ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

あれから 1 年...Orca Security で利用できるコンプライアンス・フレームワークをご紹介します 2024

Compliance Orca Security

こんにちは、Orca Security 担当の尾谷です。

Orca Security はサポートするコンプライアンス・フレームワークが多いことで好評です。

昨年、2023 年 4 月 28 日に以下ブログ記事にて Orca Security で利用できるコンプライアンス・フレームワークをリストアップしてご紹介しました。

techblog.forgevision.com

あれから 1 年が経過し、Orca Security に多くのコンプライアンスフレームワークが追加されていますのでご紹介したいと思います。

ブログ公開日にもアップデートが!

昨年ブログをリリースした日から更新情報を確認していたところ、なんと!ブログのリリース日 (2023/04/28) にも以下のコンプライアンスフレームワークが追加されていました。こちらは完全に見逃しておりました。。

オーストラリア サイバー セキュリティ センター (ACSC) エッセンシャル エイト

Orca 製品アップデート: 2023/04/28
Australian Cyber Security Centre (ACSC) Essential Eight は、オーストラリア政府のサイバー セキュリティに関する主力機関による、コンプライアンス・フレームワークです。

AWS のドキュメントを参照したところ、Audit Manager が対応していました。

docs.aws.amazon.com

2023/04/28 にレベル 3 に対応し、2023/05/05 にはレベル 1 と 2 に対応していました。

CIS Debian Linux 11

Orca 製品アップデート: 2023/04/28
Linux OS の CIS フレームワークが追加されていました。
2023/10/27 には Debian Linux 8 v2.0.2 も対応されていました。
2024/01/11 には、Debian Linux 10 v2.0.0 も対応していました。

モーションピクチャーアソシエーション (MPA: 米国映画協会)

Orca 製品アップデート: 2023/05/12
Motion Picture Association (MPA) は、アメリカのメジャー映画スタジオと Netflix の 6 社で構成される団体名です。

  1. パラマウント・ピクチャーズ
  2. ワーナー・ブラザース (ターナー・エンターテイメント)
  3. ソニー・ピクチャーズ (コロンビア・ピクチャーズ)
  4. ウォルト・ディズニー・スタジオ (20 世紀フォックス)
  5. ユニバーサル・スタジオ
  6. Netflix

これは暴力的なシーン、性的なシーンなどのレーティングではなく、映像制作・配信としてのインフラ上のコンプライアンスとのことです。

aws.amazon.com

MITRE ATT&CK v13

Orca 製品アップデート: 2023/05/18
MITRE ATT&CK (マイターアタック) のバージョン 13.0.0 が追加されました。
2024 年 4 月現在、バージョン 12.0.0 と 13.0.0 でチェックができます。

児童オンラインプライバシー保護法

Orca 製品アップデート: 2023/05/18
Children’s Online Privacy Protection Act (COPPA) という、13 才未満の子供に対するオンライン・プライバシーの保護を目的としたフレームワークに対応していました。
インフラ面だけでは評価が難しそうなコンプライアンスフレームワークですが、個人を特定する情報 (PII) のチェックが多く含まれていました。

2023/05/18 には、COPPA 以外にも Health Data Hosts (HDH)、CPRA (California Privacy Rights Act) などが追加されていたようです。

CIS NGINX Benchmark v2.0.0

Orca 製品アップデート: 2023/06/01
CIS の NGINX Benchmark が追加されていました。

PCI DSS v4.0 フレームワークの改善

Orca 製品アップデート: 2023/06/07
PCI DSS v4.0 Framework は以前から対応していましたが、外部監査人による PCI DSS v4.0 に対する監査を受けて、PCI DSS フレームワークマッピングの品質を改善したとリリースがありました。
追加のアラートが導入され、コントロール・カバレッジが強化され、古いアラートや冗長なアラートが削除されました。

NIS 2

Orca 製品アップデート: 2023/06/15
the Network and Information Security (NIS) 2 に対応したと発表がありました。
NIS 2 は EU 全体のサイバーセキュリティに関する法律で、すべての EU 加盟国で全体で標準的な保護レベルを確立するものです。

Oracle Linux 7 v3.1.1 / 8 v2.0.0

Orca 製品アップデート: 2023/06/23
Oracle Linux のフレームワークが追加されていました。
PCI DSS v3.2.1 も同時に追加されていました。
6/29 には、Oracle Linux 9 v1.0.0 が追加されていました。

