のユーザーがライブプロファイルの詳細にアクセスするのを防ぐために、制限を適用する必要があります。 | glide.live_profile.details システムプロパティの値を ACL に更新するか、このシステムプロパティを ACL の値で挿入します。 | ドキュメント | |
| sn_SE10173 | 1 | アクション | クライアントコール可能スクリプトインクルードはプライベートである必要があります | このプロパティを「true」に設定すると、クライアント側スクリプトインクルードの ACL が回避され、意図しない公開機能が発生する可能性があります。クライアントスクリプトが機密情報を提供する場合、これにより潜在的なセキュリティリスクが発生する可能性があります。 | glide.script.ccsi.ispublic システムプロパティの値を false に更新するか、このシステムプロパティの値を false に挿入します。 | ドキュメント | |
| sn_SE10174 | 1 | アクション | SMTP 認証を有効にする必要があります | 認証は、インスタンスとの間でトランザクションが発生する ServiceNow 常に実行する必要があります。SMTP 認証は、ターゲット SMTP サーバーに対して認証することによって、コンテンツを外部メールサーバーに送信する前にこの要件を有効にします。 | glide.smtp.auth システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10175 | 1 | アクション | WSDL 要求認証を有効にする必要があります | WSDL Web サービスで適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密 WSDL コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.wsdl システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10176 | 1 | アクション | CSV 要求認証を有効にする必要があります | 受信 CSV 要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.csvシステムプロパティの値を true に更新するか、このシステムプロパティの値を true で挿入します。 | ドキュメント | |
| sn_SE10177 | 1 | アクション | Excel 要求認証を有効にする必要があります | 受信 Excel 要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.excel システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10178 | 1 | アクション | インポート要求認証を有効にする必要があります | データソースインポート要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.importprocessor システムプロパティの値を true に更新するか、このシステムプロパティの値を true で挿入します。 | ドキュメント | |
| sn_SE10179 | 1 | アクション | PDF 要求認証を有効にする必要があります | 受信 PDF 要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.pdfシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10180 | 1 | アクション | RSS 要求認証を有効にする必要があります | 受信 RSS 要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.rssシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10181 | 1 | アクション | スクリプト要求認証を有効にする必要があります | 高:受信スクリプト要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.scriptedprocessor システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10182 | 1 | アクション | 基本認証:SOAP 要求を有効にする必要があります | データソース SOAP 要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.soap システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10183 | 1 | アクション | 基本認証:JSONv2 要求を有効にする必要があります | データソースの JSON 要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.jsonv2 システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10184 | 1 | アクション | アンロード要求の認証を有効にする必要があります | データソースのアンロード要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.unl システムプロパティの値をtrueに更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10185 | 1 | アクション | XML 要求認証を有効にする必要があります | 受信 XML 要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.xmlシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10186 | 1 | アクション | XSD 要求認証を有効にする必要があります | 受信 XSD 要求で適切な承認が構成されていない場合、無許可のユーザーがターゲットインスタンスの機密コンテンツ/データにアクセスする可能性があります。 | glide.basicauth.required.xsd システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10187 | 1 | 提案 | オプション:SAML 2.0 Web ブラウザ SSO プロファイルプラグインを有効にする必要があります | クロスサイトスクリプティング攻撃に対して脆弱です。 | Integration - Multiple Provider Single Sign-On Installer プラグインをアクティブ化します。 | ドキュメント | |
| sn_SE10188 | 1 | アクション | ようこそページから認証情報を削除する | デフォルトの認証情報が公開される可能性があります。 | ようこそページのデフォルトコンテンツは、デフォルトの認証情報を削除するように変更する必要があります。 | ドキュメント | |
