ペネトレーションテストアセスメント要求の作成 (v19.0 より前)

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • Web アプリケーションまたは API のペネトレーションテストアセスメント要求を開始します。これらの要求は倫理的なハッキングチームに送信され、アプリケーションのテストが続行され、ペネトレーションテスト結果が手動で報告されます。

    始める前に

    必要なロール:アプリケーションセキュリティマネージャー

    このタスクについて

    アプリケーションオーナーは、アプリケーションまたは API を手動でスキャンするために、ペネトレーションテストアセスメント要求を挙げます。倫理的なハッキングチームがアプリケーションをテストし、手動でペネトレーションテスト結果を作成します。これらの結果は、手動で作成されたアプリケーション脆弱性一致アイテム (AVI) です。

    ペネトレーションテスト結果のデフォルトのアサイン先グループは、関連するペネトレーションテストアセスメント要求の [アプリケーションチーム] フィールドで設定されたグループです。ペネトレーションテスト結果のアサインタイプは [手動] です。アサインルールは、これらのペネトレーションテスト結果のアサインを上書きすることはできません。

    v19.0 以降では、ペネトレーションテストアセスメント要求 [sn_vul_pen_test_assessment_request_list] テーブルからペネトレーションテストアセスメント要求を直接作成できます。詳細については、「既存の要求からのペネトレーションテストアセスメント要求の作成 (v19.0 より前)」を参照してください。

    手順

    1. v19.0 より前のバージョンでは、 に移動します。 すべて > セルフサービス > サービスカタログ > サービス > ぺネトレーションテストアセスメント要求.
    2. オプション: または、クローズ済みの要求を複製することで、要求を作成することもできます。
      元の要求のすべての値が保持されます。アクティブなアプリケーション脆弱性一致アイテム (AVI) が新しい要求に自動的にコピーされます。
    3. フォームのフィールドに入力します。
      表 : 1. [ペネトレーションテストアセスメント要求] フォーム
      フィールド 説明
      数値 ペネトレーションテストアセスメント要求に対して生成された一意の識別子。
      要求者 アプリケーションのアセスメントを要求しているユーザー。
      親アセスメント要求 子要求の作成に使用された元のペネトレーションテストアセスメント要求。クローズ済みアセスメント要求を使用して作成されます。子アセスメント要求フォームでのみ表示されます。
      アプリケーション 検索オプションを使用してアプリケーションを選択します。
      アプリケーションタイプ 以下のいずれかのオプションを選択します。
      • Web サービス (v16.1 より前は API)
      • Web アプリケーション
      • 親密なクライアント
      • モバイル ( [モバイル] を選択すると、フォームの下部に [モバイル] タブが追加フィールドとともに表示されます)
      v19.0:アプリケーションサイズ テストするアプリケーションのサイズを選択します。
      • 標準 (サイズが不明な場合はこのオプションを選択します)
      アセスメントタイプ 次からアセスメントタイプを選択します。
      • 完全なペネトレーションテスト
      • 集中テスト
      • 再テスト
      詳細については、「ペネトレーションテストのアセスメントタイプの構成」を参照してください。
      アプリケーションの目的 アプリケーションの機能の説明。
      テクノロジースタック詳細 フロントエンドからバックエンドまで、データベース、および他の重要なテクノロジーに至る完全なテクノロジースタック。
      サードパーティのアプリケーションですか? このアプリケーションがサードパーティベンダーによって所有されているかどうかを確認します。
      アプリケーションからアクセスできる機密データの種類を一覧表示 アプリケーションからアクセスできる機密データの種類を分類します。たとえば、PII データ、PHI データ、およびクレジットカード番号などの財務データです。
      認証タイプ このアプリケーションが LDAP 認証、独自のネイティブ認証、または他の形式の認証を使用するかどうかを指定します。
      アプリケーションはコンプライアンスプログラムの対象ですか? このアプリケーションが PCI などのコンプライアンスプログラムに影響を与えるかどうかを指定します。
      アプリケーションチームの連絡先 倫理的なハッキングチームからの問い合わせの際に連絡先となるアプリケーションチームのメンバー。
      デモの日付 このアプリケーションのデモが可能な日付。
      本番展開の予定日 このアプリケーションを本番環境に展開する予定日。
      展開予定のアプリケーションのバージョン / リリース 本番展開が計画されているアプリケーションのバージョン。
      v19.0:サードパーティベンダーまたは合弁会社が所有するアプリケーション (Application owned by third-party vendor or a joint venture) このフィールドで [はい] を選択すると、[ベンダー/合弁会社情報 (Vendor / Joint Venture Information)] タブが表示され、追加のフィールドが表示されます。

      「条項」という用語は、2 人以上の関係者間に存在する契約を含むテストの標準を指すことがあります。
      状況 要求のステータスに基づいて値を選択します。
      アサイン先グループ ペネトレーションテスト結果で作業するために選択されたグループ。アプリセキュリティマネージャーが手動で追加または編集できます。
      アサイン先 このペネトレーションテスト結果で作業するように選択されたアサイン先グループの個人。アプリセキュリティマネージャーが手動で追加または編集できます。
      スプリント 選択した [アセスメントタイプ] フィールドに基づいて、アセスメント要求に対応できる帯域幅のスプリントを表示します。
      作成済み 要求が作成された日時。
      テスト開始日 テストが開始される日時。
      更新日時 要求が最後に更新された日時。
      テストの詳細
      テストする URL ペネトレーションテストに含める必要がある URL。
      除外する URL ペネトレーションテストから除外する必要がある URL。
      このアプリケーションは以前にテストしましたか? このアプリケーションのペネトレーションテストは実行済みであるかどうかを指定します。
      再テストの理由 アプリケーションのテストが以前に実行済みである場合にペネトレーションテストの再アセスメントを要求する理由。
      アプリケーションをテストしたのはいつですか? アプリケーションのペネトレーションテストの実施期間。
      テストアカウントの詳細 倫理的なハッキングチームがペネトレーションテストに使用できるテストアカウントの詳細。
      アプリケーションロール アプリケーションがサポートするのユーザーのロール。
      最も使用されるロール アプリケーションで最も一般的に使用されるロール。
    4. [送信] を選択します。
      関連するアプリケーションに対して要求が作成されたというメール通知が、倫理的なハッキングチームに送信されます。