脆弱性対応アプリケーションの実装チェックリスト

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む9読むのに数分

このチェックリストには、Now Platform® インスタンスでの脆弱性対応アプリケーションの基本的な実装に必要な手順が記載されています。こうしたタスクを完了すると、ベースシステムの運用と検証の準備が整います。

始める前に

必要なロール：アプリケーションのダウンロードとアクティブ化、およびロールのアサインを行う場合は admin、脆弱性対応を構成する場合は sn_vul.vulnerability_admin。

手順

完了したらタスクをチェックできるように、このチェックリストの PDF を作成して印刷することを検討してください。

PDF を生成するには、トピックの上部にある [PDF として保存 (Save As PDF)] アイコン (

) をクリックし、[選択したトピック (Selected topic)] をクリックします。

表 : 1. 管理者の脆弱性対応基本実装チェックリストタスク
アイテム	説明
	admin ロールを持つユーザーとして、エンタイトルメントを取得し、ServiceNow® Store から Now Platform インスタンスに以下のアプリケーションをダウンロード (インストール) していることを確認します。脆弱性対応 NIST National Vulnerability Database との脆弱性対応統合 Qualys Integration for Security Operations インスタンスでアプリケーションが使用可能であることを確認するには、次に移動しますすべて > システムアプリケーション > 利用可能なすべてのアプリケーション > すべてをクリックし、[sn_vul]、[sn_vul_nvd]、および [sn_vul_qualys] を検索します。アプリケーションが見つからない場合、アプリケーションのエンタイトルメントの取得とダウンロードの詳細については、「Security Operations および ServiceNow Store」を参照してください。
	admin ロールを持つユーザーとして、次の操作を実行します。すべて > Vulnerability Response > アドミニストレーション > セットアップアシスタント > 統合アプリケーションのインストールアプリケーションをインスタンスへのNow Platform依存関係とともにアクティブ化 (インストール) 脆弱性対応します。注: 脆弱性対応アプリケーションのインストール中に、デモデータをインストールするオプションがあります。インストール後に自動テストを実行してインスタンスが機能することを確認する場合は、デモデータが必要です。データの破損や機能停止を避けるため、テストは、開発、テスト、およびその他の非本番インスタンスでのみ実行してください。デモデータやデモアカウントが作成されている場合は、非本番環境または本番環境でインスタンスを使用する前に、すべてのデモデータを削除する必要があります。脆弱性対応のセットアップアシスタントは、アプリケーションとともに自動的にインストールされます。脆弱性対応アプリケーションを構成するには、セットアップアシスタントが必要です。さらにセットアップアシスタントは、この例で使用されている Qualys Integration for Security Operations アプリケーション、およびそのほかに脆弱性対応をサポートするアプリケーションや、それと互換性のあるアプリケーションのインストールと構成にも使用されます。脆弱性対応アプリケーションのインストールの詳細については、「脆弱性対応のインストール」を参照してください。
	admin ロールを持つユーザーとして、セットアップアシスタントで次の場所に移動します。すべて > Vulnerability Response ユーザーおよびグループを行い、必要な脆弱性対応ペルソナロールをユーザーにアサインします。セットアップアシスタント内から、[ユーザー管理モジュール] リンクをクリックして、既存のユーザーと既にアサインされているロールを表示します。リストからユーザー名をクリックしてレコードを開き、[ロール] 関連リストをクリックします。このユーザーにアサインされているすべてのロールが表示されます。次に戻ります。 Vulnerability Response ユーザーおよびグループをクリックし、プロンプトに従って sn_vul.vulnerability_admin ロールをアサインします。注: 構成を続行するには、sn_vul.vulnerability_admin ロールが必要です。または、admin ロールを持つユーザーとして構成を続行することもできます。 (オプション) 構成アイテム (CI) マネージャー [sn_vul.ci_manager] および例外承認者 [sn_vul.exception_approver] ロールをアサインすることもできますが、これらのペルソナは残りのセットアップタスクには必要ありません。セットアップアシスタントを使用したペルソナロールのアサインの詳細については、「セットアップアシスタントを使用した脆弱性対応ペルソナロールのアサイン」を参照してください。ユーザーの詳細、およびユーザーとグループへのロールのアサインの詳細については、「ユーザー管理」を参照してください。
	移動先すべて > アドミニストレーション > 統合 CWE Comprehensive 2000 Integration が有効になっていることを確認し、スケジュール設定済みジョブを実行してデータをインポートします。 admin ロールを持つユーザーとして、次の場所に移動します。システムアプリケーション > 利用可能なすべてのアプリケーション Vulnerability Response Integration with NVD アプリケーションをアクティブ化 (インストール) します。 NVD および CWE 統合は、脆弱性対応の初期設定の一部として、サードパーティのスキャナー製品を使用してインスタンスに脆弱性データをインポートする前に実行します。 NVD および CWE ライブラリのインストール、構成、および表示に関する詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」および「CWE レコードの更新のためのジョブスケジュールの構成および実行」を参照してください。
	admin ロールを持つユーザーとして、次の操作を実行します。すべて > Vulnerability Response > アドミニストレーション > セットアップアシスタント > 統合アプリケーションのインストール Integration for Security Operations アプリケーションをアクティブ化します Qualys 。ライブラリのある Qualys などのサードパーティスキャナー製品をインストールして実行する前に、まず NVD と CWE の統合をインストールして実行し、脆弱性データを取り込む必要があります。詳細については、「セットアップアシスタントを使用した脆弱性対応サードパーティアプリケーションのインストール」を参照してください。
	(オプション) admin ロールを持つユーザーは、脆弱性対応アプリケーションを使用してデモデータをインストールした場合、脆弱性対応 ATF テストスイートを実行して、アプリケーションが正常にインストールされていることを確認できます。注: データの破損や機能停止を避けるため、テストは、開発、テスト、およびその他の非本番インスタンスでのみ実行してください。詳細については、「脆弱性対応の Automated Test Framework (ATF) テストスイートの実行」を参照してください。自動テストの詳細については、「Automated Test Framework (ATF)」を参照してください。