| sn_SE10189 | 1 | アクション | [記憶する] を無効にする必要があります | ログイン時に [記憶する] チェックボックスをオンにすると、追加の Cookie がユーザーのコンピューターに保存され、その後のアクセス時にログインしているユーザーのセッションが自動的に再確立されます。これにより、ユーザーが意図的にログアウトするまでユーザーセッションがアクティブにできるため、セキュリティ上のリスクが生じます。エンドユーザーがマシン/ブラウザーを放置した場合、またはブラウザーが別の攻撃ベクトルによって侵害された場合、このようなシナリオで攻撃される可能性が高くなります。 | glide.ui.forgetme システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10190 | 1 | アクション | パスワードフィールドのオートコンプリートを無効にする必要があります | ユーザー認証フィールドを検証する必要があり、クライアント側のキャッシュを絶対に許可しないでください。 | glide.login.autocomplete システムプロパティの値を false に更新するか、このシステムプロパティの値を false に挿入します。 | ドキュメント | |
| sn_SE10191 | 1 | アクション | ValidatePasswordStronger を有効にする必要があります | インスタンスで脆弱なパスワードが有効になっていることは、アクセスが容易であり、攻撃者が単純なパスワード推測/総当たり攻撃の技術を使用してインスタンスにアクセスする可能性が非常に高いため、重大なセキュリティリスクです。 | ValidatePasswordStronger インストレーションイグジットをアクティブ化します。 | ドキュメント | |
| sn_SE10192 | 1 | アクション | パスワードを使わない認証を無効にする必要があります | 攻撃者は、デフォルトのユーザー名を使用して、またはパスワードなしで特定の個人/グループ (通常は firstname.lastname) を使用してインスタンスにログインできます。これは、公開ユーザーがインスタンスデータの機密性と完全性を侵害する可能性があるため、重大なセキュリティリスクと見なされます。 | glide.login.no_blank_passwordシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10193 | 1 | 提案 | オプション:多要素認証を有効にする必要があります | 機密データへの不正アクセスのリスクが高まります。 | glide.authenticate.multifactor システムプロパティの値を true に更新するか、このシステムプロパティの値を true で挿入します。 | ドキュメント | |
| sn_SE10194 | 1 | アクション | [MIME タイプのダウンロード] を設定する必要があります | クライアント側のスクリプティング攻撃ベクトルにはさまざまな種類があり、添付ファイルの MIME タイプの悪用も例外ではありません。MIME タイプは攻撃者によって悪用され、添付ファイルの意図しないスクリプトコンテンツを被害者側にレンダリングして機密情報をキャプチャする可能性があります。現在のコンテキストでは、プロパティには、ブラウザでインラインレンダリングしてはならない添付 MIME タイプのカンマ区切りリストを入力する必要があります。例:text/html | glide.ui.attachment.download_mime_typesシステムプロパティの値を信頼できるファイルタイプ (text/csv、text/html、image/svg、image/svg+xml、application/xml、application/xhtml+xml など) に更新するか、信頼できるファイルタイプの値を使用してこのシステムプロパティを挿入します。 | ドキュメント | |
| sn_SE10195 | 1 | アクション | 添付ファイルの強制ダウンロードを有効にする必要があります | クライアント側のスクリプティング攻撃を減らすには、添付ファイルをブラウザーコンテキストでレンダリングするのではなく、強制的にダウンロードする必要があります。 | glide.ui.attachment.force_download_all_mime_typesシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10197 | 1 | アクション | ダウンロード可能なファイルタイプを設定する必要があります | ファイルのダウンロード制限は、信頼できないユーザー入力ソースに適用する必要があります。 | glide.ui.strict_customer_uploaded_content_typesシステムプロパティの値を信頼できるファイルタイプに更新するか、信頼できるファイルタイプの値を使用してこのシステムプロパティを挿入します。 | ドキュメント | |
| sn_SE10198 | 1 | アクション | ファイル拡張子を制限する必要があります | MIME タイプの検証はこのプロパティに依存するため、悪意のあるファイルのアップロードに関連する脆弱性を軽減することをお勧めします。 | glide.attachment.extensions システムプロパティの値を信頼できるファイル拡張子に更新するか、信頼できるファイル拡張子の値を使用してこのシステムプロパティを挿入します。 | ドキュメント | |
| sn_SE10199 | 1 | アクション | MIME タイプのアップロードを検証する必要があります | ファイルの包含や悪意のあるファイルのアップロードなどの脆弱性を減らすには、MIME タイプの検証に従う必要があります。 | glide.security.file.mime_type.validation システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10200 | 1 | アクション | 添付ファイルへの非認証アクセスを制限する必要がある | 一部の添付ファイルに機密情報が含まれている可能性があるため、非認証ユーザーには制限を適用する必要があります。 | glide.image_provider.security_enabled システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10201 | 1 | アクション | HTTP セッション識別子はローテーションにする必要があります | SessionID は、ブラウザーでセッションステータスを維持することによって、インスタンスユーザーを処理および認証するために使用されます。したがって、SessionID は機密データと見なされ、デフォルトで安全である必要があります。セッションローテーションは、ユーザーが非認証ページから認証ページへ移動するたびに sessionID の変更を適用するセキュリティコントロールです。 | glide.ui.rotate_sessionsシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10202 | 1 | アクション | セキュアセッションの Cookie を有効にする必要があります | セッション Cookie は機密データであり、適切にフォーマットする必要があります。要求を処理する前に、セッション cookie を厳密に検証することを常にお勧めします。 | glide.ui.secure_cookies システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10203 | 1 | アクション | セッションアクティビティのタイムアウトを有効にする必要があります | 無期限にアクティブであるユーザーセッションはセキュリティリスクです。時間ベースの構成で期限切れにする必要があります。 | glide.ui.session_timeoutシステムプロパティの値を 60 に更新するか、このシステムプロパティの値を 60 に挿入します。 | ドキュメント | |
