インスタンスでアクティブ化されたアプリのうち、利用可能な更新バージョンがあるアプリを識別します。

潜在的なセキュリティ問題の修正を含む、最新バージョンのストアアプリケーションを実行していることを確認します。

エンドユーザーが直接呼び出すことができるスクリプト (クライアント呼び出し可能スクリプトインクルード、ウィジェット、プロセッサ、REST エンドポイントなど) を識別します。

これらのスクリプトは ACL を優先し、GlideRecordSecure または GlideRecord を canRead、canWrite、canCreate、canDelete とともに使用する必要があります。

JavaScript コンテンツアクセス制御を使用して特定のサードパーティ JavaScript ライブラリを許可または拒否するスクリプトを識別します。

アクセスをブロックする前に、インスタンスのカスタマイズを確認してライブラリが使用されていないことを確認します。JavaScript コンテンツプロバイダーのアクセス追跡 [sys_js_content_provider_access_tracking] テーブルを確認して、ライブラリが最後にアクセスされた日付を確認できます。

対応する ACL を持たないクライアント呼び出し可能スクリプトインクルードを識別します。これらのスクリプトは、デフォルト (「*」) のクライアント呼び出し可能スクリプトインクルード ACL を使用します。

これらのスクリプトでは、適切なアクセス基準を定義する ACL を作成して、想定されているユーザーのみが提供された機能とやり取りできることを検証します。

追加のサーバー側検証がないレコードプロデューサーを識別します。このチェックでは、レコードプロデューサーはあるが、関連付けられたビジネスルールがないカスタムテーブルを識別します。

これにより、ユーザーが関連テーブルに予期しないデータを送信できるようになる可能性があります。

スクリプト、条件、セキュリティ属性、ロールのいずれも持たない ACL レコード、または public ロールを持つ ACL を識別します。

ACL を空のままにするか、public ロールを使用すると、この ACL で保護されているすべてのコンテンツへのオープンアクセスが提供されます。

HTML サニタイズが非アクティブな HTML フィールドを識別します。

HTML のサニタイズは、HTML コード内の潜在的に有害な要素や属性を削除または置き換えます。サニタイズが非アクティブになっている HTML フィールドを確認して、この構成が必要かどうかを確認します。

追加の構成可能なセキュリティコントロールを提供する、アクティブ化されていないプラグインを識別します。このチェックによって生成された検出結果は、情報提供を目的として提供されます。

識別されたプラグインのいずれかを有効にする前に、そのプラグインがユースケースまたは要件を満たしていることを確認します。識別された検出結果のユースケースがない場合は、これらの結果をミュートできます。

多数の IP アドレスを含む IP アドレスアクセス制御範囲を識別します。

現在の構成がビジネスニーズに合致していることをレビューして確認します。

GraphQL API [sys_graphql_schema] テーブル内のパブリック GraphQL スキーマを識別します。

これらのスキーマは、認証なしで使用できるように構成できます。エンドポイントの機能によっては、これにより、非認証ユーザーが予期しないアクションを実行したり、予期しないデータを操作したりできる場合があります。

非認証ユーザーによるアクセスを有効にするように構成されたナレッジベースとナレッジベース記事を識別します。

現在の構成がビジネスニーズに合致していることをレビューして確認します。

認証なしで使用できるように構成されているスクリプト済み REST リソース [sys_ws_operation] テーブル内の REST API エンドポイントを識別します。

エンドポイントの機能によっては、これにより、非認証ユーザーが予期しないアクションを実行したり、予期しないデータを操作したりできる場合があります。

公開されているサービスポータルページを識別します。サービスポータルページは、「public」フィールドを「true」に設定することで、非認証ユーザーが利用できるようになります。

現在の構成がビジネスニーズに合致していることをレビューして確認します。

公開されている UI ページを識別します。UI ページは、[sys_public] ページを使用して非認証ユーザーが利用できるようにすることができます。

現在の構成がビジネスニーズに合致していることをレビューして確認します。

[アドミン] ロールを含むすべてのロール (ロール [sys_user_role] テーブル) を識別します。

[アドミン] ロールはユーザーに管理権限を付与するものであり、必要な場合にのみ使用する必要があります。現在の構成がビジネスニーズに合致していることをレビューして確認します。これが意図的な構成である場合、このチェックはミュートできます。

その UI ページの ACL を持たない UI ページを識別します。

特定の ACL を持たない UI ページには、デフォルトで汎用 UI ページ ACL が設定されるため、意図しないユーザーのアクセスが許可される可能性があります。

ローカルに設定されたパスワードを持つユーザーを識別します。

ローカルパスワードを持つユーザーは、ローカルログインが許可されていない場合でも、ローカル認証情報を使用して API を介してインスタンスとやり取りできます。このパスワード構成は、統合ユーザーアカウントが正しく機能するために必要です。

これらのユーザーアカウントを確認して、目的のユーザー (統合アカウントなど) のみがローカル認証で認証できることを確認します。

以前のバージョンの ServiceNow AI Platform で作成されたパスワードを持つユーザーアカウントを識別します。このパスワードは、現在レガシーまたは古いハッシュアルゴリズムと見なされているものを使用していた可能性があります。

パスワードをローテーションしていない古いプラットフォームバージョンで作成されたアカウントには、従来のハッシュアルゴリズムで保存されたパスワードが残っている可能性があります。識別された作成済みアカウントを確認し、パスワードリセットを検討してください。

安全でないレコードプロデューサーを識別します。

適切なロールにアサインされていない場合、権限のないユーザーがアクセスでき、機密情報が漏洩する可能性があります。レコードプロデューサーに適切なロールをアサインし、必要なユーザーのみがアクセスできるようにします。