既存の要求からのペネトレーションテストアセスメント要求の作成 (v19.0 より前)

リリースバージョン: Yokohama

更新日 2025年01月30日

所要時間：6分

v19.0 以降では、既存の要求のリストから直接ペネトレーションテストアセスメント要求を作成します。このリストで [クローズ済み] ステータスの既存の要求をコピーして、要求を作成することもできます。

始める前に

必要なロール：アプリケーションセキュリティマネージャー

このタスクについて

脆弱性対応の v19.0 以降では、Veracode 脆弱性統合を使用している場合は、Veracode 脆弱性統合のペネトレーションアセスメントテストは Veracode からの手動検出結果になります。これらは、アプリケーション脆弱性対応で構成したペネトレーションテストアセスメント要求にはリンクされません。Veracode からのペネトレーションテストアセスメントの詳細については、「Veracode 脆弱性統合」を参照してください。

手順

次のように移動する。 All (すべて) > ペネトレーションテストアセスメント要求 > All (すべて).
オプション: または、クローズ済みの要求を複製することで、要求を作成することもできます。
元の要求のすべての値が新しいフォームで保持されます。アクティブなアプリケーション脆弱性一致アイテム (AVI) が新しい要求に自動的にコピーされます。[クローズ済み] ステータスのレコードから [要求のコピーと作成] を選択します。

[新規] を選択し、フィールドに入力します。

表 : 1. [ペネトレーションテストアセスメント要求] フォーム
フィールド	説明
数値	ペネトレーションテストアセスメント要求に対して生成された一意の識別子。
状況	要求のステータスに基づいて値を選択します。
要求者	アプリケーションのアセスメントを要求しているユーザー。
アサイン先グループ	ペネトレーションテスト結果で作業するために選択されたグループ。アプリセキュリティマネージャーが手動で追加または編集できます。グループを設定するには、「ペネトレーションテストの構成」を参照してください。
アプリケーション	検索オプションを使用してアプリケーションを選択します。
アサイン先	このペネトレーションテスト結果で作業するように選択されたアサイン先グループの個人。アプリセキュリティマネージャーが手動で追加または編集できます。
アプリケーションタイプ	以下のいずれかのオプションを選択します。 Web サービス (v16.1 より前は API) Web アプリケーション親密なクライアントモバイル ([モバイル] を選択すると、フォームの下部に [モバイル] タブが追加フィールドとともに表示されます)
スプリント	選択した [アセスメントタイプ] フィールドに基づいて、アセスメント要求に対応できる帯域幅のスプリントを表示します。スプリントキャパシティとテストスコープの変更の詳細については、「ペネトレーションテストのスプリントの構成」および「ペネトレーションテストのアセスメントタイプの構成」を参照してください。
v19.0：アプリケーションサイズ	テストするアプリケーションのサイズを選択します。小中大標準 (サイズが不明な場合はこのオプションを選択します) アプリケーションサイズとスプリントキャパシティを使用したスプリントキャパシティとテストスコープの変更の詳細については、「ペネトレーションテストの構成」を参照してください。
作成済み	要求が作成された日時。
アセスメントタイプ	次からアセスメントタイプを選択します。完全なペネトレーションテスト集中テスト再テストテストの組み合わせとテストスコープの詳細については、「ペネトレーションテストのアセスメントタイプの構成」を参照してください。
更新日時	要求が最後に更新された日時。
デモの日付	このアプリケーションのデモが可能な日付。
本番展開の予定日	このアプリケーションを本番環境に展開する予定日。
展開予定のアプリケーションのバージョン / リリース	本番展開が計画されているアプリケーションのバージョン。
v19.0：[サードパーティベンダーまたは合弁会社が所有するアプリケーション (Application owned by third-party vendor or a joint venture)] タブこのフィールドで [はい] を選択すると、[ベンダー/合弁会社情報 (Vendor / Joint Venture Information)] タブが表示されます。追加のフィールドに入力します。
ペネトレーションテストの実行を許可する条項は存在しますか？(Clause exists that enables us to perform pen testing?)	「条項」という用語は、追加する 2 人以上の関係者間に存在する契約を含むテストの標準を指すことがあります。[はい]を選択した場合は、条項を追加します。
ペネトレーションテストの実行権限に言及している条項 (The clause citing the permission to perform pen testing)
ベンダーの完全な登録名と住所
侵入検知システム
ベンダーからの技術に関する連絡
ログの情報を調べて悪意のあるアクティビティがあるかどうかを確認しましたか？(Has the logged information been reviewed form malicious activity?)
アプリケーションは別のサードパーティベンダーによってホストされていますか？
ペンテストを承認するベンダーからの連絡
[アプリケーションの詳細] タブ
アプリケーションの目的	アプリケーションの機能の説明。
テクノロジースタック詳細	フロントエンドからバックエンドまで、データベース、および他の重要なテクノロジーに至る完全なテクノロジースタック。
サードパーティのアプリケーションですか？	このアプリケーションがサードパーティベンダーによって所有されているかどうかを確認します。
アプリケーションからアクセスできる機密データの種類を一覧表示	アプリケーションからアクセスできる機密データの種類を分類します。たとえば、PII データ、PHI データ、およびクレジットカード番号などの財務データです。
認証タイプ	このアプリケーションが LDAP 認証、独自のネイティブ認証、または他の形式の認証を使用するかどうかを指定します。
アプリケーションはコンプライアンスプログラムの対象ですか？	このアプリケーションが PCI などのコンプライアンスプログラムに影響を与えるかどうかを指定します。
アプリケーションチームの連絡先	倫理的なハッキングチームからの問い合わせの際に連絡先となるアプリケーションチームのメンバー。
コンプライアンスプログラムのリスト
関連するサードパーティインターフェイスまたはアプリケーション
IP アドレス
本番環境のユーザーの概数は？(Approximate number of users in production?)
自動スクリプトは存在しますか？
このアプリの本番バージョンは外部向けですか？(Production version of this app is external-facing?)
v 19.0：ビジネスインパクト
経済的損害	リストから 1 つ選択します。
非準拠	リストから 1 つ選択します。
風評被害	リストから 1 つ選択します。
プライバシー違反	リストから 1 つ選択します。
[テストの詳細] タブ
テストする URL	ペネトレーションテストに含める必要がある URL。
除外する URL	ペネトレーションテストから除外する必要がある URL。
このアプリケーションは以前にテストしましたか？	このアプリケーションのペネトレーションテストは実行済みであるかどうかを指定します。
再テストの理由	アプリケーションのテストが以前に実行済みである場合にペネトレーションテストの再アセスメントを要求する理由。
アプリケーションをテストしたのはいつですか？	アプリケーションのペネトレーションテストの実施期間。
テストアカウントの詳細	倫理的なハッキングチームがペネトレーションテストに使用できるテストアカウントの詳細。
アプリケーションロール	アプリケーションがサポートするのユーザーのロール。
最も使用されるロール	アプリケーションで最も一般的に使用されるロール。
[追加コメント] タブ
作業メモ

[保存] を選択して編集を保存するか、[送信] を選択して要求を開始します。