| sn_SE10204 | 1 | アクション | Cookie の [HTTP のみ] を有効にする必要があります | アプリケーションのセッション Cookie はエンドユーザーを認証し、アプリケーションに対する暗黙的なアクセス権限を提供するため、エンドユーザーが盗まれたりエクスポートされたりしないように保護する必要があります。HTTP Only フラグは、JavaScript インジェクションやクロスサイトスクリプティングの脆弱性によってセッション Cookie が盗まれるのを防ぎます。 | glide.cookies.http_onlyシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10205 | 1 | アクション | Anti-CSRF トークンを有効にする必要があります | クロスサイト要求偽造は、インスタンスデータの完全性を侵害する重大なセキュリティリスクです。攻撃者は、インスタンスユーザーに対するアプリケーションの信頼を悪用することで、任意のインスタンスユーザーに CSRF 攻撃を開始することができます。ソーシャルエンジニアリング攻撃を利用して、ユーザーがインスタンスで攻撃者の代わりに誤った要求を送信する可能性があります。 | glide.security.use_csrf_tokenシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10206 | 1 | 提案 | オプション:CSRF 厳格検証を有効にする必要があります | クロスサイト要求偽造は、インスタンスデータの完全性を侵害する重大なセキュリティリスクです。攻撃者は、インスタンスユーザーに対するアプリケーションの信頼を悪用することで、任意のインスタンスユーザーに CSRF 攻撃を開始することができます。ソーシャルエンジニアリング攻撃を利用して、ユーザーがインスタンスで攻撃者の代わりに誤った要求を送信する可能性があります。 | glide.security.csrf.strict.validation.mode システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10207 | 1 | アクション | 証明書の信頼を無効にする必要があります | 機密性と整合性の理由から、アプリケーションは、トランザクション操作に証明書を使用する前に、証明書の CA を検証する必要があります。 | com.glide.communications.trustmanager_trust_allシステムプロパティの値を false に更新するか、このシステムプロパティの値を false に挿入します。 | ドキュメント | |
| sn_SE10208 | 1 | アクション | SSLv2/SSLv3 を無効にする必要があります | BEAST、SSL ハートブリードなどの多くのクライアント側攻撃により、SSL のレガシーバージョンは、HTTP セキュアシェルの実装に利用すると安全ではないことが証明されました。 | glide.outbound.sslv3.disabled システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10209 | 1 | アクション | 相対リンクを強制する必要がある | 絶対 URL は、パラメーターまたはフィールド値の一部として使用され、ソースページが攻撃者が制御する Web サイトにリダイレクトされると、セキュリティリスクを引き起こす可能性があります。 | glide.cms.catalog_uri_relativeシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10210 | 1 | アクション | X-Frame-Options: SAMEORIGIN を有効にする必要があります | 「同一生成元ポリシー」を使用すると、ドメインが別のドメインからスクリプトまたはリソースを取得できないようにすることができます。最新のブラウザーはすべてこの機能をサポートしています。ポリシーは、プロトコル、ポート、およびホストに基づいて接続を検証します。CORS (Cross Origin Request) は、「同一生成元ポリシー」をわずかに変更したもので、ヘッダー値の一部として明示的に指定されている場合に、別のドメインのリソース/スクリプトへのアクセスを許可します。現在のケースでは、X-Frame-Options ヘッダーは、 ServiceNow アプリケーションをサードパーティの Web サイトでレンダリングできるかどうかを制御するため、機密性の高い露出を減らすために、プロパティ値を "SAMEORIGIN" に設定するとレンダリングは行われません。 | glide.set_x_frame_optionsシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10211 | 1 | アクション | 失敗したログイン試行の管理を設定する必要があります | ログ記録と監査戦略を適用して、不審なアクティビティを適切なタイミングで特定して対処できるようにする必要があります。 | SNC ユーザー関連のスクリプトアクションをアクティブ化します。 | ドキュメント | |
| sn_SE10212 | 1 | アクション | SQL エラーメッセージのレンダリングを無効にする必要があります | 攻撃者に役立つ可能性のある Web ページのエラーメッセージの一部として機密の SQL 情報を表示することはできません。 | glide.db.loguser システムプロパティの値を更新してfalseするか、このシステムプロパティを削除してください。 | ドキュメント | |
