用語

コントロール

定義された一連のセキュリティおよびプライバシー要件を満たすように設計された、技術的、管理的、または物理的な保護措置。 脆弱性を悪用する脅威の能力を防止、検出、または軽減するためのコントロールが存在します。

コントロール・ライブラリー

事前定義コントロールまたはカスタム・コントロールのコレクション。 コントロール・ライブラリーには、評価に使用できるアカウント内のすべてのコントロールが表示されます。 ライブラリーは、コントロールの編成とバージョン管理に役立ちます。 ライブラリーは以下のような構造になっている。

プロフィール

特定のコンプライアンス目標に関連する統制活動のグループ。

構造は制御ライブラリーとよく似ていますが、プロファイルをリソースのセットに付加して評価することができます。 添付ファイルを作成するときに、評価の実行方法を定義するパラメーターを設定できます。

仕様

コントロールが満たす必要がある特定のセキュリティー要件およびプライバシー要件を定義するステートメント。 例えば、Check whether App ID Cloud Directory users aren't able to update their own accounts です。

評価

適用可能な標準に準拠するための構成の実際の評価。 アセスメントは、コントロールに応じて自動化または手動で行うことができます。 現在、使用可能なアセスメントのタイプは IBM Cloud ルールのみです。

ルール

リソース構成が準拠しているかどうかを判別するために使用される条件ステートメントのセット。 ルールを評価するには、評価を通じてルールをプロファイルに関連付ける必要があります。

パラメーター

評価される特定の構成プロパティー。 各パラメーターには、添付ファイルの作成時にカスタマイズできる値がデフォルトで割り当てられます。 例えば、リソースがどの領域に存在するかを制御が評価する場合、パラメーターを定義することによって、検査する領域を指定できます。

スコープ

評価したいリソースのグループ。 新しい API ベースのアーキテクチャーでは、スコープは、エンタープライズ、アカウント・グループ、アカウント、またはリソース・グループにすることができます。

サブスコープ

スコープのセグメント。 サブスコープは、結果をレビューするチームのメンバーが、自分がアクセス権を持つインスタンスに関する情報にのみアクセスできるようにするために使用されます。

アタッチメント

Security and Compliance Center が評価を行う方法を定義する、プロファイルとスコープの間の接続。 添付は、評価するリソースのグループとプロファイルを選択することによって形成されます。 次に、評価対象とするパラメーターを指定します。 添付ファイルは、1 日に 1 回評価されるか、必要に応じて開始できます。

レポート

評価によって返される情報は、レポートと呼ばれます。 レポート内の情報の明細については、 結果について を参照してください。

ユーザー・フローの理解

Security and Compliance Center内に存在するさまざまなエンティティーを理解したところで、それらのエンティティーはどのように連携しますか? 以下の図は、 Security and Compliance Centerで作業しているときに実行する可能性があるユーザー・フローの詳細を示しています。

1. セキュリティーまたはコンプライアンスのフォーカルとして、組織に最も適した事前定義プロファイルを選択します。 オプションで、カスタム・ルールを作成したり、ルールを追加または削除したり、コントロールのカタログに基づいて独自のプロファイルを作成したりして、プロファイルをカスタマイズすることができます。
2. リソースのスキャンを開始するには、スキャンするリソースのスコープにプロファイルのアタッチを作成します。 オプションで、添付ファイルの作成時にコントロールのパラメーターをカスタマイズできます。
3. 添付ファイルが作成されると、リソースは Security and Compliance Centerによって 1 日に 1 回評価されます。
4. 結果が返されると、ユーザーが所有する Cloud Object Storage バケットに転送されます。
5. 結果は Security and Compliance Center ダッシュボードに表示されます。