ホーム
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
ステップ 5: 進行状況の測定とコンプライアンスの実証
進行状況の測定とコンプライアンスの実証方法について説明します。
コンプライアンスの実証
コンプライアンスの実証方法について説明します。
コンプライアンス・レポート
コンプライアンス・レポートについて説明します。
「DCID 6/3 Confidentiality Reqs Protection Level 4」レポート
このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 4 章に記載されている、保護レベル 4 でのシステム運用の機密性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。

アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
- ステップ 1: アプリケーション・インベントリーの作成
  アプリケーション・インベントリーの作成方法を説明します。
- ステップ 2: 脆弱性に関するアプリケーションのテスト
  アプリケーション内で特定された脆弱性のテスト方法を説明します。
- ステップ 3: リスクの判別と脆弱性の優先順位付け
  アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
- ステップ 4: リスクの修復
  アプリケーション内で特定されたリスクの修復方法を説明します。
- ステップ 5: 進行状況の測定とコンプライアンスの実証
  進行状況の測定とコンプライアンスの実証方法について説明します。
  - 進行状況の測定
    ポートフォリオを構成するアプリケーションのさまざまなメトリックと傾向を追跡する方法について説明します。
  - コンプライアンスの実証
    コンプライアンスの実証方法について説明します。
    - レポートとしての問題のエクスポート
      カスタマイズされた問題のレポート (PDF、HTML、または XML) を生成し、それを開発者、内部監査員、侵入テスター、管理者、および CISO に送信することができます。AppScan Enterprise のレポート・テンプレートにより、アプリケーション・セキュリティー・データは主な行政規制および業界標準にマップされます。レポートを使用して、コンプライアンスの問題に関連するアプリケーション脆弱性の数の減少の表示など、規制に対するコンプライアンスの目標に向けた進行状況を示します。
    - セキュリティー・レポートのサイズの制限
      セキュリティー・レポートはサイズが大きい場合があります。レポート生成中、ファイルに数百ページの長さがある、あるいはレポートの作成処理がタイムアウトになることを示す警告メッセージが表示される場合があります。レポート・サイズを減らすために、以下のヒントを試してください。
    - コンプライアンス・レポート
      コンプライアンス・レポートについて説明します。
      - APRA PPG 234 - 「Management of Security Risk in Information and Information Technology」レポート
        このレポートには、この規制に準拠していない Web サイト上の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - Basel II レポート
        この Basel II コンプライアンス・レポートは、Web アプリケーションの脆弱性を識別、モニター、および報告することにより、オンライン・アクティビティーから生じる運用上のリスクを金融機関が処理するのに役立ちます。
      - 「California Assembly Bill No. 1950 and Senate Bill 1386」レポート
        このレポートには、これらの規制に準拠していない Web サイト上の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「Children's Online Privacy Protection Act of 1998」レポート
        このレポートには、サイトで見つかった Children's Online Privacy Protection Act (COPPA) の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。注: このレポートで報告される問題の多くは、HIPAA レポートの問題と類似しています。両方のレポートがダッシュボードに追加されると、問題の数が膨れ上がってしまいます。このような状況にならないようにするためには、レポートごとにタブを作成するか、ダッシュボードにどちらか一方のレポートだけを追加するという方法を取れます。
      - 「UK Data Protection Act」レポート
        このレポートには、ユーザーのサイトで見つかった「データ保護法」の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - DCID 6/3 先進テクノロジー IS の保護レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、相互接続した情報システムの安全と先進テクノロジーを使用した情報システムの安全を保護するための、セキュリティー要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。
      - 「DCID 6/3 Availability Basic」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information within Information Systems」マニュアルの 6 章に記載されている、基本保護レベルでのシステム運用の可用性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。「低」レベルとは、遅延が柔軟に許容される状態で情報が利用可能であること、または、可用性が失われることで悪影響が及ぶことを意味します。
      - 「DCID 6/3 Availability Medium」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information within Information Systems」マニュアルの 6 章に記載されている、中保護レベルでのシステム運用の可用性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。「中」レベルとは、遅延が最低限許容される状態で情報が利用可能であること、または、可用性が失われると、身体的な被害または組織レベルの利益への悪影響が生じるおそれがあることを意味します。
      - 「DCID 6/3 Availability High」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information within Information Systems」マニュアルの 6 章に記載されている、高保護レベルでのシステム運用の可用性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。「高」レベルとは、要求時に情報が常に利用可能であることを意味し、遅延は許容されません。可用性が失われると、人命の喪失、国益への悪影響、または機密性の侵害が生じるおそれがあります。
      - 「DCID 6/3 Confidentiality Reqs Protection Level 1」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 4 章に記載されている、保護レベル 1 でのシステム運用の機密性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。
      - 「DCID 6/3 Confidentiality Reqs Protection Level 2」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 4 章に記載されている、保護レベル 2 でのシステム運用の機密性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。
      - 「DCID 6/3 Confidentiality Reqs Protection Level 3」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 4 章に記載されている、保護レベル 3 でのシステム運用の機密性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。
      - 「DCID 6/3 Confidentiality Reqs Protection Level 4」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 4 章に記載されている、保護レベル 4 でのシステム運用の機密性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。
      - 「DCID 6/3 Confidentiality Reqs Protection Level 5」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 4 章に記載されている、保護レベル 5 でのシステム運用の機密性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。
      - 「DCID 6/3 Integrity Basic」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 5 章に記載されている、基本完全性レベルでのシステム運用の完全性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。「低」レベルとは、無許可の変更に対して必要な保護の度合いが適度であること、または、完全性が失われることで悪影響が及ぶことを意味します。