| sn_SE10213 | 1 | アクション | モバイル UI 難読化を有効にする必要があります | 侵害された(ジェイルブレイクされた)デバイスは、攻撃者がファイルシステムにフルアクセスできるようにし、機密情報が埋め込まれたファイル/スナップショットにアクセスできるようになります。 | glide.ui.m.blur_ui_when_backgroundedシステムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10214 | 1 | 提案 | ログアウトリダイレクトの URL 許可リスト | クライアント側のオープンリダイレクトにより、攻撃者は被害者/ユーザーを攻撃者が制御する Web サイトにリダイレクトすることができ、セキュリティリスクと見なされます。 | glide.security.url.whitelist システムプロパティの値を更新してホワイトリスト登録された URL を含めるか、ホワイトリスト登録された URL の値を使用してこのシステムプロパティを挿入します。 | ドキュメント | |
| sn_SE10215 | 1 | 提案 | オプション:エンティティ検証を無効にする必要があります | 攻撃者はこれを利用してデータを指数関数的に拡張し、すべてのシステムリソースを短時間で消費することができます。 | glide.stax.allow_entity_resolutionシステムプロパティの値を false に更新するか、このシステムプロパティの値を false に挿入します。 | ドキュメント | |
| sn_SE10216 | 1 | 提案 | メールドメイン制限を構成する必要があります | このプロパティが有効になっていない場合、攻撃者がなりすまし/スパムキャンペーンを使用して多数のメールを送信し、不要なゲストユーザーを増やす可能性があります。 | 信頼できるドメインを含めるように glide.user.trusted_domain システムプロパティの値を更新するか、信頼できるドメインの値を使用してこのシステムプロパティを挿入します。 | ドキュメント | |
| sn_SE10237 | 1 | 推奨 | 関連のない認証情報を削除する必要がある | 未使用の認証情報は、ハッキングの試みでアカウントになりすましするために使用される可能性があります | 認証情報を適用するか、未使用のレコードを削除します。 | ドキュメント | |
| sn_SE10248 | 1 | アクション | 要求済みステータスのクロススコープ権限を確認する必要があります | アプリケーションにバグが発生し、データが不正確になったり、ユーザーエクスペリエンスが低下したりする可能性があります。 | クロススコープ特権レコードを確認して、要求された操作を許可するか拒否するかを決定します。 | ドキュメント | |
| sn_SE10266 | 1 | アクション | デフォルトのパスワードを「password」に設定しないでください | 攻撃者がシステムにアクセスするという不要なセキュリティリスク。 | glide.user.default_passwordプロパティの値を更新して、小文字、大文字、数字、および特殊文字を含むより複雑なパスワードになるようにします。 | ドキュメント | |
| sn_SE10277 | 1 | アクション | 厳格なユーザー画像アップロードを強制する | このプロパティが false に設定されている場合、ACL は [写真] フィールドへの画像アップロードに適用されず、無許可のユーザーが別のユーザーのプロファイルに画像をアップロードする可能性があります。 | 「glide.security.strict.user_image_upload」システムプロパティを true に設定します。 | ドキュメント | |
| sn_SE10278 | 1 | アクション | ターゲットテーブルが空のメールへのアクセスを制限する | ユーザーが意図しないメールを表示する可能性があります。 | 「glide.email.email_with_no_target_visible_to_all」システムプロパティを false に設定します。 | ドキュメント | |
| sn_SE10279 | 1 | 提案 | エンティティ拡張しきい値は 3000 に設定する必要があります。 | 攻撃者はこれを利用してデータを指数関数的に拡張し、すべてのシステムリソースを短時間で消費することができます。 | glide.xmlutil.max_entity_expansion system_propertyの最小値は 3000 である必要があります。 | ドキュメント | |
| sn_SE10280 | 1 | アクション | スパムメールのスコアリングとフィルタリングプラグインを有効にする必要があります | メールフィルターを使用すると、アドミニストレーターは条件ビルダーまたは条件スクリプトを使用して、メールを特定のメールボックスに移動するか無視するかを指定できます。これは、既知/不明の送信者から悪意のあるメールを受信する場合に特に役立ちます。 | スパムメールスコアリングおよびフィルタリング (com.___PARM_0___) プラグインを有効にします。 | ドキュメント | |
| sn_SE10281 | 1 | アクション | XML 外部エンティティ処理:ホワイトリストを構成する必要があります | 攻撃者は DTD を使用して、サーバーが実行する可能性のある任意の HTTP 要求を含めることができます。 | XML エンティティ処理によってアクセスできる URL のリストに値を設定します。これは、必要に応じて、カンマ区切りの FQDN のリストへのアクセスを許可するために使用されます。XML エンティティ処理を介して到達できるのはこれらの URL のみです。注:エンティティSYSTEM IDは「http:」または「https:」で始まる必要があります。そうしないと、自動的にブロックされます。許可リストが有効な場合は、外部エンティティ定義の PUBLIC フォームが必要です。 | ドキュメント | |
| sn_SE10282 | 1 | アクション | エンティティの拡張を無効にする必要があります | 攻撃者はこれを利用してデータを指数関数的に拡張し、すべてのシステムリソースをすばやく消費して Billion Laugh 攻撃を引き起こす可能性があります。 | プロパティ「glide.xml.entity.whitelist」が「http://java.sun.com/j2ee/dtds/」に設定され、プロパティ「glide.xml.entity.whitelist.enabled」が「true」に設定されていることを確認します。 | ドキュメント | |
| sn_SE10284 | 1 | アクション | Openframe 作成元検証を有効にする必要があります | 適切なオリジン検証がないと、任意の Web ページまたはスクリプトがイベントハンドラーを制御する可能性があります。 | 値を true に設定すると、作成元のチェックが有効になります。このプロパティを true に設定すると、許可リストに登録されているドメインを glide.ui.concourse.onmessage_enforce_same_origin_whitelist システムプロパティに追加する必要があります。 | ドキュメント | |
| sn_SE10285 | 1 | 提案 | ユーザーセッションの有効期限が切れるまでの上限を設定する | 無期限にアクティブであるユーザーセッションはセキュリティリスクです。時間ベースの構成で期限切れにする必要があります。 | glide.ui.user_cookie.max_life_span_in_days システムプロパティを 30 に設定します。 | ドキュメント | |