[Vulnerability Response 設定] セクションで開始するアプリケーションの構成を続行します。

これらの設定を確認すると、環境の設定を続行する際の脆弱性対応の仕組みを理解しやすくなります。この例で使用するスキャナー統合の場合は、設定を編集する必要があります。

この構成例で使用する、Qualys 製品の概念は、他のスキャナーアプリケーションにも適用されます。

アプリケーションを構成するには、Qualys の資格情報が必要です。Qualys 製品にアクセスするために必要なアカウント名、パスワード、およびその他のサービス情報があることを確認します。

必要なロール：sn_vul.vulnerability_admin、または admin。

表 : 2. 脆弱性管理者の脆弱性対応基本実装チェックリストタスク
タスク	説明
	脆弱性アサインルールを確認します。アサインルールにより、脆弱性一致アイテム (VI) は適切なアサイン先グループに自動的にアサインされます。詳細については、「脆弱性対応アサインルールの概要」を参照してください。セットアップアシスタントを使用した脆弱性対応の構成の詳細については、「セットアップアシスタントを使用した脆弱性対応の構成」を参照してください。
	修復タスクルールを確認します。修復タスクルールにより、脆弱性一致アイテム (VI) は特定の条件に基づいてインポートされると、自動的にグループ化されます。詳細については、「脆弱性対応修復タスクとタスクルールの概要」を参照してください。
	リスク算出を確認します。リスク算出では、優先順位付けのために脆弱性一致アイテムのスコアを付けます。構成アイテム (CI) の特性、エクスプロイトの可用性、および脆弱性アセスメント (スキャナー) ベンダーによって報告された脆弱性の重大度を組み込むように算出を構成できます。詳細については、「脆弱性対応の算出と脆弱性算出ルール」を参照してください。
	修復ターゲットルールを確認します。修復ターゲットルールでは、VI および修復タスクの修正タイムラインを定義します。詳細については、「脆弱性対応の修復ターゲットルール」を参照してください。
	[統合構成] セクションで、Qualys アプリケーション設定を確認し、データインポートを定義してスケジュールします。 [スキャナー統合] をクリックします。 [インストール済みアプリケーション] ページで、[編集] をクリックします。資格情報を入力し、[次へ] をクリックします。ナレッジベース設定の説明を読みます。 [ホスト検出設定] ページの [設定をインポート]、[CI ルックアップルール]、および [スケジュールをインポート] を確認します。このページの設定に問題がなければ、[今すぐ実行] をクリックしてデータをインポートします。表示される [詳細を表示] リンクをクリックして、脆弱性統合実行のステータスを表示します。 (オプション) 構成設定の編集を続行します。 [完了] をクリックして、セットアップアシスタントでのインストールと構成を完了します。 Qualys アプリケーションの構成の詳細については、「セットアップアシスタントを使用した Qualys Vulnerability Integrationの構成」を参照してください。