デジタルオペレーションレジリエンス法

Orca 製品アップデート: 2023/07/07
DORA (Digital Operational Resilience Act) の追加が発表されていました。
これは、EU 全体の金融業界に適合する新しい規制で、日本の金融機関も EU の金融機関にサービスを提供している場合は、2025 年初頭までに準拠する必要があるということです。これは大変ですが、Orca でチェックしていくと効率的ですね。

7/7 には、この他にも PDPO (Personal Data Privacy Ordinance)、PIPEDA が追加されていました。 

ISMS-P

Orca 製品アップデート: 2023/07/16
韓国の the Korea Internet & Security Agency (KISA)'s Personal information & Information Security Management System framework (ISMS-P) に対応したとアナウンスされていました。

AWS CIS 2.0.0

Orca 製品アップデート: 2023/07/21
AWS CIS 2.0.0 の対応がアナウンスされていました。
この頃、お客様からよくコンプライアンスの質問をいただいた調べていた記憶があります。

CIS Alibaba Cloud Linux 3 v1.0.0

Orca 製品アップデート: 2023/08/02
Alibaba Cloud Linux に対応していました。
8/2 には、CIS Amazon Linux 2023 v1.0.0 も発表され、8/6 には以下 3 つのフレームワーク対応も発表されていました。

  • HITRUST version 11 Levels 1-3
  • CIS Microsoft Windows 11 version 2.0.0
  • TISAX VDA version 5.1

ISO 27018:2019

Orca 製品アップデート: 2023/08/11
プライバシー原則に沿って個人を特定する情報 (PII) を保護するための対策をパブリッククラウドコンピューティング環境で実施するためのガイドラインである ISO 27018:2019 に対応したとアナウンスされていました。
8/18 には CMMC v2.0 Level 2 と、CIS K8S EKS version 1.3.0 のリリースが発表されていました。

CIS CentOS Linux 8 v2.0.0

Orca 製品アップデート: 2023/11/05
CentOS 8 の CIS コンプライアンスフレームワーク v2.0.0 が追加されていました。

HITRUST Level 1, 2, 3 Compliance Frameworks

Orca 製品アップデート: 2023/11/16
Health Information Trust Alliance (HITRUST) という医療関係のコンプライアンスフレームワークが追加されていました。

GLBA Standards For Safeguarding Customer Information 2022

Orca 製品アップデート: 2023/11/22
Gramm-Leach-Bliley Act という金融関連のフレームワークが追加されていました。

Windows and Linux

Orca 製品アップデート: 2023/12/10
昨年、12 月には数多くの Windows と Linux のコンプライアンスフレームワークが追加されていました。

  • Windows -- CIS Microsoft Windows 10 version 2.0.0 -- CIS Microsoft Windows Server 2008 R2 version 3.3.1 -- CIS Microsoft Windows Server 2016 version 2.0.0 -- CIS Microsoft Windows Server 2019 version 2.0.0 -- CIS Microsoft Windows Server 2022 version 2.0.0
  • Linux: -- SUSE Linux Enterprise 15 version 1.1.1

また、同日に SOX 404、Privacy Shield、FERPA (Family Educational Rights and Privacy Act) も追加されていました。
CIS SUSE Linux Enterprise 12 に関しては、2024/02/02 に、v.3.3.1 がリリースされていました。

MCSB

Orca 製品アップデート: 2024/01/19
The MCSB (Microsoft Cloud Security Benchmark) コンプライアンスに対応したとアナウンスがありました。
2024/01/25 には、FFIEC (Federal Financial Institutions Examination Council) の対応と CIS PostgreSQL 14 v1.1.0 への対応が公開されていました。

PIPL (Personal Information Protection Law)

Orca 製品アップデート: 2024/02/24
PIPL (Personal Information Protection Law) フレームワークがリリースされていました。

CIS Bottlerocket

Orca 製品アップデート: 2024/02/24
CIS の CIS Bottlerocket のベンチマークがリリースされていました。

いくつかのベンチマーク改善

Orca 製品アップデート: 2024/02/09
GDPR などのコンプライアンスが一気に追加されました。
弊社でも PoC を進めていただいていたお客様がご要望されていました。

  • DORA (Digital Operational Resilience Act)
  • CMMC (Cybersecurity Maturity Model Certification) Level 2
  • GDPR (General Data Protection Regulation)
  • NIS (Network and Information Security)
  • PDPA (Personal Data Protection Act)
  • LGPD (Brazilian General Data Protection)
  • MPA (Motion Picture Association)
  • SOX 404
  • Essential 8 Maturity Level 1, 2, and 3

Azure CIS 2.1.0

Orca 製品アップデート: 2024/03/14
Azure CIS 2.1.0 がリリースされました。
2024/03/14 にはこれ以外にも、Microsoft Windows 11 Intune や、NIST 800-171 Rev 3 といったフレームワークへの対応が公開されていました。

