アプリケーション脆弱性対応 の構成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • 確実に構成を実行できるように、構成の前に次のセットアップ手順を実行します。

    始める前に

    セットアップタスク 説明
    脆弱性対応 アプリケーションがインストールされ、アクティブ化されていることを確認します。

    アクティブ化されていることを確認するには、 サブスクリプション管理 > サブスクリプション インスタンス内にありますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応 のインストール」を参照してください。
    アプリケーション脆弱性対応 レポートを表示するために、脆弱性対応のパフォーマンスアナリティクス がインストールされ、アクティブ化されていることを確認します。

    アクティブ化されていることを確認するには、 サブスクリプション管理 > サブスクリプション インスタンス内にありますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応のパフォーマンスアナリティクス [PA] アプリケーションのインストールと構成」を参照してください。
    Veracode 脆弱性統合 がインストールされ、アクティブ化され、設定されていることを確認します。(この時点では統合を実行しないでください。)

    アクティブ化されていることを確認するには、 サブスクリプション管理 > サブスクリプション インスタンス内にありますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「ServiceNow Vulnerability Response Integration with Veracode のインストール」を参照してください。
    脆弱性対応 で CWE 2000 統合が実行されていることを確認します。 統合を確認するには、「NVD レコードの更新を行うスケジュール済みジョブが実行されていることを確認する」を参照してください。
    [オプション] 脆弱性対応 で NVD 統合が実行されていることを確認します。 確認するには、「CWE レコードの更新を行うスケジュール済みジョブが実行されていることを確認する」を参照してください。
    インスタンスに必要な ServiceNow ロールがあることを確認します。 インストール、構成、および予想される結果の検証には、次のロールが必要です。
    • まだアサインされていない場合、admin ロールを持つユーザーはアプリケーションをインストールして、ユーザーをアプリセキュリティマネージャー、セキュリティチャンピオン、および開発者のユーザーグループにアサインします。グループロールの詳細については、「アプリケーション脆弱性対応 のユーザーロールおよびロール」を参照してください。
    • アプリセキュリティマネージャーグループは構成を監督し、期待される結果を検証します。
      注:
      アプリケーション脆弱性対応 構成は、脆弱性対応 のセットアップアシスタント機能からは利用できません。
    必要なロール:アプリセキュリティマネージャーユーザーグループ

    手順

    1. 移動先 セキュリティオペレーション > CMDB > ルックアップルール.
      自分の環境に対する CI ルックアップルールを作成または変更するには、「CI ルックアップルールを作成する」を参照してください。
    2. 移動先 アプリケーション脆弱性対応 > アドミニストレーション.
    3. [アサインルール] を選択します。
      自分の環境に対するアプリケーションアサインルールを作成または変更するには、「アプリケーション脆弱性対応 アサインルールの作成または編集」を参照してください。
    4. [脆弱性算出] を選択します。
      自分の環境に対するアプリケーション脆弱性算出を作成または変更するには、「アプリケーション脆弱性対応 のリスクを自動的に計算する」を参照してください。
    5. [修復ターゲットルール] を選択します。
      自分の環境に対するアプリケーション修復ターゲットを作成または変更するには、「アプリケーション修復ターゲットルールの作成または編集」を参照してください。
    6. [正規化された重大度マップ] を選択します。
      自分の環境に対する重大度マップを作成または変更するには、「アプリケーション脆弱性一致アイテムの重大度を自動的にマッピングする」を参照してください。
    7. 次のいずれかに移動します。 Veracode 脆弱性統合 > 統合 または Fortify 脆弱性統合 > 統合.
    8. Veracode アプリケーションリスト統合または Fortify オンデマンドアプリケーションリスト統合を開きます。
    9. まだ実行していない場合は、[今すぐ実行] を選択します。
      注:
      他の Veracode または Fortify 統合はデフォルトで非アクティブになっています。
      統合実行状況については、「Veracode アプリケーション脆弱性統合のインポート実行状況の表示」または「Fortify 脆弱性統合 インポート実行状況の表示」を参照してください。
    10. Veracode または Fortify オンデマンドアプリケーションリスト統合の実行が完了したら、 アプリケーション脆弱性対応 > アドミニストレーション > アプリケーション.
    11. アプリケーションごとに、[サポートグループ] (アサインルールで使用) と [部門] (レポートで使用) の値を入力します。
      複数のエントリーを更新するには、「Edit multiple records in a list using the list editor (リストエディターを使用してリスト内の複数のレコードを編集)」を参照し、タスクを一括で完了します。
      注:
      自動更新された [事業部門] を表示するには、ページをリフレッシュします。[スキャン済みアプリケーション] フォームフィールドについては、「スキャン済みアプリケーションファイル」を参照してください。
    12. 統合リストに戻り、他の Veracode または Fortify の統合をアクティブ化します。
      デルタデータ統合インポートを設定するには、「アプリケーション脆弱性対応 統合のアクティブ化」を参照してください。

      Veracode および Fortify の統合は連結されており、アクティブ化すると連続して実行されます。

    13. オプション: 移動先 アプリケーション脆弱性対応 > アドミニストレーション > アサインルール.
      1. オプション: 事前にアサインルールを作成または編集するときに、[ユーザーグループフィールド][構成アイテム:サポートグループ] を選択した場合、 [スキャン済みアプリケーション] リストビューに追加した値を使用できるようになります。
        アサインルールが編集されます。
      2. [更新] を選択します。
      3. [脆弱性アサインルール] リストビューで、[変更を適用 (Apply Changes)] を選択して AVI にアサインルールを再適用します。

    タスクの結果

    これで、アプリケーション脆弱性対応 構成が完了しました。

    次のタスク

    移動先 アプリケーション脆弱性対応 > 概要 および アプリケーション脆弱性管理 (PA) ダッシュボード で全体的なセキュリティ体制に関する情報を確認してください。