アプリケーション脆弱性対応 の詳細

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:10分

    • アプリケーションの脆弱性は、アプリケーションの開発ライフサイクル全体を通じてスキャンされるカスタムソフトウェアアプリケーションの脆弱性です。

    アプリケーション脆弱性対応と利用可能なバージョン

    アプリケーション脆弱性対応 (AVR) は、アプリケーションの脆弱性を処理する脆弱性対応アプリケーションの一部です。

    表 : 1. 利用可能バージョン
    リリースバージョン リリースノート

    脆弱性対応 v23.0

    脆弱性対応 v22.0

    脆弱性対応 v21.0

    脆弱性対応 v20.0

    脆弱性対応 v19.0

    脆弱性対応 v18.2

    		 Application Vulnerability Response release notes

    互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    仕組み

    脆弱性データは、共通脆弱性タイプ一覧 (CWE) やサードパーティの統合など、内部および外部のソースからインポートされます。データはインポート後に、構成管理データベース (CMDB) 内のアプリケーションデータと比較され、アプリケーション脆弱性対応 アプリケーションで処理されます。インポートされたアプリケーション脆弱性データと CMDB 内のデータが一致した場合、アプリケーション脆弱性一致アイテム (AVIT) が作成されます。

    アプリケーション脆弱性対応 には、次の主要な機能が含まれています。
    • サポートされているサードパーティのスキャナーと統合して、脆弱性データをインポートします。
    • アプリケーション脆弱性関連データを比較して、アプリケーション内にアプリケーション脆弱性があるかが判断されます。
    • アプリケーション脆弱性一致アイテム (AVIT) に優先順位を付け、修復し、管理します。各アプリケーション脆弱性は、CWE またはサードパーティライブラリ内の脆弱性エントリーを表します。
    • 脆弱性対応のバージョン 18.0 以降では、Vulnerability Manager ワークスペース および IT 修復ワークスペースの AVIT をそれぞれ監視および修復できます。詳細については、「Vulnerability Manager ワークスペース」と「IT 修復ワークスペース」を参照してください。
    • 計算ツールとライブラリを使用して アプリケーション脆弱性対応 データを関連付けると、次のタスクの実行に役立ちます。
      • [CI ルックアップルール] を使用してアプリケーション脆弱性一致アイテムを自動的に作成します。インポート時に、サードパーティの脆弱性が CWE に関連付けられ、AVIT が作成されます。
      • アサインルールを作成して、アプリケーション脆弱性一致アイテムのアサインを自動化します。
      • 計算ツールのグループを使用して、ビジネスインパクトを判断したり、フィルターを使用してさまざまな条件を指定したり、簡単な計算を適用したり、スクリプトを使用したりします。
      • 今後の修復アクティビティを監視できるように、アプリケーション脆弱性一致アイテムの修復予定期間を定義する修復ターゲットルールを作成します。
    • 単一のサードパーティ脆弱性を複数の CWE エントリーに関連付け、リスクの判断に役立てるために脆弱性に関するプライマリ CWE を見つけます。[プライマリ CWE] の詳細については、「[アプリケーション脆弱性] フィールド」を参照してください。
    • CWE データベースからダウンロードされた CWE レコード、またはサードパーティ統合からインポートされた CWE レコードを参照として使用して、脆弱性をエスカレートする必要があるかどうかを判断します。各 CWE レコードには、脆弱性を説明する関連するナレッジ記事も含まれています。

    アプリケーション脆弱性対応 を使用して、統合から調査、解決までの情報のフローをたどります。

    アプリケーション脆弱性対応フロー

    インポートされた脆弱性データのタイプ

    アプリケーション脆弱性対応 は、次のタイプのインポートされたアプリケーション脆弱性データをサポートしています。
    注:
    v19.0 より前では、SAST、SCA、IAST、およびペネトレーションテストデータは取り込まれなかったため、VeracodeFortifyInvicti 内に表示されるものとアプリケーション脆弱性対応に表示されるものとの間に違いが生じる場合がありました。
    動的アプリケーションセキュリティテスト (DAST)
    DAST スキャンは、アプリケーションに入力を送信し、実行中にその応答を監視することによって、脆弱性アプリケーションを検出します。このアプローチは、外部からの攻撃を模倣する可能性があります。動的スキャンでは、実行中のサービス (URL) の脆弱性がスキャンされます。脆弱性の結果には、検出された脆弱性の URL の場所が含まれています。
    静的アプリケーションセキュリティテスト (SAST)
    SAST スキャンは、保存中のアプリケーションのソースコードを確認し、コードの記述方法の脆弱性を見つけるのに役立ちます。SAST スキャンはコンパイルされていないソースコードに対して行われるため、アプリケーションサービスから独立して存在します。返される結果には、検出された脆弱性のファイルと行番号の場所が含まれます。
    インタラクティブアプリケーションセキュリティテスト (IAST)
    IAST スキャンは、プログラムの実行中にプログラムと対話することにより、ソフトウェアの脆弱性を検出します。人間による観察、自動テスト、およびセンサーを組み合わせて使用し、アプリケーションと対話して脆弱性を特定します。
    ソフトウェア構成分析 (SCA)
    脆弱性対応の v19.0 以降では、ソフトウェア構成分析 (SCA) の脆弱性を取り込むことができます。ソフトウェアアプリケーションで使用されているオープンソースソフトウェアの弱点を特定するのに役立つ SCA 脆弱性データ。
    ペネトレーションテスト
    アプリケーション脆弱性対応でペネトレーションテストアセスメント要求を構成すると、アプリケーションの弱点がどこにあり、その弱点を修正するために何ができるかを理解できるようになります。
    ソフトウェア部品表
    ソフトウェア部品表 (SBOM) データをアップロードして、オープンソースコンポーネントの脆弱性を特定します。詳細については、「ソフトウェア部品表 の詳細」を参照してください。

