アプリケーション・セキュリティーの管理のワークフロー例

これらのワークフロー例は、アプリケーションの管理をどのように開始することができるかを説明しています。これは、ユーザーが初めて AppScan® Enterprise を使用するのか、あるいは既存のスキャンを新規のアプリケーションに関連付けたいのかによって異なります。ニーズに最適な例を選択するか、これらの例の一部を基にして独自のワークフローを作成します。

アプリケーションおよびスキャンの作成

AppScan Enterprise の新規ユーザーまたは現行ユーザーであり、既存のスキャンを移行しない場合、新規アプリケーションと新規スキャンを作成することができます。

手順

  1. アプリケーション・プロファイルを設定します。
    1. 事前定義された属性のうち、組織に関係ないものを削除します。
    2. アプリケーションについて記述した属性を作成します。
  2. リスクを定義する数式を作成します。
    1. 事前定義された数式が組織に適しているかを検証します。
    2. ビジネス・リスクの解釈を反映した数式を作成します。
  3. アプリケーションを作成します。アプリケーションを既に .csv ファイルにトラッキングしている場合は、それをインポートします。
  4. アプリケーション用の許可をユーザーに割り当てます。
  5. アプリケーション用のスキャンを作成するか、サード・パーティー・スキャナーから問題をインポートします。
  6. アプリケーションの問題について問題のトリアージを行います。
  7. 検出されたセキュリティーの問題を解決します。
  8. アプリケーションのセキュリティー上のリスクを評価します。

アプリケーション・ビューへの既存のスキャンの移行

この移行プロセスは、保守を行ったり、不要なスキャンを削除したりする機会となります。AppScan® Enterprise を使用しているお客様の場合、「フォルダー・エクスプローラー」ビューに表示されるスキャンおよびフォルダーは、ビジネス・ユニット、アプリケーション、あるいは地域ごとに編成されている可能性があります。このタイプの構成では、すべての関連スキャンが既に論理的にグループ化されているため、「モニター」ビューが使いやすくなります。

このタスクについて

アプリケーションとフォルダーは構造的に関連していないことを理解することが重要です。アプリケーションをフォルダー内に作成しているわけではありません。フォルダーにグループ化されているスキャンを開始点として使用して、「モニター」ビューでアプリケーションを作成します。

手順

  1. 「フォルダー・エクスプローラー」ビューで各フォルダーに対して以下のステップを実行し、既存のスキャンおよびフォルダー構成のインベントリーを取得します。
    1. 各スキャンを確認し、アプリケーションの全範囲をカバーしていることを確認します。
    2. 関連がなくなったスキャンを削除します。
    3. カバーされていない Web サイトの領域を識別し、スキャンを作成できるようにします。
  2. アプリケーション・プロファイルを設定します。
    1. 事前定義された属性のうち、組織に関係ないものを削除します。
    2. アプリケーションについて記述した属性を作成します。
  3. リスクを定義する数式を作成します。
    1. 事前定義された数式が組織に適しているかを検証します。
    2. ビジネス・リスクの解釈を反映した数式を作成します。
  4. アプリケーション・リストをエクスポートします。エクスポートされた CSV ファイルには、アプリケーション属性列見出しの行が含まれます。ファイルにアプリケーションの詳細を追加することで、ファイルをインポートしたときに同時に複数のアプリケーションを作成できるようになります。
  5. .csv ファイルをインポートします。
  6. 最初のフォルダーのアプリケーションを作成します。
  7. 複数のスキャン・ジョブを選択および追加することで、既存のスキャンをアプリケーションに関連付けます。この方法では、特に多数のスキャンを処理する必要がある場合に、スキャンを個別に関連付ける作業を行う必要がなくなります。
    ヒント: すべてのスキャンを確認するには、階層をフラット化することを検討してください。階層内に多数のスキャンがある場合は、パフォーマンスに影響する可能性があります。
  8. 各アプリケーションについて、特定の属性を編集し、ビジネスへの影響を検討します。各属性に対する情報をまだ持ち合わせていない場合は、メモしておき、後で戻ってやり直します。
  9. 各アプリケーションに対してユーザー・アクセス制御を付与します。