アプリケーション脆弱性対応の詳細

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む10読むのに数分

    • アプリケーション脆弱性は、アプリケーションの開発ライフサイクル全体でスキャンされるカスタムソフトウェアアプリケーションの脆弱性です。

    アプリケーション脆弱性対応概要と利用可能なバージョン

    アプリケーション脆弱性対応 (AVR) は、アプリケーションの脆弱性を処理するアプリケーションの一部です 脆弱性対応

    表 : 1. 利用可能バージョン
    リリースバージョン リリースノート

    脆弱性対応 v21.0

    脆弱性対応 v20.0

    脆弱性対応 v19.0

    脆弱性対応 v18.2

    脆弱性対応 v18.0

    		 Application Vulnerability Response release notes

    互換性情報については、「KB0856498 Vulnerability Response 互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    仕組み

    脆弱性データは、共通脆弱性タイプ一覧 (CWE) やサードパーティの統合などの内部および外部のソースからインポートされます。データはインポート後、ユーザー 構成管理データベース (CMDB) 内のアプリケーションデータと比較され、アプリケーションで処理されます アプリケーション脆弱性対応 。インポートされたアプリケーション脆弱性データと CMDB 内のデータが一致した場合、アプリケーション脆弱性一致アイテム (AVI) が作成されます。

    には アプリケーション脆弱性対応 、次の主要な機能が含まれています。
    • サポートされているサードパーティのスキャナーと統合して、脆弱性データをインポートします。
    • アプリケーション脆弱性関連データを比較し、アプリケーション内にアプリケーション脆弱性が見つかったかどうかを判断します。
    • アプリケーション脆弱性一致アイテム (AVI) を優先順位付け、修復、および管理します。各アプリケーション脆弱性は、CWE またはサードパーティライブラリ内の脆弱性エントリーを表します。
    • バージョン 18.0 脆弱性対応以降では、脆弱性マネージャーワークスペースと IT 修復ワークスペースでそれぞれ AVI を監視および修正できます。詳細については、「Vulnerability Manager Workspace の探索」と「IT 修復ワークスペースの探索」を参照してください。
    • 算出とライブラリを使用してデータを関連付け アプリケーション脆弱性対応 ると、次のタスクの実行に役立ちます。
      • CI ルックアップルールを使用して、アプリケーション脆弱性一致アイテムを自動的に作成します。インポート時に、サードパーティの脆弱性が CWE に関連付けられ、AVI が作成されます。
      • アプリケーション脆弱性一致アイテムのアサインを自動化するアサインルールを作成します。
      • 計算ツールのグループを使用して、ビジネスへの影響度を判断したり、フィルターを使用してさまざまな条件を指定したり、簡単な計算を適用したり、スクリプトを使用したりします。
      • 今後の修復アクティビティを監視できるように、アプリケーション脆弱性一致アイテムの修復予定期間を定義する修復ターゲットルールを作成します。
    • 単一のサードパーティ脆弱性を複数の CWE エントリーに関連付け、脆弱性のプライマリ CWE を見つけてリスクを判断します。[プライマリ CWE] の詳細については、「[アプリケーション脆弱性] フィールド」を参照してください。
    • CWE データベースからダウンロードされた CWE レコード、またはサードパーティ統合からインポートされた CWE レコードを参照として使用して、脆弱性をエスカレートする必要があるかどうかを判断します。各 CWE レコードには、脆弱性を説明する関連するナレッジ記事も含まれています。

    アプリケーション脆弱性対応 を使用して、統合から調査、解決までの情報のフローをたどります。

    Application Vulnerability Response フロー

    インポートされた脆弱性データのタイプ

    アプリケーション脆弱性対応 は、次のタイプのインポートされたアプリケーション脆弱性データをサポートしています。
    注:
    v19.0 より前では、SAST、SCA、IAST、およびペネトレーションテストのデータは取り込まれず、Fortify、および Invicti アプリケーション脆弱性対応に表示されるVeracodeものとの違いが生じる場合があります。
    ダイナミックアプリケーションセキュリティテスト (DAST)
    DAST スキャンは、アプリケーションに入力を送信し、実行中にその応答をモニターすることによって、脆弱性アプリケーションを検出します。このアプローチは、外部からの攻撃を模倣する可能性があります。動的スキャン中に、実行中のサービス (URL) の脆弱性がスキャンされます。脆弱性の結果には、検出された脆弱性の URL の場所が含まれます。
    静的アプリケーションセキュリティテスト (SAST)
    SAST スキャンは、保存中のアプリケーションのソースコードを確認し、コードの記述方法の脆弱性を見つけるのに役立ちます。SAST スキャンはコンパイルされていないソースコードに対して行われるため、アプリケーションサービスから独立して存在します。返される結果には、検出された脆弱性のファイルと行番号の場所が含まれます。
    インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)
    IAST スキャンは、プログラムの実行中にプログラムと対話することにより、ソフトウェアの脆弱性を検出します。人間による観察、自動テスト、およびセンサーを組み合わせて使用し、アプリケーションと対話して脆弱性を特定します。
    ソフトウェア・コンポジション解析 (SCA)
    の v19.0 脆弱性対応以降では、ソフトウェア構成分析 (SCA) の脆弱性を取り込むことができます。ソフトウェアアプリケーションで使用されているオープンソースソフトウェアの弱点を特定するのに役立つ SCA 脆弱性データ。
    ペネトレーションテスト
    ペネトレーションテストアセスメント要求を設定すると アプリケーション脆弱性対応 、アプリケーションの弱点がどこにあり、その弱点を修正するために何ができるかを理解できるようになります。
    ソフトウェア部品表
    データをアップロード (SBOM) してソフトウェア部品表、オープンソースコンポーネントの脆弱性を特定します。詳細については、「ソフトウェア部品表 の詳細」を参照してください。

