脆弱性対応 アプリケーションの実装チェックリスト
このチェックリストには、Now Platform® インスタンスでの 脆弱性対応 アプリケーションの基本的な実装に必要な手順が記載されています。こうしたタスクを完了すると、ベースシステムの運用と検証の準備が整います。
始める前に
必要なロール:アプリケーションのダウンロードとアクティブ化、およびロールのアサインを行う場合は admin、脆弱性対応 を構成する場合は sn_vul.vulnerability_admin。
手順
-
PDF を生成するには、トピックの上部にある [PDF として保存] アイコン (
![[PDF として保存] アイコン](data:image/png;base64,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)
) をクリックし、[選択したトピック (Selected topic)] をクリックします。
表 : 1. アドミンの 脆弱性対応 基本実装チェックリストタスク アイテム 説明 
admin ロールを持つユーザーとして、エンタイトルメントを取得し、ServiceNow® Store から Now Platform インスタンスに以下のアプリケーションをダウンロード (インストール) していることを確認します。 - 脆弱性対応
- NIST National Vulnerability Database との 脆弱性対応 統合
- Qualys Integration for Security Operations
- アプリケーションがインスタンスで利用可能であることを確認するには、 をクリックし、[sn_vul]、[sn_vul_nvd]、および [sn_vul_qualys] を検索します。
- アプリケーションが見つからない場合、アプリケーションのエンタイトルメントの取得とダウンロードの詳細については、「セキュリティオペレーション および ServiceNow Store」を参照してください。
admin ロールを持つユーザーとして、以下に移動します。 をクリックし、脆弱性対応 アプリケーションを、Now Platformインスタンスへの依存関係とともにアクティブ化 (インストール) します。 注:脆弱性対応 アプリケーションのインストール中に、デモデータをインストールするオプションがあります。インストール後に自動テストを実行してインスタンスが機能することを確認する場合は、デモデータが必要です。データの破損や機能停止を避けるため、テストは、開発、テスト、およびその他の非本番インスタンスでのみ実行してください。デモデータやデモアカウントが作成されている場合は、非本番環境または本番環境でインスタンスを使用する前に、すべてのデモデータを削除する必要があります。
脆弱性対応 のセットアップアシスタントは、アプリケーションとともに自動的にインストールされます。脆弱性対応 アプリケーションを構成するには、セットアップアシスタントが必要です。さらにセットアップアシスタントは、この例で使用されている Qualys Integration for Security Operations アプリケーション、およびそのほかに 脆弱性対応 をサポートするアプリケーションや、それと互換性のあるアプリケーションのインストールと構成にも使用されます。
脆弱性対応 アプリケーションのインストールの詳細については、「脆弱性対応 のインストール」を参照してください。
admin ロールを持つユーザーとして、セットアップアシスタントで次の場所に移動します: をクリックし、必要な 脆弱性対応 ペルソナロールをユーザーにアサインします。 - セットアップアシスタント内から、[ユーザー管理モジュール] リンクをクリックして、既存のユーザーと既にアサインされているロールを表示します。
- リストからユーザー名をクリックしてレコードを開き、[ロール] 関連リストをクリックします。このユーザーにアサインされているすべてのロールが表示されます。
- に戻る を選択し、プロンプトに従って sn_vul.vulnerability_admin ロールをアサインします。
注:構成を続行するには、sn_vul.vulnerability_admin ロールが必要です。または、admin ロールを持つユーザーとして構成を続行することもできます。(オプション) 構成アイテム (CI) マネージャー [sn_vul.ci_manager] および例外承認者 [sn_vul.exception_approver] ロールをアサインすることもできますが、これらのペルソナは残りのセットアップタスクには必要ありません。
セットアップアシスタントを使用したペルソナロールのアサインの詳細については、「セットアップアシスタントを使用した 脆弱性対応 ペルソナロールのアサイン」を参照してください。
ユーザーの詳細、およびユーザーとグループへのロールのアサインの詳細については、「ユーザー管理」を参照してください。
- 次のように移動する。 をクリックし、 CWE Comprehensive 2000 統合 がアクティブ化されていることを確認し、スケジュール済みジョブを実行してデータをインポートします。
- admin ロールを持つユーザーとして、次の場所に移動します: をクリックし、NVD の脆弱性対応統合アプリケーションをアクティブ化 (インストール) します。
NVD および CWE 統合は、脆弱性対応 の初期設定の一部として、サードパーティのスキャナー製品を使用してインスタンスに脆弱性データをインポートする前に実行します。