| sn_SE10287 | 1 | アクション | デフォルトのキャッシュ制御値は [プライベート] に設定する必要があります | CDN/プロキシを備えたインスタンスは、静的コンテンツをキャッシュし、認証なしでレンダリングできます。 | glide.http.cache_controlシステムプロパティをプライベートに設定します。 | ドキュメント | |
| sn_SE10295 | 1 | 推奨 | 通常、レポートは公開すべきではありません | 認証されていないユーザーには分類されたデータが表示される場合があります。 | レポートを任意のユーザーがアクセスできるようにするのではなく、ロール、ユーザー、またはグループを通じて共有します。ログインしているユーザーのみがレポートを使用できるようにするには、[共有] 設定を [全員] に設定しますが、公開はしないでください。リストレポートは常にテーブルレベルセキュリティ (ACL) を適用するため、この定義から除外されます。 | ドキュメント | |
| sn_SE10314 | 1 | 推奨 | ドメインセパレーション:クロスドメインの可視化を持つユーザー | ユーザーは別のドメインのデータに公開される可能性があります。 | 「ヴィジビリティドメイン」を使用する代わりに、より堅牢な制御のために「包含ドメイン」を使用することをお勧めします。 | ドキュメント | |
| sn_SE10432 | 1 | 推奨 | ポータルページは通常、公開すべきではありません | 認証されていないユーザーには分類されたデータが表示される場合があります。 | [公開] フィールドを [ false ] に設定し、アクセスが必要な対象者のみに制限されるようにします。 | ドキュメント | |
| sn_SE10433 | 1 | 提案 | 公開 UI ページの確認 | 認証されていないユーザーには分類されたデータが表示される場合があります。 | [アクティブ] フィールドを false に設定し、アクセスが必要な対象者のみに制限されるようにします。 | ドキュメント | |
| sn_SE10434 | 1 | 推奨 | HR ライフサイクルイベント:[アサイン担当者] フィールドの変更 | これらの HR ロールの [アサイン可能者] フィールドを変更すると、経験の浅いユーザーや悪意のあるユーザーが分類された HR データにアクセスできる可能性があるため、セキュリティリスクが生じる可能性があります。 | これらの HR ロールが sn_hr_le.admin または sn_hr_le.activity_set_manager ロールでのみ「アサイン可能」であることを確認してください。これらのレコードをベースラインに戻すと、これらの検出結果が解決されます。 | ドキュメント | |
| sn_SE10435 | 1 | 推奨 | HR コア:[アサイン担当者] フィールドの変更 | [アサイン担当者] フィールドを変更すると、経験の浅いユーザーや悪意のあるユーザーが機密の HR データにアクセスできる可能性があるため、セキュリティリスクが生じる可能性があります。 | これらのレコードの [アサイン担当者] フィールドが、このプラグインのアクティブ化時に指定されているとおりに設定されていることを確認します。これらのレコードをベースラインに戻すと、これらの検出結果が解決されます。 | ドキュメント | |
| sn_SE10436 | 1 | アクション | 変更レコードの開始予定日と終了予定日は、ACL で保護する必要があります | これらのフィールドを保護する ACL がない場合、ユーザーはリストビューからこれらのフィールドと終了予定日フィールドを更新できます。変更された日付は、異なるユーザー間で混乱を招く可能性があります。 | UI ポリシーではなく ACL を作成して、[開始予定日] フィールドと [終了予定日] フィールドを保護します。 | ドキュメント | |
| sn_SE10437 | 1 | アクション | モバイルデバイスはコピー/貼り付けを制限する必要があります | 侵害された (ジェイルブレイクされた) デバイスは、攻撃者がクリップボードにフルアクセスできるようになり、クリップボードに埋め込まれた機密情報にアクセスできるようになります。 | プロパティ「glide.sg.clear_pasteboard_when_backgrounded」を true に設定します。 | ドキュメント | |
| sn_SE10438 | 1 | 推奨 | ユーザーロックアウト期間のデフォルト値は 1440 分である必要があります | このプロパティを短い値に設定すると、ハッカーが短時間で攻撃を再開できる可能性があります。 | プロパティ「password_reset.request.max_attempt_window の値を設定します」から 1440 (分単位)。 | ドキュメント | |
| sn_SE10439 | 1 | アクション | オプション:ユーザーの自動作成を有効にする必要があります | 組織外のユーザーがインシデントレコードを作成できます。 | プロパティ「glide.pop3readerjob.create_caller」を false に設定します。falseすると、インスタンスはゲストユーザーを代理して、既存のユーザーと一致しないユーザーからの受信アクションを実行します。既存のユーザーレコードを確認して、同一のメールアドレスを含むものを照合します。メールアドレスを照合する前にプラグインをアクティブ化すると、インスタンスでは同一のメールアドレスを持つユーザーを区別できないため、一致するメールアドレスを持つユーザーのうち 1 つをランダムに選択します。 | ドキュメント | |
| sn_SE10440 | 1 | アクション | 自己登録ページで Google re-CAPTCHA を有効にする必要があります | 自己登録ページを介したスパムが増加しました。 | プロパティ「sn_ext_usr_reg.captchaEnabled」を true に設定します。 | ドキュメント | |
| sn_SE10441 | 1 | アクション | ウイルス対策保護スキャンを有効にする必要があります | 添付ファイルからのウイルス感染の脅威が高まっています。 | プロパティ「com.___PARM_0___」を true に設定します。 | ドキュメント | |
| sn_SE10442 | 1 | アクション | システムプロパティ「glide.pop3.process_locked_out」は有効にしないでください | ロックアウトされたユーザーや信頼できないユーザーに、パスワードをリセットしてインスタンスにメールを送信することを許可します | プロパティ「glide.pop3.process_locked_out」を false に設定します。 | ドキュメント | |
| sn_SE10443 | 1 | アクション | 失敗したパスワードリセットの試行回数の増加 | このプロパティを大きな値に設定すると、ハッカーによるログイン試行が複数回行われる可能性があります。 | プロパティ「password_reset.request.max_attempt の値を設定します」を 3 回のパスワード試行に設定します。 | ドキュメント | |
