ホーム
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
ステップ 2: 脆弱性に関するアプリケーションのテスト
アプリケーション内で特定された脆弱性のテスト方法を説明します。
内部またはサード・パーティー・スキャナーからの問題のインポート
内部またはサード・パーティー・スキャナーから問題をインポートする方法について説明します。
別の DAST AppScan Enterprise インスタンスからの問題のインポート
別の AppScan Enterprise インスタンスから DAST 問題をインポートして、トリアージできるようにします。

アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
- ステップ 1: アプリケーション・インベントリーの作成
  アプリケーション・インベントリーの作成方法を説明します。
- ステップ 2: 脆弱性に関するアプリケーションのテスト
  アプリケーション内で特定された脆弱性のテスト方法を説明します。
  - 内部またはサード・パーティー・スキャナーからの問題のインポート
    内部またはサード・パーティー・スキャナーから問題をインポートする方法について説明します。
    - 問題属性
      この表は、AppScan Enterprise で事前定義されているいくつかの問題属性について説明しています。
    - 問題プロファイル・テンプレートの作成
      製品管理者の場合、問題プロファイル・テンプレート用にカスタマイズした属性を作成することができます。これらのカスタマイズされた属性は、新しい問題がインポートされるたびに使用されます。
    - サード・パーティー・スキャナーの作成
      AppScan Enterprise では、トリアージのために問題をポートフォリオにインポートする複数の方法を提供しています。
    - インポートのための CSV ファイルの準備
      問題の CSV ファイルは、問題が正常にインポートされるように、正しく構成されている必要があります。
    - 内部またはサード・パーティー・スキャナーからの問題のインポート
      内部またはサード・パーティー・スキャナー、あるいは手動ペン・テストから問題をインポートすることで、それらの問題をトリアージすることが可能になります。これらの問題は「新規」としてマークされるため、対応する必要がある問題のリストで容易に識別できます。
    - 別の DAST AppScan Enterprise インスタンスからの問題のインポート
      別の AppScan Enterprise インスタンスから DAST 問題をインポートして、トリアージできるようにします。
    - AppScan Standard からエクスポートされたレポートからの問題のインポート
      AppScan® Standard v9.0.3 から問題をインポートして、トリアージできるようにします。これらの問題は「新規」としてマークされるため、トリアージする必要がある問題のリストで容易に識別できます。
  - スキャン作成のシナリオ
    これらのシナリオは、開発者とセキュリティー・チームを対象としています。ご使用状態に最も適合するユーザーの役割を使用してください。
  - ジョブの実行およびスケジューリング
    AppScan Enterprise でジョブを実行する方法とスケジュールする方法について説明します。
  - 2 つの Enterprise Console 間でのスキャンのコピー
    スキャン・プロパティーをエクスポートし、それらのプロパティーに基づいて新規スキャンを作成します。これは、2 つの Enterprise Console のインスタンス間でスキャンをコピーするために使用する方法です。
  - ジョブの停止と再開
    実行中のジョブを停止するために使用できる方法は 3 つあります。各方法を使用する理由はそれぞれ異なりますが、大きな要因は、データを保持するかどうか、またはジョブを停止した時点から実行を続行するかどうかです。中断状態のジョブを再開して、スキャンが停止した場所から続行できます。再開したジョブは、使用可能なエージェント・サーバー上にある次のフリー・エージェントによって処理されます。
- ステップ 3: リスクの判別と脆弱性の優先順位付け
  アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
- ステップ 4: リスクの修復
  アプリケーション内で特定されたリスクの修復方法を説明します。
- ステップ 5: 進行状況の測定とコンプライアンスの実証
  進行状況の測定とコンプライアンスの実証方法について説明します。

別の DAST AppScan Enterprise インスタンスからの問題のインポート

別の AppScan Enterprise インスタンスから DAST 問題をインポートして、トリアージできるようにします。

手順

AppScan Enterprise の最初のインスタンスで、アプリケーションに移動し、セキュリティー・レポートの問題を XML ファイルにエクスポートします。詳しくは、レポートとしての問題のエクスポートを参照してください。

注: インポートにすべての問題の詳細を含めるには、セキュリティー問題をエクスポートするときに、「レポートに含めるコンテンツの選択」ダイアログ・ボックスの適切なチェックボックスをオンにしていることを確認してください。
AppScan Enterprise の 2 番目のインスタンスで、次のようにして XML ファイルをインポートします。
1. 「モニター」ビューの「アプリケーション」タブで、「問題のインポート」をクリックします。
  
  注: AppScan Enterprise は、DAST 問題のインポートのみをサポートします。
2. スキャンを作成するか、既存のスキャンを使用します。AppScan Enterprise スキャナーを選択し、ウィザードの指示に従ってプロセスを完了します。
3. ログ・ファイルを調べて、問題がインポートされていないかどうかを調査します。
  注:
  - 属性が問題の固有性に寄与する場合、ファイルでその属性にエラーがあると、問題はインポートされません。
  - 属性が問題の固有性に寄与しない場合、その属性にエラーがあると、以下の動作がインポート・ログ・ファイルに記録されます。
    
    ドロップダウン属性の場合、AppScan Enterprise は、エラーを、スキャナー・プロファイルで指定されているデフォルト値に置き換えて、問題をインポートします。
    
    その他すべての属性タイプの場合、AppScan Enterprise は、エラーがある属性値をインポートしませんが、問題はインポートします。