Fortify 脆弱性統合 の構成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • インスタンスで統合を実行する前に、インストールと構成のステップを完了して、脆弱性対応アプリケーション脆弱性対応 機能を Fortify 製品と適切に統合できるようにします。このアプリケーションは別のサブスクリプションとして利用できます。

    始める前に

    必要なロール:アプリケーションセキュリティマネージャー

    インストールの前に、次のセットアップチェックリストを完了します。これらのセットアップタスクは、インストールと構成をスムーズに行うために必要です。

    注:
    このプロセスは、本番インスタンスにダウンロードしたアプリケーションにのみ適用されます。非本番インスタンスまたは開発インスタンスにアプリケーションをダウンロードする場合は、エンタイトルメントの取得は必要ありません。「ServiceNow Store アプリケーションのアクティブ化」に進みます。
    セットアップタスク 説明
    脆弱性対応 アプリケーションがインストールされ、アクティブ化されていることを確認します。

    このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動します サブスクリプション管理 > サブスクリプション インスタンス内にありますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応 のインストール」を参照してください。
    脆弱性対応 Integration with Fortify アプリケーションがインストールされ、アクティブ化されていることを確認します。

    このアプリケーションがアクティブ化されていることを確認するには、次の場所に移動します サブスクリプション管理 > サブスクリプション インスタンス内にありますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「ServiceNow Vulnerability Response Integration with Fortify のインストール」を参照してください。
    インスタンスに必要な ServiceNow ロールがあることを確認します。 インストール、構成、および予想される結果の検証には、次のロールが必要です。
    • まだアサインされていない場合、システムアドミニストレーター [admin] はアプリをインストールして、ユーザーをアプリセキュリティマネージャーグループにアサインします。
    • アプリセキュリティマネージャーは構成を監督し、期待される結果を検証します。

    Fortify 脆弱性統合 の場合は、API IDAPI キーを用意します。

    Fortify に接続し、API IDAPI キーを取得します。

    手順

    1. Fortify アプリケーション脆弱性統合をインストールするインスタンスにログインします
    2. ServiceNow Store に移動します。
    3. ServiceNow Store で、脆弱性対応 Integration with Fortify アプリケーションを検索します。
    4. アプリケーションタイルをクリックします。
      インストールしているアプリケーションに関する詳細情報が表示されます。
      注:
      該当する場合は、[他の要件] および [依存関係] セクションを読むことを検討してください。
    5. [アプリを要求] をクリックし、Now Support ログイン認証情報を入力します。
    6. [取得] をクリックします。
    7. [インスタンス名][インスタンスの理由] を入力し、[インスタンスを検証] をクリックします。
    8. [要求] をクリックします。
      詳細なインストール手順が記載されたメールが届きます。
    9. 移動先 システムアプリケーション > アプリケーション.
    10. アプリケーションを見つけて選択し、[インストール] をクリックします。
      アプリケーションはインスタンスへ自動的にインストールされます。
    11. インストールが完了したら、次に移動します: Fortify 脆弱性統合 > FoD 構成.
    12. フォームで、フィールドに入力します。
      表 : 1. Fortify オンデマンド構成フォーム
      フィールド 説明
      API ルート URL ユーザーの Fortify インスタンス URL。
      API キー Fortify API に送信される一意の識別子。
      API シークレット Fortify で提供されるクライアントシークレット。
      DAST を含める DAST スキャンからの脆弱性を含めるオプション。DAST スキャンは、アプリケーション全体の動作から脆弱性を特定します。
      SAST を含める SAST スキャンからの脆弱性を含めるオプション。SAST スキャンはコードの脆弱性を特定します。
      ServiceNow での例外と誤検出のトリアージ (脆弱性対応 v20.0 以降) インポート時に自動的に ServiceNow ワークフローを使用して、AVI の例外管理と誤検出を管理するためのオプションを選択します。これらのオプションはデフォルトでアクティブ化されています。使用例については、「アプリケーション脆弱性対応での保留と誤検出のステータスマッピングの管理」を参照してください。
      ServiceNow での例外の管理
      [保留]ステータスとしてマークされたインポート済み AVI をトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [保留] 状況にマッピングされる [ソース] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから例外を要求します。

      ServiceNow での誤検出の管理
      インポートされた AVI を [ソース]状況が誤検出または潜在的な誤検出としてマークされている状態でトリアージする場合は、このオプションを有効のままにします。

      通常はインスタンスで [ソース] 状況にマッピングされる [クローズ済み] 状況を持つ AVI は、代わりに [オープン] にマッピングされます。

      AVI レコードから誤検出を要求します。
      • スキャナーからインポートされた [ソース] ステータスが保持する場合は、いずれかまたは両方のチェックボックスをオフにします。
      • これらの AVI は、インポート時に [ターゲットステータス] および [ターゲット理由 (Target reason)] ステータスにマッピングされますが、例外および誤検出ワークフローによってトリアージされません。例外の要求誤検出アクションは、AVI には表示されません。
      ServiceNow でのトリアージ (v20.0 より前の脆弱性対応の場合) ServiceNow インスタンスでのアプリケーションの脆弱性トリアージを管理:
      • ServiceNow 内の AVI をトリアージするチェックボックスを選択します。このオプションを選択すると、AVI は [オープン] ステータスでインポートされます。その後、例外を要求するか、AVI を誤検出としてマークすることができます。
      • ソースステータス、つまりスキャナーからインポートされたステータスを保持するには、このチェックボックスが選択されていないことを確認します。
      注:
      [誤検出としてマーク] および [例外の要求] オプションは、ServiceNow 内でトリアージされる AVI でのみ使用できます。
    13. [認証情報を保存してテスト] を選択します。

    次のタスク

    環境でドメインセパレーションインポートが必要な場合は、「統合のためのドメインセパレーションインポートの作成」を参照してください。

    初期インストールの詳細については、「アプリケーション脆弱性対応 の構成」を参照してください。

    初期インストール後の変更については、「Fortify 脆弱性統合 の変更とアクティビティ」を参照してください。