    ユースケース

    以下の DAST ユース・ケースのいくつかがサポートされています。
    • スキャン結果の各脆弱性を何らかの cmdb_ci (子クラス) に関連付けます。
    • ディスカバリー またはサードパーティ統合により CMDB にレコードが存在する場合、DAST スキャン結果を既存のアプリケーションに関連付けます。
    • 新しいアプリケーションの識別や CMDB への格納が完了していない場合、DAST スキャン結果を新たに挿入されたスキャン済みアプリケーションに関連付けます。
    • ServiceNow® 以外の製品でアプリケーションを管理する場合は、CMDB に対する DAST スキャン結果を保存します。
    • 以前に他の目的でカスタマイズした場合は、CMDB に対する DAST スキャン結果を保存します。
    • ソースコードリポジトリ用のアプリケーションを手動で作成します。
    サポートされている SAST ユースケースの一部がサポートされています。
    • スキャン結果の各脆弱性を何らかの cmdb_ci (子クラス) に関連付けます。
    • ソースコードリポジトリ用の CI を手動で作成します。
    • 関連するアプリケーションサービスのない SAST スキャン結果を保存します。

    サードパーティ統合

    でサポートされている アプリケーション脆弱性対応 サードパーティ統合は、で個別のアプリケーション ServiceNow Storeとして使用できます。詳細については、「他のアプリケーションとの アプリケーション脆弱性対応 の統合」を参照してください。

    主な機能

    CI ルックアップルール
    構成管理データベース (CMDB) で一致するアプリケーションデータを自動的に検索します。
    アサインルール
    ユーザーグループ、ユーザーグループフィールド、およびスクリプトに基づいて、アプリケーションの脆弱性を自動的にアサインします。
    リスク算出
    条件フィルターを使用して、任意の条件に基づいて、算出を使用して AVI の影響度を自動的に優先順位付けして評価します。
    重大度マッピング
    アプリケーション脆弱性一致アイテムのフィールドの初期値を自動的に計算します。脆弱性エントリーには、ソース重大度と正規化された重大度 (重大度マッピングに基づく) の両方があります。重大度は、 共通脆弱性タイプ一覧 (CWE) に関連付けられています。
    修復ターゲットルール
    アプリケーション脆弱性一致アイテムの修復予定期間を定義します。
    レポート
    セキュリティ体制、修復の傾向、最も重要な AVI を含むアプリケーションまたは事業部門の上位 10 件を迅速に把握することができます。

    両方のタイプのスキャンの共通点は、アプリケーションのリリースです。[名前] 文字列を定義するアプリケーションリリースは、スキャナー側でスキャンされた脆弱性結果をグループ化するための紐付けポイントになります。このようにして、AVR は、統合を通じてスキャン結果をインポートするときに、結果が属するアプリケーションリリースを認識します。

    脆弱性対応 アプリケーションとスコープに、構成アイテム [cmdb_ci ] 子テーブル、スキャン済みアプリケーション [sn_vul_app_scanned_application] が作成されました。このテーブルには、アプリケーションリリースの抽象化が保存され、CMDB 関係を通じてサービスのグラフ化が提供されます。これらは、 すべて > Application Vulnerability Response > アドミニストレーション > アプリケーション 移動しますスキャン済みアプリケーションのリストビューには、セットアップ中に追加された [部門][サポートグループ] が含まれています。

    アプリケーション脆弱性一致アイテム (AVI)

    アプリケーション脆弱性の場合、AVR は脆弱性をアプリケーションに関連付けてアプリケーション脆弱性一致アイテム (AVI) レコードを作成します。CMDB 内のアプリケーションの構成要素は複数定義されているため、アプリケーション脆弱性対応 ではアプリケーションをスキャン済みアプリケーションに限定しています。スキャン済みアプリケーションは、AVR によって [名前] および [ID] として識別された環境でスキャンされたアプリケーションです。スキャナーによって [修復済み] が確認されるまで、AVI は最新のスキャンサマリーに基づいています。AVI が見つからなくなった場合は、最後に確認されたスキャンサマリーに関連付けられたままになります。

    アプリケーション脆弱性一致アイテムは、 すべて > Application Vulnerability Response > 脆弱性 > 脆弱性一致アイテム 移動します

    アプリケーションが CMDB から削除されると、関連付けられている AVI が閉じます。

    AVI フォームフィールドの詳細については、「[アプリケーション脆弱性一致アイテム] フィールド」を参照してください。

    アプリケーション脆弱性対応 のユーザーグループとロール

    多くの場合、チームは連携してアプリケーションの脆弱性を作成、管理、および監視します。チームの中には、戦略的ロールのメンバーと運用ロールのメンバーがいます。ほとんどの組織では、複数のロールに参加し、他者とユーザーロールを共有することもよくあります。アプリケーション脆弱性対応 では、詳細なロールを含む 3 つのユーザーグループ (App-Sec マネージャー、アプリケーションセキュリティチャンピオン、および開発者) を使用します。これらのグループとロールの詳細については、「アプリケーション脆弱性対応 のユーザーロールおよびロール」を参照してください。

    アプリケーション脆弱性対応 のステータス

    アプリケーション脆弱性対応 は、アプリケーション脆弱性一致アイテム (AVI) の状態を示すステータスモデルを提供し、AVI をいつどのように修復するかを決定するのに役立ちます。

    アプリケーション脆弱性一致アイテムはいくつかのステータスを想定しています。詳細については、「アプリケーション脆弱性一致アイテム (AVI) のステータス」を参照してください。