| sn_SE10444 | 1 | 推奨 | admin ロールがアサインされた統合アカウント | 管理アクセス権を持つ統合アカウントは、潜在的なセキュリティ上の脅威となります。 | 統合アカウントユーザーに admin ロールが割り当てられていないことを確認します。別のアプローチは、必要な実際のテーブルとレコードへのアクセスを許可することです。インポートセットを処理するには、インポートアドミンで十分です。admin ロールを使用してスケジュール済みジョブを実装しないように注意する必要があります。 | ドキュメント | |
| sn_SE10446 | 1 | 推奨 | ロールに対する PA ブレークダウンのヴィジビリティ | ユーザーは、自分に関係のないデータを表示する可能性があります。 | [全てのロールに公開] の選択を解除し、ブレークダウンにアクセスするために必要な特定のロールを選択します。 | ドキュメント | |
| sn_SE10447 | 1 | アクション | IT システムアドミニストレーターロールからキャンペーンアドミンロールを削除 | IT システムアドミニストレーターは機密性の高い HR データを表示できます。 | アドミンユーザーとして、 sys_user_role_contains テーブルに移動し、「アドミン」ロールレコードを選択します。[ロールを含む] 関連リストから、 sn_ca.campaign_admin を削除します。このロールを持つユーザーが少なくとも 2 人既にいることを確認してください。 | ドキュメント | |
| sn_SE10448 | 1 | アクション | IT システムアドミニストレーターロールからコンテンツ配信アドミンロールを削除 | IT システムアドミニストレーターは機密性の高い HR データを表示できます。 | アドミンユーザーとして、 sys_user_role_contains テーブルに移動し、「アドミン」ロールレコードを選択します。[ロールを含む] 関連リストから、 sn_cd.content_admin を削除します。このロールを持つユーザーが少なくとも 2 人既にいることを確認してください。 | ドキュメント | |
| sn_SE10449 | 1 | アクション | IT システムアドミニストレーターロールから従業員ドキュメント管理アドミンロールを削除する | IT システムアドミニストレーターは機密性の高い HR データを表示できます。 | アドミンユーザーとして、 sys_user_role_contains テーブルに移動し、「アドミン」ロールレコードを選択します。[ロールを含む] 関連リストから、 sn_hr_ef.admin を削除します。このロールを持つユーザーが少なくとも 2 人既にいることを確認してください。 | ドキュメント | |
| sn_SE10450 | 1 | 推奨 | モバイルアプリのアプリ PIN を有効にする必要があります | PIN が不要な場合でも、どのユーザーもモバイルアプリケーションにアクセスできます。 | プロパティ「glide.sg.require_mobile_application_pin」を true に設定します。 | ドキュメント | |
| sn_SE10452 | 1 | 推奨 | サービスポータルリソースは、アクセスを制限するロールを定義する必要があります | サービスポータルページおよびウィジェットでロールを使用したアクセス制御が正しく構成されていない場合、データ侵害が発生する可能性があります。 | 公開されていないサービスポータルリソースの場合は、アクセスを制限するように構成されたロールのリストが必要です。アクセス制御を必要としないページとウィジェットのみを公開するか、ロールが定義されていない必要があります。 | ドキュメント | |
| sn_SE10455 | 1 | アクション | レコードプロデューサーには、アクセスを制限するロールを定義する必要があります | レコードプロデューサーは、ロールに関係なく、すべてのユーザーが表示できます。 | システムプロパティ「glide.sc.use_user_criteria」を true に設定するか、レコードプロデューサー内の [アクセシビリティ] タブに移動してロールが定義されていることを確認します。 | ドキュメント | |
| sn_SE10457 | 1 | 提案 | 1 通のメール通知に一覧表示される受信者の最大数は 100 に制限する必要があります | 100 人の受信者制限を超えるユーザーに対応するため、重複したメール通知が作成されます。 | プロパティ「glide.email.smtp.max_recipients」を 100 以下の値に設定します。 | ドキュメント | |
| sn_SE10460 | 1 | 推奨 | HR プロファイルにアルムナイがまだアクティブとしてマークされているユーザー | 退職したユーザーでも、インスタンスにアクセスできる可能性があります。 | 「sn_hr_core.hrsm_alumni を持つユーザーのユーザーアカウントを非アクティブ化しますロールがアサインされました。 | ドキュメント | |
| sn_SE10461 | 1 | 提案 | Web サービスアクセスのみのユーザーには、昇格されたアクセス権を付与しないでください | このようなユーザーに昇格されたアクセス権が提供された場合、潜在的な侵害ポイントとして機能する可能性があります。 | Web サービスアクセスのみのユーザーから昇格されたアクセスロールを削除します。 | ドキュメント | |
| sn_SE10462 | 1 | 提案 | テーブルでのアクセス制御 | アクセス制御がなければ、どのユーザーもアクセスすべきではないテーブルにアクセスできます。 | セキュリティアドミンロールに昇格し、[システムセキュリティ] > [アクセス制御] に移動して、新しい ACL を作成します。 | ドキュメント | |
| sn_SE10463 | 1 | アクション | admin ロールから HR コアアドミンロールと LE アドミンロールを削除 | HR アドミニストレーター [sn_hr_core.admin] および LE アドミニストレーター [sn_hr_le.admin] を持つユーザーのみが、機密情報を含む HR データにアクセスできます。 | システム構成後、admin ロールから HR アドミニストレーターロールを削除して、アドミンが機密性の高い HR 情報を表示できないようにします。これにより、HR アドミニストレーター [sn_hr_core.admin] のみが機密情報にアクセスできるようになります。 | ドキュメント | |
| sn_SE10466 | 1 | 推奨 | 意図しないクロススコープ権限 | スコープアプリケーションへの不正アクセスの防止 | 各クロススコープ権限を調査し、これがアプリケーションの一部として本当に必要かどうかを特定します。そうでない場合は、特権と回帰テストを削除して、動作が想定どおりであることを確認します。 | ドキュメント | |