NVD および CWE ライブラリのインストール、構成、および表示に関する詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」および「CWE レコードの更新のためのスケジュール済みジョブの構成および実行」を参照してください。
admin ロールを持つユーザーとして、以下に移動します。 をクリックし、 Qualys Integration for Security Operations アプリケーションをアクティブ化します。ライブラリのある Qualys などのサードパーティスキャナー製品をインストールして実行する前に、まず NVD と CWE の統合をインストールして実行し、脆弱性データを取り込む必要があります。 詳細については、「セットアップアシスタントを使用した 脆弱性対応 サードパーティアプリケーションのインストール」を参照してください。
(オプション) admin ロールを持つユーザーは、脆弱性対応 アプリケーションを使用してデモデータをインストールした場合、脆弱性対応 ATF テストスイートを実行して、アプリケーションが正常にインストールされていることを確認できます。 注:データの破損や機能停止を避けるため、テストは、開発、テスト、およびその他の非本番インスタンスでのみ実行してください。詳細については、「脆弱性対応 の自動テストフレームワーク (ATF) テストスイートの実行」を参照してください。
自動テストの詳細については、「自動テストフレームワーク (ATF)」を参照してください。
-
[脆弱性対応設定] セクションで開始するアプリケーションの構成を続行します。
これらの設定を確認すると、環境の設定を続行する際の 脆弱性対応 の仕組みを理解しやすくなります。この例で使用するスキャナー統合の場合は、設定を編集する必要があります。
この構成例で使用する、Qualys 製品の概念は、他のスキャナーアプリケーションにも適用されます。
アプリケーションを構成するには、Qualys の認証情報が必要です。Qualys 製品にアクセスするために必要なアカウント名、パスワード、およびその他のサービス情報があることを確認します。
必要なロール:sn_vul.vulnerability_admin、または admin。
表 : 2. 脆弱性アドミンの 脆弱性対応 基本実装チェックリストタスク タスク 説明
脆弱性アサインルールを確認します。 アサインルールにより、 脆弱性一致アイテム (VI) は適切なアサイン先グループに自動的にアサインされます。詳細については、「脆弱性対応 アサインルールの概要」を参照してください。
セットアップアシスタントを使用した 脆弱性対応 の構成の詳細については、「セットアップアシスタントを使用した 脆弱性対応 の構成」を参照してください。
修復タスクルールを確認します。
修復タスクルールにより、脆弱性一致アイテム (VI) は特定の条件に基づいてインポートされると、自動的にグループ化されます。詳細については、「脆弱性対応修復タスクとタスクルールの概要」を参照してください。
リスク算出を確認します。
リスク算出では、優先順位付けのために脆弱性一致アイテムのスコアを付けます。構成アイテム (CI) の特性、エクスプロイトの可用性、および脆弱性アセスメント (スキャナー) ベンダーによって報告された脆弱性の重大度を組み込むように算出を構成できます。詳細については、「脆弱性対応 の算出と脆弱性算出ルール」を参照してください。
修復ターゲットルールを確認します。
修復ターゲットルールでは、VI および修復タスクの修正タイムラインを定義します。詳細については、「脆弱性対応 の修復ターゲットルール」を参照してください。
[統合構成] セクションで、Qualys アプリケーション設定を確認し、データインポートを定義してスケジュールします。
- [スキャナー統合] をクリックします。
- [インストール済みアプリケーション] ページで、[編集] をクリックします。
- 認証情報を入力し、[次へ] をクリックします。
- ナレッジベース設定の説明を読みます。
- [ホスト検出設定] ページの [設定をインポート]、[CI ルックアップルール]、および [スケジュールをインポート] を確認します。
- このページの設定に問題がなければ、[今すぐ実行] をクリックしてデータをインポートします。表示される [詳細を表示] リンクをクリックして、脆弱性統合実行のステータスを表示します。
- (オプション) 構成設定の編集を続行します。
- [完了] をクリックして、セットアップアシスタントでのインストールと構成を完了します。
Qualys アプリケーションの構成の詳細については、「セットアップアシスタントを使用した Qualys 脆弱性統合の構成」を参照してください。
次のタスク
脆弱性対応 の他のアプリケーションをダウンロード、インストール、および構成するには、前のチェックリストで実行した同じ手順と概念に従います。詳細については、各アプリケーションに用意されている個々のトピックを参照してください。
脆弱性対応 向けに ServiceNow Store から入手できる、サポートされているアプリケーションの詳細については、「脆弱性対応 およびサポートされているアプリケーションのインストール」を参照してください。
脆弱性対応 の使用方法の詳細については、「脆弱性対応アプリケーションの詳細」を参照してください。