次のタスク

おめでとうございます! セットアップアシスタントを使用して脆弱性対応アプリケーションが正常にインストールされ、スキャナーアプリケーションとともに構成されました。これで、ベースシステムの運用準備が整いました。

脆弱性対応の他のアプリケーションをダウンロード、インストール、および構成するには、前のチェックリストで実行した同じ手順と概念に従います。詳細については、各アプリケーションに用意されている個々のトピックを参照してください。

脆弱性対応向けに ServiceNow Store から入手できる、サポートされているアプリケーションの詳細については、「脆弱性対応およびサポートされているアプリケーションのインストール」を参照してください。

脆弱性対応の使用方法の詳細については、「アプリケーションの探索脆弱性対応」を参照してください。

アイテム	説明
	admin ロールを持つユーザーとして、エンタイトルメントを取得し、ServiceNow® Store から Now Platform インスタンスに以下のアプリケーションをダウンロード (インストール) していることを確認します。脆弱性対応 NIST National Vulnerability Database との脆弱性対応統合 Qualys Integration for Security Operations インスタンスでアプリケーションが使用可能であることを確認するには、次に移動しますすべて > システムアプリケーション > 利用可能なすべてのアプリケーション > すべてをクリックし、[sn_vul]、[sn_vul_nvd]、および [sn_vul_qualys] を検索します。アプリケーションが見つからない場合、アプリケーションのエンタイトルメントの取得とダウンロードの詳細については、「Security Operations および ServiceNow Store」を参照してください。
	admin ロールを持つユーザーとして、次の操作を実行します。すべて > Vulnerability Response > アドミニストレーション > セットアップアシスタント > 統合アプリケーションのインストールアプリケーションをインスタンスへのNow Platform依存関係とともにアクティブ化 (インストール) 脆弱性対応します。注: 脆弱性対応アプリケーションのインストール中に、デモデータをインストールするオプションがあります。インストール後に自動テストを実行してインスタンスが機能することを確認する場合は、デモデータが必要です。データの破損や機能停止を避けるため、テストは、開発、テスト、およびその他の非本番インスタンスでのみ実行してください。デモデータやデモアカウントが作成されている場合は、非本番環境または本番環境でインスタンスを使用する前に、すべてのデモデータを削除する必要があります。脆弱性対応のセットアップアシスタントは、アプリケーションとともに自動的にインストールされます。脆弱性対応アプリケーションを構成するには、セットアップアシスタントが必要です。さらにセットアップアシスタントは、この例で使用されている Qualys Integration for Security Operations アプリケーション、およびそのほかに脆弱性対応をサポートするアプリケーションや、それと互換性のあるアプリケーションのインストールと構成にも使用されます。脆弱性対応アプリケーションのインストールの詳細については、「脆弱性対応のインストール」を参照してください。
	admin ロールを持つユーザーとして、セットアップアシスタントで次の場所に移動します。すべて > Vulnerability Response ユーザーおよびグループを行い、必要な脆弱性対応ペルソナロールをユーザーにアサインします。セットアップアシスタント内から、[ユーザー管理モジュール] リンクをクリックして、既存のユーザーと既にアサインされているロールを表示します。リストからユーザー名をクリックしてレコードを開き、[ロール] 関連リストをクリックします。このユーザーにアサインされているすべてのロールが表示されます。次に戻ります。 Vulnerability Response ユーザーおよびグループをクリックし、プロンプトに従って sn_vul.vulnerability_admin ロールをアサインします。注: 構成を続行するには、sn_vul.vulnerability_admin ロールが必要です。または、admin ロールを持つユーザーとして構成を続行することもできます。 (オプション) 構成アイテム (CI) マネージャー [sn_vul.ci_manager] および例外承認者 [sn_vul.exception_approver] ロールをアサインすることもできますが、これらのペルソナは残りのセットアップタスクには必要ありません。セットアップアシスタントを使用したペルソナロールのアサインの詳細については、「セットアップアシスタントを使用した脆弱性対応ペルソナロールのアサイン」を参照してください。ユーザーの詳細、およびユーザーとグループへのロールのアサインの詳細については、「ユーザー管理」を参照してください。
	移動先すべて > アドミニストレーション > 統合 CWE Comprehensive 2000 Integration が有効になっていることを確認し、スケジュール設定済みジョブを実行してデータをインポートします。 admin ロールを持つユーザーとして、次の場所に移動します。システムアプリケーション > 利用可能なすべてのアプリケーション Vulnerability Response Integration with NVD アプリケーションをアクティブ化 (インストール) します。 NVD および CWE 統合は、脆弱性対応の初期設定の一部として、サードパーティのスキャナー製品を使用してインスタンスに脆弱性データをインポートする前に実行します。 NVD および CWE ライブラリのインストール、構成、および表示に関する詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」および「CWE レコードの更新のためのジョブスケジュールの構成および実行」を参照してください。
	admin ロールを持つユーザーとして、次の操作を実行します。すべて > Vulnerability Response > アドミニストレーション > セットアップアシスタント > 統合アプリケーションのインストール Integration for Security Operations アプリケーションをアクティブ化します Qualys 。ライブラリのある Qualys などのサードパーティスキャナー製品をインストールして実行する前に、まず NVD と CWE の統合をインストールして実行し、脆弱性データを取り込む必要があります。詳細については、「セットアップアシスタントを使用した脆弱性対応サードパーティアプリケーションのインストール」を参照してください。
	(オプション) admin ロールを持つユーザーは、脆弱性対応アプリケーションを使用してデモデータをインストールした場合、脆弱性対応 ATF テストスイートを実行して、アプリケーションが正常にインストールされていることを確認できます。注: データの破損や機能停止を避けるため、テストは、開発、テスト、およびその他の非本番インスタンスでのみ実行してください。詳細については、「脆弱性対応の Automated Test Framework (ATF) テストスイートの実行」を参照してください。自動テストの詳細については、「Automated Test Framework (ATF)」を参照してください。