NIST CSF

Orca 製品アップデート: 2024/03/14
NIST CSF (CyberSecurity Framework) version 2.0.0 がリリースされました。

NIST 800-53、CIS Amazon Linux 2

Orca 製品アップデート: 2024/03/22
NIST 800-53 と CIS Amazon Linux 2 の新バージョンがリリースされました。

  • NIST 800-53 version 5.1.1
  • CIS Amazon Linux 2 version 3.0.0

まとめ

他にも、追加だけでなく、改善や DISA 対応などのエンハンスアップデートも実施されています。
以下が 2024/04/17 時点のリストです。

ホットなアップデートがあれば、個別でブログにしたいと思います。

Orca

Framework Category Supported Version
DSPM (Data Security Posture Management) Best Practices Orca 1
Orca Best Practices Orca 2023
Orca Cost Optimization Orca 1.0.0

Cloud Providers

Framework Category Supported Version
Alibaba Cloud CIS Cloud 1.0.0
AWS Foundational Security Best Practices Cloud 2023 Aug 24
Azure CIS Cloud 1.2.0, 1.4.0, 1.5.0, 2.0.0, 2.1.0
CIS Amazon Elastic Kubernetes Service (EKS) Cloud 1.0.1, 1.3.0, 1.4.0
CIS Amazon Web Services Foundations Benchmark Cloud 1.2.0, 1.3.0, 1.4.0, 1.5.0, 2.0.0, 3.0.0
CIS Azure Kubernetes Service (AKS) Cloud 1.0.0
CIS Google Kubernetes Engine (GKE) Cloud 1.2.0
CIS VMware ESXi Cloud 1.2.0
GCP CIS Cloud 1.1.0, 1.2.0, 1.3.0, 2.0.0
MCSB (Microsoft Cloud Security Benchmark) Cloud 1.0.0
OCI CIS Cloud 1.2.0
RDS PostgreSQL Cloud 14.0.0

OS - Linux

Framework Category Supported Version
CIS Alibaba Cloud Linux 3 Linux 1.0.0
CIS Amazon Linux Linux 2.1.0
CIS Amazon Linux 2 Linux 2.0.0, 3.0.0
CIS Amazon Linux 2022 Linux 1.0.0
CIS Amazon Linux 2023 Linux 1.0.0
CIS Bottlerocket Linux 1.0.0
CIS CentOS Linux 7 Linux 3.1.2
CIS CentOS Linux 8 Linux 1.0.0, 2.0.0
CIS Debian Family Linux Linux 1.0.0
CIS Debian Linux 8 Linux 2.0.1, 2.0.2
CIS Debian Linux 9 Linux 1.0.1
CIS Debian Linux 10 Linux 1.0.0, 2.0.0
CIS Debian Linux 11 Linux 1.0.0
CIS Distribution Independent Linux Linux 2.0.0
CIS Oracle Linux 7 Linux 3.1.1
CIS Oracle Linux 8 Linux 2.0.0
CIS Red Hat Enterprise Linux 7 Linux 3.1.1, 4.0.0
CIS Red Hat Enterprise Linux 8 Linux 2.0.0
CIS Red Hat Enterprise Linux 9 Linux 1.0.0
CIS Rocky Linux 8 Linux 1.0.0
CIS Rocky Linux 9 Linux 1.0.0
CIS SUSE Linux Enterprise 12 Linux 3.0.0, 3.1.1, 3.3.1
CIS SUSE Linux Enterprise 15 Linux 1.1.0, 1.1.1
CIS Ubuntu Linux 14.04 Linux 2.1.0
CIS Ubuntu Linux 16.04 Linux 1.1.0
CIS Ubuntu Linux 18.04 Linux 2.1.0
CIS Ubuntu Linux 20.04 Linux 1.1.0
CIS Ubuntu Linux 22.04 Linux 1.0.0
Red Hat Enterprise Linux 7 DISA STIG Linux Ver 2 Rel 7
Red Hat Enterprise Linux 8 DISA STIG Linux Ver 1 Rel 9
Red Hat Enterprise Linux 9 DISA STIG Linux Ver 1 Rel 2
Ubuntu Linux 18.04 DISA STIG Linux Ver 2 Rel 12
Ubuntu Linux 20.04 DISA STIG Linux Ver 1 Rel 7