| sn_SE10468 | 1 | アクション | 外部ユーザーにsys_auditテーブルへのアクセス権を与えることはできません。 | 外部ユーザーは、システム監査テーブルにアクセスして、機密データの可能性を表示できます。 | 通常、システムテーブルは、すべての内部ユーザーと外部ユーザーがアクセスする必要はなく、必要なグループに制限することができます。 | ドキュメント | |
| sn_SE10469 | 1 | アクション | 「HR ロールのアサイン」ビジネスルールを非アクティブ化または削除しないでください | BR は、雇用タイプと開始/終了日に基づいて、HR ポータルへのアクセスを自動的に許可または削除することで、セキュリティの問題を防止します。 | ビジネスルール「HR ロールのアサイン」を [アクティブ] に設定します。 | /api/now/v1/context_doc_url/CSHelp:client-role-assignment-rules | |
| sn_SE10470 | 1 | 推奨 | HR アドミニストレーターに HR スコープアプリケーションの委任開発者を付与します | 委任開発者を HR コアスコープにアサインすることで、IT システム管理者の HR 機密情報への意図しないアクセスを防止します。 | 委任開発者ロールを HR コアスコープにアサインします。 | ドキュメント | |
| sn_SE10471 | 1 | アクション | 本番環境でのクローン作成から除外されない HR テーブル | 機密情報を含む HR データは、準本番インスタンスにクローンダウンされる可能性があります。 | 本番インスタンスで HR テーブルの除外を作成します。 | ドキュメント | |
| sn_SE10472 | 1 | 推奨 | 脆弱性統合に適切なユーザーアカウントを使用していない | 不適切なユーザーアカウントを使用すると、セキュリティの脆弱性につながる可能性があります。 | 予定されているスクリプトの実行と予定されているデータインポートのために、VR システムアカウントを RunAs ユーザーとして使用します。 | ドキュメント | |
| sn_SE10473 | 1 | アクション | 高権限のロールを持つユーザーの数 | 高い権限のロールを持つユーザーが 10 人を超えると、セキュリティ漏洩の可能性が高くなります。 | すべての高権限ロールに 10 人を超えるユーザーが割り当てられていないことを確認してください。 | ドキュメント | |
| sn_SE10474 | 1 | 推奨 | 存在しないロールとレポートが共有されている | 存在しないロールとレポートが共有されると、予期しない動作が発生する可能性があります。 | レポートを編集して無効なロールを削除し、有効なロールを持つレポートを共有します。 | ドキュメント | |
| sn_SE10475 | 1 | 提案 | デフォルトの代わりにアクションを実行するには、専用の統合ユーザーを使用します | WS-Security が有効になっている場合、内部統合を含むすべての SOAP 要求に対して認証が必要です。MID サーバーまたは ODBC ドライバーのユーザーアカウントユーザーが内部統合ユーザーとして設定されていない場合、通信要求がブロックされることがあります。 | MID サーバーまたは ODBC ドライバーのユーザーアカウントの [ internal_integration_user ] フィールドを確認します。 | ドキュメント | |
| sn_SE10476 | 1 | アクション | すべての外部ユーザーのシステム監査テーブルアクセス | ユーザーがシステムテーブルに不必要なアクセス権を持っている可能性があります。 | 通常、システムテーブルは、すべての内部ユーザーと外部ユーザーがアクセスする必要はなく、必要なグループに制限することができます。 | ドキュメント | |
| sn_SE10478 | 1 | アクション | admin ロールからセキュリティインシデント admin ロールを削除 | セキュリティインシデントアドミンロールを持つユーザーのみが、機密情報を含むセキュリティインシデントデータにアクセスできる必要があります。 | システム構成後、アドミンが機密性の高いセキュリティインシデント情報を表示できないように、アドミンロールからセキュリティインシデントアドミンロールを削除します。これにより、セキュリティインシデントアドミニストレーター [sn_si.admin] のみが機密情報にアクセスできるようになります。 | ドキュメント | |
| sn_SE10479 | 1 | アクション | RCA を使用して HR Core を保護 | 機密情報にアクセスするために、サーバー側のクエリが HR データまたはテーブルに対して実行される場合があります。 | ヒューマンリソース (HR) Core アプリケーション (ID:com.sn_hr_core) を使用する場合は、制限付き発信者アクセス (ID:com.___PARM_0___) プラグインを利用することをお勧めします。 | ドキュメント | |
| sn_SE10480 | 1 | 提案 | ベースライン CISO ロールには書き込みアクセス権があります | セキュリティインシデントレコードへの書き込みアクセスを必要としないシニアリーダーユーザーは、そのようなレコードを編集できます。 | シニアリーダーユーザーが実際にセキュリティインシデントレコードを編集/書き込みする機能を必要としているかどうかについて話し合います。経営幹部がセキュリティインシデントレコードに対する書き込み/編集権限を必要としない場合は、「sn_si.basic」ロールを「sn_si.ciso」から切り離すことを検討してください。 | ドキュメント | |
| sn_SE10483 | 1 | アクション | セキュリティインシデントアサイン先グループにタイプ属性がありません | これらのグループのユーザーには、セキュリティインシデントをアサインできません。 | 現在ロール「sn_si.analyst」がアサインされているグループには、タイプ属性が「セキュリティインシデント」として定義されている必要があります。 | ドキュメント | |
| sn_SE10491 | 1 | 推奨 | セキュリティインシデントレスポンスへの API 呼び出しでは、「sn_si.integration_user」ロールを持つアカウントを使用する必要があります | 不適切なユーザーアカウントを使用すると、セキュリティの脆弱性につながる可能性があります。 | 「sn_si.integration_user を追加することを検討してくださいAPI を介してセキュリティインシデント [sn_si_incident] テーブルにアクセスする各ユーザーアカウントに」ロールを追加します。 | /api/now/v1/context_doc_url/CSHelp:components-installed-sir | |
| sn_SE10492 | 1 | 推奨 | レポート ACL の有効化 | レポートビュー ACL を無効のままにすると、ユーザーはアクセスすべきではないレポートデータにアクセスできる可能性があります。 | レポートビュー ACL では、レポートビュー ACL によって保護されているレポートを表示できるユーザーを制御できます。 | ドキュメント | |
