ホーム
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
ステップ 3: リスクの判別と脆弱性の優先順位付け
アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
脆弱性の優先順位付け
アプリケーション内で特定された脆弱性を優先順位付けする方法について説明します。
アプリケーション内での問題のトリアージ
すべての問題は、デフォルトで「新規」に分類されます。問題の状況を表示することで、問題の分類を確認することができます。アプリケーションに関する問題が表示されない場合は、セキュリティー・スキャンをアプリケーションに関連付けます。そうしない場合、問題を「スキャン」ビューのレポートから管理する必要があります。アプリケーション間でスキャン・ジョブを移動しても、問題管理の変更は失われません。
インポートされた問題および脆弱性に問題管理が与える影響
AppScan® Source、AppScan Standard、および AppScan Developer からインポートされた脆弱性を管理することができます。

アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
- ステップ 1: アプリケーション・インベントリーの作成
  アプリケーション・インベントリーの作成方法を説明します。
- ステップ 2: 脆弱性に関するアプリケーションのテスト
  アプリケーション内で特定された脆弱性のテスト方法を説明します。
- ステップ 3: リスクの判別と脆弱性の優先順位付け
  アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
  - リスクの判別
    これで、管理アナリストやセキュリティー・アナリストがエンタープライズ全体のアプリケーションの包括的なビューを使用できるようになったので、アプリケーションのセキュリティー・リスクの全体像を確認することができます。数式を使用して、アプリケーション資産の自動分類用のルールを作成します。アプリケーション・セキュリティー・リスク等級の自動計算は、アプリケーションの記述と検出された脆弱性に基づいて行われます。
  - 脆弱性の優先順位付け
    アプリケーション内で特定された脆弱性を優先順位付けする方法について説明します。
    - 問題のトリアージのワークフロー
    - アプリケーション内でのセキュリティー問題のリストのフィルタリング
      アプリケーションに、多数の脆弱性が検出されたスキャンが多数ある場合、事前設定された問題属性 (問題の重大度、問題のタイプ、または問題の状態) に対してフィルターを使用し、管理しやすいサイズまでリストを削減することができます。
    - アプリケーション内での問題のトリアージ
      すべての問題は、デフォルトで「新規」に分類されます。問題の状況を表示することで、問題の分類を確認することができます。アプリケーションに関する問題が表示されない場合は、セキュリティー・スキャンをアプリケーションに関連付けます。そうしない場合、問題を「スキャン」ビューのレポートから管理する必要があります。アプリケーション間でスキャン・ジョブを移動しても、問題管理の変更は失われません。
      - 問題状況の分類とワークフロー
        問題は、new、open、in progress、noise、reopened、passed、fixed として分類できます。状況が open、in progress、reopened となっている問題は、アプリケーションの問題グリッドに表示されます。
      - レポートとアプリケーションの問題管理の違い
        スキャンがアプリケーションと関連付けられていない場合は、「スキャン」ビューのレポートを使用して、その問題をトリアージします (9.0.0.1 以前と同様) 。それ以外の、アプリケーションに関連付けられているスキャンの問題を分類する際には、以下の違いについて考慮してください。
      - インポートされた問題および脆弱性に問題管理が与える影響
        AppScan® Source、AppScan Standard、および AppScan Developer からインポートされた脆弱性を管理することができます。
    - 期限切れ問題のモニター
      セキュリティー・アナリストは、期限切れの問題があるアプリケーションの数を確認できるため、どの問題やアプリケーションがコンプライアンス違反かを素早く判断することができます。AppScan Enterprise v9.0.3 には期限切れの数式が含まれており、変更したり、複雑な数式を作成する際のサンプルとして使用したりすることができます。組織がクレジット・カード業界データ・セキュリティー基準 (PCI) に準拠する必要がある場合、それを数式に追加できます。あるいは、問題が 10 日後にまだ New とマークされており、重大度が高い場合、自動的に期限切れになるよう数式を変更します。
    - 複数の問題の同時編集
- ステップ 4: リスクの修復
  アプリケーション内で特定されたリスクの修復方法を説明します。
- ステップ 5: 進行状況の測定とコンプライアンスの実証
  進行状況の測定とコンプライアンスの実証方法について説明します。

インポートされた問題および脆弱性に問題管理が与える影響

AppScan® Source、AppScan® Standard、および AppScan® Developer からインポートされた脆弱性を管理することができます。

AppScan® Enterprise で問題を管理する場合、Enterprise Console のデフォルト設定 (「管理」 > 「一般設定」 > 「Enterprise Console 設定」 > 「問題の属性」) を使用することができます。AppScan® Standard、AppScan® Source、または AppScan® Developer からファイルをインポートするときに問題の属性 (既存の脆弱性の状態および重大度、または「この問題の情報」レポートの「コメント」フィールド) は上書きされません。AppScan® Enterprise 以外で脆弱性の状態と重大度を管理する場合、Enterprise Console のデフォルト設定を変更することができます。その結果、ファイルをインポートしたときに脆弱性の状態や重大度などの設定がインポート・ファイルから取得されます。

問題は、その問題を最初に検出したスキャンあるいはインポート・ファイルに関係なく、AppScan Enterprise 全体で処理されます。同じ設定ファイルの 2 回目以降のインポートでは、「インポート・ファイルの設定を使用」チェック・ボックスが選択されている場合でも、これらの問題は変更されません。ただし、同じ設定ファイルの 2 回目以降のインポートでは、新規の 脆弱性は、インポートされたファイルの設定に応じて、新しい問題として AppScan Enterprise に作成されます。