OS - Windows

Framework Category Supported Version
CIS Microsoft Windows 10 Windows 1.12.0, 2.0.0
CIS Microsoft Windows 10 Intune Windows 2.0.0
CIS Microsoft Windows 11 Windows 2.0.0
CIS Microsoft Windows 11 Intune Windows 2.0.0
CIS Microsoft Windows Server 2008 R2 Windows 3.2.0, 3.3.1
CIS Microsoft Windows Server 2012 R2 Windows 2.6.0
CIS Microsoft Windows Server 2016 Windows 1.4.0, 2.0.0
CIS Microsoft Windows Server 2019 Windows 1.3.0, 2.0.0
CIS Microsoft Windows Server 2022 Windows 1.1.0, 2.0.0
Microsoft Windows Server 2019 DISA STIG Windows Ver 2 Rel 7

Software

Framework Category Supported Version
CIS Apache HTTP Server 2.2 Software 3.6.0
CIS Apache HTTP Server 2.4 Software 1.5.0
CIS Docker Software 1.3.1
CIS NGINX Software 2.0.0
CIS PostgreSQL 14 Software 1.0.0, 1.1.0

Standards and Regulations

Framework Category Supported Version
CCPA (California Consumer Privacy Act) Standards 1.0.0
CIS Controls Standards 8.0.0
CIS Kubernetes V1.20 Standards 1.0.0
CJIS (Criminal Justice Information Services) Standards 5.8.0
CMMC (Cybersecurity Maturity Model Certification Level 2) Standards 2.0.0
COPPA (Children’s Online Privacy Protection) Standards 2013 Jan 17
CPRA (California Privacy Rights Act) Standards 3.0.0
CSA CCM Standards 4.0.5
DORA (Digital Operational Resilience Act) Standards 1.0.0
Essential 8 Maturity Level 1 Standards 2022 Nov 01
Essential 8 Maturity Level 2 Standards 2022 Nov 01
Essential 8 Maturity Level 3 Standards 2022 Nov 01
FedRAMP (Federal Risk and Authorization Management Program) Standards 1.0.0
FERPA (Family Educational Rights and Privacy Act) Standards 1.0.0
FFIEC (Federal Financial Institutions Examination Council) Standards 2016 Sep 01
GDPR (General Data Protection Regulation) Standards 1.0.0
GLBA (Gramm-Leach-Bliley Act) Standards For Safeguarding Customer Information Standards 2022
HDS (French Health Data Host) Standards 1.1.0
HIPAA (Health Insurance Portability and Accountability Act) Standards 1.0.0
HITRUST Level 1 Standards 11.0.0
HITRUST Level 2 Standards 11.0.0
HITRUST Level 3 Standards 11.0.0, 9.6.0
ISM (Australian Government Information Security Manual) Standards 2022 Sep 20
ISMS-P (Personal information & Information Security Management System) Standards 2023 July 10
ISO 27001 Standards 2022 Oct 01, 2013 Oct 01
ISO 27002 Standards 2022 Mar 01
ISO 27017 Standards 2015 Dec 15
ISO 27018 Standards 2019 Jan 01
ISO 27701 Standards 2019 Aug 01
Kubernetes Security Technical Implementation Guide (STIG) Standards 1.0.0
LGPD (Brazilian General Data Protection) Standards 2018 Aug 14
MASTRM (Monetary Authority of Singapore Technology Risk Management) Standards 2021 Jan 18
MITRE ATT&CK Standards 12.0.0, 13.0.0
MPA (Motion Picture Association) Standards 5.0.0
NIS (Network and Information Security) Standards 2.0.0
NIST 800-171 Standards 2.0.0, 3.0.0
NIST 800-172 Standards 2017 Feb 01
NIST 800-190 Standards 2017 Sep 01
NIST 800-53 Standards 4.0.0, 5.0.0, 5.1.1
NIST-CSF Standards 1.1.0, 2.0.0
NYDFS (New York Department of Financial Services) Standards Oct 16, 2023
NZISM (New Zealand Information Security Manual) Standards 3.6.0
OWASP Kubernetes Top Ten Standards 2022 Dec 19
PCI DSS (Payment Card Industry Data Security Standard) Standards 3.2.1, 4.0.0
PDPA (Personal Data Protection Act) Standards 2020 Oct 01
PDPO (Personal Data Privacy Ordinance) Standards 2022 Oct 01
PIPEDA (Personal Information Protection and Electronic Documents Act) Standards 2023 May 03
PIPL (Personal Information Protection Law) Standards 2021 Nov 01
Privacy Shield Standards 1.0.0
SOC 2 Standards 2020 Mar 01
SOX 404 Standards 1.0.0
TISAX VDA Standards 5.1.0
UK Cyber Essentials Standards 3.0.0