| sn_SE10493 | 1 | 推奨 | 複数の暗号化キーが存在します | 古いキーは削除される可能性があり、レコード情報は暗号化され、復号化することはできません。 | 新しいキーをローテーションして暗号化し、古いキーを持つ古いレコードが存在しないようにします。 | ドキュメント | |
| sn_SE10494 | 1 | 推奨 | ナレッジベースと記事は公開されています | すべてのユーザーがナレッジベースと記事にアクセスできます | ナレッジベースと記事のユーザー基準を必ず定義してください。 | ドキュメント | |
| sn_SE10522 | 1 | 推奨 | セキュリティが有効になっていないスクリプト化された REST リソース | API を公開すると、インスタンス内のデータを更新するためのパブリックアクセスが許可されるため、お勧めしません。 | 認証を要求するには、[ 認証が必要] チェックボックスをオンにし、[ ACL 認証が必要] チェックボックスをオンにします。最後に、ACL レコードを選択します。親 API からのデフォルト ACL を適用するには、[ACL] フィールドを空白のままにします。少なくとも 1 つの一致する ACL レコードが見つかった場合、アクセスが許可されます。 | ドキュメント | |
| sn_SE10523 | 1 | 推奨 | IP 範囲ベースの認証を有効にする | 権限のないユーザーがインスタンスにアクセスできる可能性があります。 |
|
ドキュメント | |
| sn_SE10534 | 1 | アクション | トラッキング対象設定ファイルによって、パスワード、API トークン、および秘密鍵が公開されている可能性があります | itil ロールを持つユーザーは、パスワード、API トークン、および秘密鍵への未承認のアクセス権を持つことができます。 | cmdb_ci_config_file_trackedテーブルに移動し、安全な情報が存在することを確認して、追跡対象の構成ファイルを確認します。ACL を介してこのテーブルへのアクセスを制御するか、アプリケーションを再実装してパスワードボールトアプリケーションを使用して、安全な認証情報がクリアテキストで保存されないようにしてください。 | ドキュメント | |
| sn_SE10541 | 1 | アクション | ロール、スクリプト、および条件なしで定義された ACL | ロール、セキュリティ属性、スクリプト、および条件が空の場合のデフォルトの動作は、非認証アクセスを許可するため、データが公開される可能性があります。 | ACL を確認し、適切なロール、セキュリティ属性、条件、またはスクリプトを追加します。ACL をそのままにしておく必要がある場合は、少なくとも認証されたユーザーのみがデータにアクセスできるように ACL スクリプトに次を追加します: answer = gs.getSession().isLoggedIn;。 | ドキュメント | |
| sn_SE10585 | 1 | 推奨 | ナレッジベースユーザー基準の構成ミスの可能性 | ユーザーが、意図しない認証されていない KB 記事へのアクセスを受ける可能性があります。 | システムプロパティ glide.knowman.block_access_with_no_user_criteria を作成し、値を true に設定します。 | ドキュメント | |
| sn_SE10594 | 1 | 推奨 | 非認証ユーザーの非公開ナレッジベースへのアクセスをブロックする | 機密情報または PII 情報が失われる可能性 | glide.knowman.block_access_with_no_user_criteria システムプロパティの値を true に更新するか、このシステムプロパティの値を true に挿入します。 | ドキュメント | |
| sn_SE10639 | 1 | 推奨 | KB の [寄稿可能] リスト内にカプセル化されたユーザーは、すべての KB を読み取ることができます | ユーザーが、意図しない認証されていない KB 記事へのアクセスを受ける可能性があります。 | システムプロパティ glide.knowman.apply_article_read_criteria を作成し、値を true に設定します。 | ドキュメント | |
| sn_SE10640 | 1 | 推奨 | 「ドラフトステータス」の KB 記事を表示できるロールのリストを定義します | ユーザーが、意図しない認証されていない KB 記事へのアクセスを受ける可能性があります。 | システムプロパティ glide.knowman.section.view_roles.draft を作成し、値を admin、knowledge_admin に設定します。 | ドキュメント | |
| sn_SE10641 | 1 | 推奨 | 定義されたロール内のすべてのユーザーは、カスタム状況で存在する記事を表示できます。 | ユーザーが、意図しない認証されていない KB 記事へのアクセスを受ける可能性があります。 | システムプロパティ glide.knowman.section.view_roles.stagesAndRoles を作成し、値を admin、knowledge_admin に設定します。 | ドキュメント | |
| sn_SE10642 | 1 | 推奨 | 未公開記事を表示 | ユーザーは、まだ公開されていない KB 記事を表示できます。 | システムプロパティ glide.knowman.show_unpublished を作成し、値を false に設定します。 | ドキュメント | |
| sn_SE10643 | 1 | アクション | ACL はユーザー認証をチェックし、システムプロパティを参照してアクセスを許可または拒否します。 | 非認証アクセスを許可すると、組織がデータ侵害、規制非準拠、およびセキュリティリスクにさらされる可能性があります。 | 非認証アクセスを防ぐために、 glide.security.allow_unauth_roleless_acl システムプロパティが false に設定されていることを確認します。 | ドキュメント | |
| sn_SE10644 | 1 | 推奨 | 「レビュー」ステータスの KB 記事を表示できるロールのリストを定義します | ユーザーが、意図しない認証されていない KB 記事へのアクセスを受ける可能性があります。 | システムプロパティ glide.knowman.section.view_roles.review を作成し、値として admin,knowledge_admin,knowledge,itil に設定します。 | ドキュメント | |
| sn_SE10645 | 1 | 推奨 | デフォルトで非認証アクセスを防止する非アクティブな OOB ビジネスルール | ユーザーが、意図しない認証されていない KB 記事へのアクセスを受ける可能性があります。 | ビジネスルールの検索 ゲストユーザーを SysID 6c8ec5147711111016f35c207b5a9969 のナレッジベースに制限し、アクティブフィールドを true に設定します。 | ドキュメント |