      - 「DCID 6/3 Integrity Medium」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 5 章に記載されている、中完全性レベルでのシステム運用の完全性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。「中」レベルとは、無許可の変更に対して必要となる保護の度合いが高いことを意味しますが、絶対的な保護ではありません。完全性が中程度失われると、身体的な被害または組織レベルの利益への悪影響が生じるおそれがあります。
      - 「DCID 6/3 Integrity High」レポート
        このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 5 章に記載されている、高完全性レベルでのシステム運用の完全性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。「高」レベルとは、無許可の変更に対して必要となる保護の度合いが非常に高いことを意味します。完全性が大きく失われると、人命の喪失や、国益または機密性への悪影響が生じるおそれがあります。
      - 「DISA STIG v3 r9」レポート
        「Application Security and Development Security Technical Implementation Guide (STIG)」は、アプリケーション開発のライフ・サイクルを通じて使用するセキュリティー・ガイダンスを提供します。国防情報システム局 (DISA: Defense Information Systems Agency) は、アプリケーション開発プロセスのなるべく早い時期にこのガイドラインを現場で使用することを推奨しています。
      - DISA STIG バージョン 3 リリース 9 カテゴリー 1 レポート
        「Application Security and Development Security Technical Implementation Guide (STIG)」は、アプリケーション開発のライフ・サイクルを通じて使用するセキュリティー・ガイダンスを提供します。国防情報システム局 (DISA: Defense Information Systems Agency) は、アプリケーション開発プロセスのなるべく早い時期にこのガイドラインを現場で使用することを推奨しています。
      - DoD Instruction 8500.1 - Cybersecurity レポート
        このレポートには、ユーザーのサイトで見つかった問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「DoD 指令 8550.1 - インターネット・サービスとインターネットを使用した機能」レポート
        このレポートには、ユーザーのサイトで見つかった問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「Electronic Funds Transfer Act and Regulation E」レポート
        このレポートには、サイトで見つかった EFTA 問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「European Directive 1995/46/EC」レポート
        このレポートには、サイトで見つかった個人データ保護指令 (EU 1995/46/EC) 問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「European Directive 2002/58/EC」レポート
        このレポートには、サイトで見つかったプライバシーおよび電子通信に関する指令 (EU 2002/58/EC) 問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「家庭教育の権利とプライバシーに関する法 (FERPA)」レポート
        このレポートは、ユーザーのサイトで見つかった FERPA 問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「連邦金融機関検査協議会 (FFIEC)、機密保護 IT 検査ハンドブック」レポート
        このレポートには、サイトで見つかった FFIEC に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「Federal Information Security Management Act (FISMA)」レポート
        このレポートには、サイトで見つかった FISMA に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - Federal Risk and Authorization Management Program (FedRAMP) レポート
        このレポートには、サイトで見つかった FedRAMP に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「Financial Services (GLBA)」レポート
        このレポートには、サイトで見つかった GLBA に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「情報の自由とプライバシー保護法 (FIPPA)」レポート
        このレポートは、ユーザーのサイトで見つかった FIPPA 問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「The Health Insurance Portability and Accountability Act (HIPAA) of 1996」レポート
        このレポートには、サイトで見つかった HIPAA に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「Japan's Personal Information Protection Act」レポート
        このレポートには、サイトで見つかった「日本個人情報保護法」に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - Massachusetts 201 CMR 17.00 レポート
        この MA 201 コンプライアンス・レポートは、Web アプリケーションの脆弱性を識別、モニター、および報告することにより、オンライン・アクティビティーから生じる運用上のリスクを金融機関が処理するのに役立ちます。
      - Management of Information Technology Security (MITS) レポート
        この MITS コンプライアンス・レポートは、Web アプリケーションの脆弱性を識別、モニター、および報告することにより、オンライン・アクティビティーから生じる運用上のリスクを金融機関が処理するのに役立ちます。
      - NERC CIPC 電子部門セキュリティー・ガイドラインレポート
        このレポートには、ユーザーのサイトで見つかった NERC CIPC 違反の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - PA-DSS (ペイメント・アプリケーション・データ・セキュリティー基準) v3.0 レポート
        この PA-DSS コンプライアンス・レポートは、金融機関がオンライン・アクティビティーから生じる運用上のリスクに対処できるよう、Web アプリケーションの脆弱性を識別、モニター、および報告します。
      - クレジット・カード業界データ・セキュリティー基準 (PCI) v3.0 レポート
        このレポートには、サイトで見つかった PCI に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「PIPED Act」レポート
        このレポートには、サイトで見つかった PIPED に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「Privacy Act of 1974」レポート
        このレポートには、ユーザーのサイトで見つかったプライバシー法 (1974 年) の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 欧州議会および理事会による 2016/679 規定 - 一般データ保護規則 (GDPR)
        このレポートには、サイトで見つかった一般データ保護規則 (GDPR) の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「Safe Harbor」レポート
        このレポートには、サイト上で検出された欧州のセーフ・ハーバーに関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - サーベンス・オクスリー法 (SOX) 2002 レポート
        このレポートは、サイトで検出されたサーベンス・オクスリーの問題を表示します。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 連邦規制基準タイトル 21 (21 CFR) 11 項レポート
        このレポートは、Web サイトで見つかった 21CFR11 (連邦規制基準タイトル 21、11 項) に関する問題を示します。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
    - 業界標準のレポート
      業界標準のレポートについて説明します。

