ホーム
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
ステップ 5: 進行状況の測定とコンプライアンスの実証
進行状況の測定とコンプライアンスの実証方法について説明します。
コンプライアンスの実証
コンプライアンスの実証方法について説明します。
業界標準のレポート
業界標準のレポートについて説明します。
「International Standard ISO 27001」レポート
このレポートには、規格の制御目標に違反している既存 Web アプリケーションのぜい弱性が表示されます。この規格にリストされている制御目標は、ISO 17799 にリストされた制御目標から直接抜粋し、調整を加えたものです。

アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
- ステップ 1: アプリケーション・インベントリーの作成
  アプリケーション・インベントリーの作成方法を説明します。
- ステップ 2: 脆弱性に関するアプリケーションのテスト
  アプリケーション内で特定された脆弱性のテスト方法を説明します。
- ステップ 3: リスクの判別と脆弱性の優先順位付け
  アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
- ステップ 4: リスクの修復
  アプリケーション内で特定されたリスクの修復方法を説明します。
- ステップ 5: 進行状況の測定とコンプライアンスの実証
  進行状況の測定とコンプライアンスの実証方法について説明します。
  - 進行状況の測定
    ポートフォリオを構成するアプリケーションのさまざまなメトリックと傾向を追跡する方法について説明します。
  - コンプライアンスの実証
    コンプライアンスの実証方法について説明します。
    - レポートとしての問題のエクスポート
      カスタマイズされた問題のレポート (PDF、HTML、または XML) を生成し、それを開発者、内部監査員、侵入テスター、管理者、および CISO に送信することができます。AppScan Enterprise のレポート・テンプレートにより、アプリケーション・セキュリティー・データは主な行政規制および業界標準にマップされます。レポートを使用して、コンプライアンスの問題に関連するアプリケーション脆弱性の数の減少の表示など、規制に対するコンプライアンスの目標に向けた進行状況を示します。
    - セキュリティー・レポートのサイズの制限
      セキュリティー・レポートはサイズが大きい場合があります。レポート生成中、ファイルに数百ページの長さがある、あるいはレポートの作成処理がタイムアウトになることを示す警告メッセージが表示される場合があります。レポート・サイズを減らすために、以下のヒントを試してください。
    - コンプライアンス・レポート
      コンプライアンス・レポートについて説明します。
    - 業界標準のレポート
      業界標準のレポートについて説明します。
      - 「International Standard ISO 27001」レポート
        このレポートには、規格の制御目標に違反している既存 Web アプリケーションのぜい弱性が表示されます。この規格にリストされている制御目標は、ISO 17799 にリストされた制御目標から直接抜粋し、調整を加えたものです。
      - 「International Standard ISO 27002」レポート
        このレポートには、規格の制御目標に違反している既存 Web アプリケーションのぜい弱性が表示されます。この規格にリストされている制御目標は、ISO 17799 にリストされた制御目標から直接抜粋し、調整を加えたものです。
      - 「NERC サイバー・セキュリティー標準」レポート
        このレポートには、ユーザーのサイトで検出された NERC サイバー・セキュリティー標準の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - NIST 特別刊行物 800-53 (第 4 版) レポート
        このレポートは、ユーザーのサイトで見つかった NIST 問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - OWASP Top 10 2013 レポート
        このレポートには、ユーザーのサイトで検出された OWASP Top 10 2013 の問題が示されます。
      - SANS/CWE 上位 25 の最も危険なプログラミング・エラー v1.03 レポート
        このレポートには、ユーザーのサイトで検出される SANS/CWE 上位 25 の最も危険なプログラミング・エラーの問題が表示されます。CWE 値によって問題のタイプを突きあわせます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - 「WASC 脅威の分類 v2.0」レポート
        このレポートには、Web サイトで見つかった WASC 脅威の分類に関する問題が示されます。

「International Standard ISO 27001」レポート

このレポートには、規格の制御目標に違反している既存 Web アプリケーションのぜい弱性が表示されます。この規格にリストされている制御目標は、ISO 17799 にリストされた制御目標から直接抜粋し、調整を加えたものです。

問題点

ISO 27001 では、組織全体のビジネス・リスクのコンテキストに応じて文書化された ISMS について、設定、実装、操作、監視、レビュー、維持、および改善の要件が指定されています。この規格で定められた要件は汎用であり、タイプ、サイズ、および性質に関わらず、すべての組織に適用できるよう意図されています。