タスク	説明
	脆弱性アサインルールを確認します。アサインルールにより、脆弱性一致アイテム (VI) は適切なアサイン先グループに自動的にアサインされます。詳細については、「脆弱性対応アサインルールの概要」を参照してください。セットアップアシスタントを使用した脆弱性対応の構成の詳細については、「セットアップアシスタントを使用した脆弱性対応の構成」を参照してください。
	修復タスクルールを確認します。修復タスクルールにより、脆弱性一致アイテム (VI) は特定の条件に基づいてインポートされると、自動的にグループ化されます。詳細については、「脆弱性対応修復タスクとタスクルールの概要」を参照してください。
	リスク算出を確認します。リスク算出では、優先順位付けのために脆弱性一致アイテムのスコアを付けます。構成アイテム (CI) の特性、エクスプロイトの可用性、および脆弱性アセスメント (スキャナー) ベンダーによって報告された脆弱性の重大度を組み込むように算出を構成できます。詳細については、「脆弱性対応の算出と脆弱性算出ルール」を参照してください。
	修復ターゲットルールを確認します。修復ターゲットルールでは、VI および修復タスクの修正タイムラインを定義します。詳細については、「脆弱性対応の修復ターゲットルール」を参照してください。
	[統合構成] セクションで、Qualys アプリケーション設定を確認し、データインポートを定義してスケジュールします。 [スキャナー統合] をクリックします。 [インストール済みアプリケーション] ページで、[編集] をクリックします。資格情報を入力し、[次へ] をクリックします。ナレッジベース設定の説明を読みます。 [ホスト検出設定] ページの [設定をインポート]、[CI ルックアップルール]、および [スケジュールをインポート] を確認します。このページの設定に問題がなければ、[今すぐ実行] をクリックしてデータをインポートします。表示される [詳細を表示] リンクをクリックして、脆弱性統合実行のステータスを表示します。 (オプション) 構成設定の編集を続行します。 [完了] をクリックして、セットアップアシスタントでのインストールと構成を完了します。 Qualys アプリケーションの構成の詳細については、「セットアップアシスタントを使用した Qualys Vulnerability Integrationの構成」を参照してください。

脆弱性対応 アプリケーションの実装チェックリスト

始める前に

手順

次のタスク

脆弱性対応アプリケーションの実装チェックリスト