アプリケーション脆弱性算出を作成する

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • アプリケーション脆弱性算出は、特定の基準が満たされたときにターゲットフィールドを計算するために事前定義された式です。アプリケーション脆弱性一致アイテム (AVI) の [リスクスコア] を計算する算出には、[リスクルール] を含めることができます。リスク計算により、修復の優先順位を決めるヒントが得られます。

    始める前に

    必要なロール:アプリセキュリティマネージャーグループ

    注:
    スクリプトを含むアプリケーション脆弱性算出を実行すると、パフォーマンスの低下を感じることがあります。

    最も単純なルールが最初に実行されるようにルールを並べ替えてください。条件とテンプレート値またはリスクルールで処理できないアイテムに対してのみ、スクリプトを実行します。

    手順

    1. 移動先 すべて > アプリケーション脆弱性対応 > 管理 > 脆弱性の算出.
    2. [新規] をクリックします。
    3. 必要に応じて、フォームのフィールドに入力します。
      表 : 1. 脆弱性算出フォーム
      フィールド 説明
      名前 アプリケーション脆弱性算出の名前。
      テーブル AVI テーブルの名前が自動入力されます。
      アプリケーション 脆弱性対応 が自動入力されます。
      ターゲットフィールド 計算するためのフィールド。
      説明 算出のテキスト説明。
      有効 算出をオンまたはオフにします。
    4. ヘッダーを右クリックして、[保存] を選択します。
      [脆弱性算出ルール] セクションが表示されます。
    5. [新規] をクリックして、算出ルールを作成します。
      注:
      [新しいリスクルール] フォーム ([ターゲットフィールド][リスクスコア] の場合にのみ使用可能) については、ステップ 10 を参照してください。
    6. 必要に応じてフィールドに入力します。
      表 : 2. [脆弱性算出ルール] フォーム
      フィールド 説明
      名前 算出ルールの名前。
      順序 脆弱性算出を実行する順序。順序エントリーが 100 の算出は、順序エントリーが 200 の算出の前に実行されます。
      算出 算出の親が自動入力されます。
      有効 デフォルトでは、[アクティブ] チェックボックスがオンになっています。これは、算出ルールがアクティブであることを意味します。このチェックボックスをオフにすると、システムに作成された新しい脆弱性一致アイテムにこのルールは適用されません。
      詳細表示 選択すると、[条件タイプ][値タイプ] から、スクリプト化された条件とスクリプト値を選択できます。
    7. 必要に応じて、[この条件を満たしている場合] タブのフィールドに入力します。
      表 : 3. [この条件を満たしている場合] タブ
      フィールド 説明
      条件タイプ [詳細ビュー (Advanced view)] を選択すると使用できます。次の選択肢があります。
      • フィルター:フィルター条件を使用します。
      • フィルターグループ:「フィルターグループの作成と定義 (create and define filter groups)」を参照して、算出基準を定義します。
      • スクリプト:この算出を適用するタイミングを決定するために使用されるスクリプト条件。
        注:
        算出を適用するタイミングを決定するスクリプトを記述する前に、[アプリケーション脆弱性算出] リストに戻ります。ベースシステムに付属している脆弱性算出レコードを確認します。
      条件 算出を使用するかどうかを決めるための基本的なフィルター条件を定義します。

      [フィルターグループ] または [スクリプト] の条件タイプのいずれかを選択すると、このフィールドは非表示になります。
    8. [これらの値を設定 (Set these values)] タブをクリックし、必要に応じて、フォームのフィールドに入力します。
      表 : 4. [これらのフィールドを設定 (Set these fields tab)] タブ
      フィールド 説明
      値のタイプ [詳細ビュー (Advanced view)] を選択すると使用できます。次の選択肢があります。
      • テンプレート:各フィールドに設定する値を定義します。
      • スクリプト:各フィールドの値を設定するために使用します。
      スクリプト値 [スクリプト] の値タイプを選択した場合に使用できます。

      計算を適用する値を定義します。
      テンプレート 算出に使用するフィールドと値を選択します。

      [スクリプト] 値タイプのいずれかを選択すると、このフィールドは非表示になります。
    9. すべての入力が完了したら、[送信] をクリックします。
      注:
      既存の算出を編集し、既存のすべてのスコアを更新する場合は、 [算出を再適用] ボタンを使用できます。すべてのアクティブな AVI を処理し、その算出を使用して値を設定する場合は、それらの AVI の値を再計算します。算出の再適用には時間がかかるため、スケジュール済みジョブで処理されます。
    10. 必要に応じて、[新しいリスクルール] フォームのフィールドに入力します。

      その値から取得されるべき結果の割合に従って、各重み付けを設定します。スキャナーで提供されないデータ、またはリスクスコアに含めるべきでないデータについては、重み付けをゼロに設定します。

      重み付けを更新すると、残りの重み付けと想定される [リスクスコア] の結果がシナリオに表示されます。

      フィールド 説明
      名前 算出ルールの名前。
      順序 算出を実行する順序。順序エントリーが 100 の算出は、順序エントリーが 200 の算出の前に実行されます。
      算出 算出の親が自動入力されます。
      有効 デフォルトでは、[アクティブ] チェックボックスがオンになっています。これは、算出ルールがアクティブであることを意味します。このチェックボックスをオフにすると、システムに作成された新しい脆弱性一致アイテムにこのルールは適用されません。
      条件 算出を使用するかどうかを決めるための基本的なフィルター条件を定義します。

      [フィルターグループ] または [スクリプト] の条件タイプのいずれかを選択すると、このフィールドは非表示になります。
      重み付け
      脆弱性重大度 重大度に基づく結果の割合。
      OWASP 上位 10 件 OWASP 上位 10 件のリストに脆弱性が存在することに起因する結果の割合。この情報が脆弱性に存在しない場合は、重み付けをゼロに設定します。
      SANS 上位 25 位 SANS 上位 25 位のリストに脆弱性が存在することに起因する結果の割合。この情報が脆弱性に存在しない場合は、重み付けをゼロに設定します。
      現在までの累計 自動計算された割合の合計。この値が 100 に達すると、シナリオのプレビューにさまざまなシナリオのサンプルリスクスコアが表示されます。
      サンプルシナリオ すべての重み付けの合計が 100% になると、リスクスコアのシナリオが表示され、考えられる一部のシナリオでリスクスコアのプレビューが示されます。
      脆弱性リスクルールの例
    11. [送信] をクリックします。