ペネトレーションテスト
アプリケーション脆弱性対応 のペネトレーションテストにより、アプリケーションオーナーはアプリケーションのセキュリティ体制を評価できます。これは、倫理的なハッキングチームによるアプリケーションの手動テストです。
必要なロール
ペネトレーションテストには次のロールが必要です。
[アプリセキュリティマネージャー]:ペネトレーションテストアセスメント要求を管理するセキュリティマネージャーとアプリケーションオーナーが含まれます。次の詳細なロールが含まれています。
- sn_vul.app_manage_pen_test_request
- sn_vul.app_read_all
- cmdb_read
[倫理的なハッカー]:アプリケーションのペネトレーションテストを実行する倫理的なハッキングチームのメンバーが含まれます。次の詳細なロールが含まれています。
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_read_all
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
各ロールの詳細については、「アプリケーション脆弱性対応 のユーザーロールおよびロール」を参照してください。
脆弱性対応 の v19.0 以降では、Veracode 脆弱性統合 を使用している場合は、Veracode 脆弱性統合 のペネトレーションアセスメントテストは Veracode からの手動検出結果になります。これらは、アプリケーション脆弱性対応 で構成したペネトレーションテストアセスメント要求にはリンクされません。Veracode からのペネトレーションテストアセスメントの詳細については、「Veracode 脆弱性統合」を参照してください。
ペネトレーションテストのライフサイクル
アプリケーションオーナーは、倫理的なハッキングチームにアプリケーションのペネトレーションテストアセスメントを要求できます。倫理的なハッキングチームはこの要求に基づいて行動し、ペネトレーションテストの結果を作成します。これらの結果は、手動で作成されたアプリケーション脆弱性一致アイテム (AVI) です。
ペネトレーションテストワークフローは、テスト要求を上げるところから倫理的なハッキングチームの検出結果の解決までのペネトレーションテストのライフサイクルをカバーしています。
ペネトレーションテストアセスメントを要求する
v19.0 以降では、次の場所で新しい要求を作成したり、既存の要求をコピーしたりできます。 .
v19.0 より前では、アプリケーションオーナーは、 ITSM サービスカタログを使用して、アプリケーションのペネトレーションテストアセスメントを要求できました。
ペネトレーションテストアセスメント要求をレビューする
倫理的なハッキングチームは、アプリケーションとペネトレーションテストアセスメント要求の範囲をレビューして評価し、既存のバックログに追加します。
環境準備
その後、倫理的なハッキングチームは、アプリケーションオーナーにテストを開始するための環境を提供するように要求を送信します。環境の準備ができたら、アプリケーションオーナーは倫理的なハッキングチームに通知します。
テスト要求の設定の詳細については、「ペネトレーションテストの構成」を参照してください。
ペネトレーションテスト結果のテストと報告
倫理的なハッキングチームは、アプリケーション脆弱性エントリー (AVE) のライブラリを作成し、AVI をレポートする際にそれらを再利用できます。ペネトレーションテスト結果のステータスを追跡することもできます。
ペネトレーションテスト結果の修正と検証
ペネトレーションテスト結果がアプリケーションチームによって修復、解決された後、修正は倫理的なハッキングチームによって手動で検証され、クローズされます。
アプリケーション脆弱性管理 レポート
アプリケーション脆弱性管理 PA ダッシュボードで利用可能なレポートを使用して、ペネトレーションテスト結果を追跡します。