「DCID 6/3 Confidentiality Reqs Protection Level 4」レポート

このレポートでは、Web アプリケーションのスキャン結果を分析することで、「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルの 4 章に記載されている、保護レベル 4 でのシステム運用の機密性要件に違反する項目がないかを検出します。このレポートは、認定プロセスのステップ 3、4、5、8 の要件に違反する項目の検出に役立ちます。

問題点

この指令は、情報システム (IS: Information Systems) 内で分類された情報資料の保管、処理、通信のためのセキュリティー・ポリシーと手順を定めています。情報システムとは、音声およびデータ (デジタルまたはアナログ) の収集、保管、操作、管理、移動、制御、表示、切り替え、交換、送信、受信に使用するソフトウェア、ファームウェア、またはハードウェアのことです。

本ポリシーは、情報資料を処理、保管、または通信する米国政府機関、民間請負業者、同盟国政府の IS すべてに適用されます。

認定プロセス

DCI が発行した「Protecting Sensitive Compartmented Information Within Information Systems」マニュアルには、情報システムの認定に必要な 11 のステップが記載されています。ステップは次のとおりです。

問題のレベルの決定
保護レベルの決定
相互接続されたシステム要件の決定
技術上のセキュリティーと保証要求事項の特定
必要な文書化とテスト・アクティビティーの決定
システム・セキュリティー計画の記述
実施中のセキュリティーの検証
セキュリティー要件に対するテスト
認定パッケージの作成
認定パッケージの転送
DAA による認定の決定