    ユースケース

    次のようないくつかの DAST ユースケースがサポートされています。
    • スキャン結果の各脆弱性を何らかの cmdb_ci (子クラス) に関連付けます。
    • ディスカバリー またはサードパーティ統合により CMDB にレコードが存在する場合、DAST スキャン結果を既存のアプリケーションに関連付けます。
    • 新しいアプリケーションの識別や CMDB への格納が完了していない場合、DAST スキャン結果を新たに挿入されたスキャン済みアプリケーションに関連付けます。
    • ServiceNow® 以外の製品でアプリケーションを管理する場合は、CMDB に対する DAST スキャン結果を保存します。
    • 以前に他の目的でカスタマイズした場合は、CMDB に対する DAST スキャン結果を保存します。
    • ソースコードリポジトリ用のアプリケーションを手動で作成します。
    次のようないくつかの SAST ユースケースがサポートされています。
    • スキャン結果の各脆弱性を何らかの cmdb_ci (子クラス) に関連付けます。
    • ソースコードリポジトリ用の CI を手動で作成します。
    • 関連するアプリケーションサービスのない SAST スキャン結果を保存します。

    サードパーティ統合

    アプリケーション脆弱性対応でサポートされているサードパーティ統合は、ServiceNow Store で個別のアプリケーションとして入手できます。詳細については、「他のアプリケーションとの アプリケーション脆弱性対応 の統合」を参照してください。

    主な機能

    CI ルックアップルール
    構成管理データベース (CMDB) で一致するアプリケーションデータを自動的に検索します。
    アサインルール
    ユーザーグループ、ユーザーグループフィールド、およびスクリプトに基づいて、アプリケーションの脆弱性を自動的にアサインします。
    リスク算出
    条件フィルターを使用して、任意の条件に基づいて、算出を使用して AVIT の影響度を自動的に優先順位付けして評価します。
    重大度マッピング
    アプリケーション脆弱性一致アイテムのフィールドの初期値を自動的に計算します。脆弱性エントリーには、ソース重大度と正規化された重大度 (重大度マッピングに基づく) の両方があります。重大度は、 共通脆弱性タイプ一覧 (CWE) に関連付けられています。
    修復ターゲットルール
    アプリケーション脆弱性一致アイテムの修復予定期間を定義します。
    レポート
    セキュリティ体制、修復の傾向、最も重要な AVIT を含むアプリケーションまたは事業部門の上位 10 件を迅速に把握することができます。

    両方のタイプのスキャンの共通点は、アプリケーションのリリースです。[名前] 文字列を定義するアプリケーションリリースは、スキャナー側でスキャンされた脆弱性結果をグループ化するための紐付けポイントになります。このようにして、AVR は、統合を通じてスキャン結果をインポートするときに、結果が属するアプリケーションリリースを認識します。

    脆弱性対応 アプリケーションとスコープに、構成アイテム [cmdb_ci ] 子テーブル、スキャン済みアプリケーション [sn_vul_app_scanned_application] が作成されました。このテーブルには、アプリケーションリリースの抽象化が保存され、CMDB 関係を通じてサービスのグラフ化が提供されます。これらは、 All (すべて) > アプリケーション脆弱性対応 > アドミニストレーション > アプリケーション 移動しますスキャン済みアプリケーションのリストビューには、セットアップ中に追加された [部門][サポートグループ] が含まれています。

    アプリケーション脆弱性一致アイテム (AVIT)

    アプリケーション脆弱性の場合、AVR は脆弱性をアプリケーションに関連付けてアプリケーション脆弱性一致アイテム (AVIT) レコードを作成します。CMDB 内のアプリケーションの構成要素は複数定義されているため、アプリケーション脆弱性対応 ではアプリケーションをスキャン済みアプリケーションに限定しています。スキャン済みアプリケーションは、AVR によって [名前] および [ID] として識別された環境でスキャンされたアプリケーションです。スキャナーによって [修復済み (Fixed)] が確認されるまで、AVIT は最新のスキャンサマリーに基づいています。AVIT が見つからなくなった場合は、最後に確認されたスキャンサマリーに関連付けられたままになります。

    アプリケーション脆弱性一致アイテムは、次から表示できます。 All (すべて) > アプリケーション脆弱性対応 > 脆弱性 > 脆弱性一致アイテム 移動します

    アプリケーションが CMDB から削除されると、関連付けられている AVIT が閉じます。

    AVIT フォームフィールドの詳細については、「[アプリケーション脆弱性一致アイテム] フィールド」を参照してください。

    アプリケーション脆弱性対応 のユーザーグループとロール

    多くの場合、チームは連携してアプリケーションの脆弱性を作成、管理、および監視します。チームの中には、戦略的ロールのメンバーと運用ロールのメンバーがいます。ほとんどの組織では、複数のロールに参加し、他者とユーザーロールを共有することもよくあります。アプリケーション脆弱性対応 では、詳細なロールを含む 3 つのユーザーグループ (App-Sec マネージャー、アプリケーションセキュリティチャンピオン、および開発者) を使用します。これらのグループとロールの詳細については、「アプリケーション脆弱性対応 のユーザーロールおよびロール」を参照してください。

    アプリケーション脆弱性対応 のステータス

    アプリケーション脆弱性対応は、アプリケーション脆弱性一致アイテム (AVIT) の状態を示す状況モデルを提供し、AVIT をいつどのように修復するかを決定するのに役立ちます。

    アプリケーション脆弱性一致アイテムはいくつかの状況を想定しています。詳細については、「アプリケーション脆弱性一致アイテム (AVI) の状況」を参照してください。