メインコンテンツにジャンプ
HCL Logo Product Documentation
  • Customer Support
AppScan Enterprise Server
  • ようこそ
  • AppScan® Enterprise のアクセシビリティー機能
  • 概要
  • インストール
  • アップグレードおよびマイグレーション
  • 統合
  • ベスト・プラクティス
  • 構成
  • 管理
  • アプリケーション・リスクの管理
  • トラブルシューティングとサポート
  • REST API
  • リファレンス
  • 用語集
  1. ホーム
  2. アプリケーション・リスクの管理

    以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。

  3. ステップ 3: リスクの判別と脆弱性の優先順位付け

    アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。

  4. リスクの判別

    これで、管理アナリストやセキュリティー・アナリストがエンタープライズ全体のアプリケーションの包括的なビューを使用できるようになったので、アプリケーションのセキュリティー・リスクの全体像を確認することができます。数式を使用して、アプリケーション資産の自動分類用のルールを作成します。アプリケーション・セキュリティー・リスク等級の自動計算は、アプリケーションの記述と検出された脆弱性に基づいて行われます。

  5. 問題の重大度の判別

    セキュリティー・アナリストは、CVSS スコアを使用して問題の重大度を判別し、組織における脆弱性の修正の優先順位付けを行うことができます。

  • アプリケーション・リスクの管理

    以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。

    • ステップ 1: アプリケーション・インベントリーの作成

      アプリケーション・インベントリーの作成方法を説明します。

    • ステップ 2: 脆弱性に関するアプリケーションのテスト

      アプリケーション内で特定された脆弱性のテスト方法を説明します。

    • ステップ 3: リスクの判別と脆弱性の優先順位付け

      アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。

      • リスクの判別

        これで、管理アナリストやセキュリティー・アナリストがエンタープライズ全体のアプリケーションの包括的なビューを使用できるようになったので、アプリケーションのセキュリティー・リスクの全体像を確認することができます。数式を使用して、アプリケーション資産の自動分類用のルールを作成します。アプリケーション・セキュリティー・リスク等級の自動計算は、アプリケーションの記述と検出された脆弱性に基づいて行われます。

        • 数式のコンポーネント

          製品管理者は、属性数式では以下の任意のコンポーネントを使用することができます。

        • 関数の例

          以下の関数が属性数式で使用されます。

        • 組み込み数式

          組み込み数式を基に、独自の数式を作成あるいはカスタマイズします。

        • リスク等級の数式のカスタマイズ

          リスク等級の数式は、アプリケーションの記述に使用する最も重要な属性です。この例を使用して、組み込みのリスク等級をカスタマイズします。この例では、ビジネスへの影響は、さまざまなアプリケーション属性に基づいて自動的に計算されます。

        • 数式を使用した属性の作成

          アプリケーションのリスク等級を計算するための数式、あるいはアプリケーションの概要で問題情報を表示するための数式を含む属性を作成および編集します。関係がなくなった数式属性を削除します。

        • 数式の変更

          AppScan Enterprise の組み込みの数式を変更して、ビジネス・ニーズに合わせてカスタマイズできます。例えば、Open Issues の数式の計算には、new、open、および reopened の問題が含まれます。この計算は要件に合わない場合があるので、open と reopened の問題のみを含むように変更できます。

        • 問題の重大度の判別

          セキュリティー・アナリストは、CVSS スコアを使用して問題の重大度を判別し、組織における脆弱性の修正の優先順位付けを行うことができます。

          • CVSS スコア

            CVSS スコアは、脆弱性がセキュリティー全般に与えるインパクトを表すもので、3 つの異なるカテゴリーのメトリックを反映する複合スコアです。基本、現状、および環境

          • 問題の重大度の判別方法

            AppScan® Enterprise は、重大度数式や「重大度値」問題属性を使用して、問題の重大度を判別します。

          • 問題の CVSS スコアを変更することによる問題の重大度の変更

            問題の重大度の変更は、問題ごとに行われます。これにより、脆弱性がビジネス・リスクに関連している際に、個々の脆弱性を分析することができます。問題のトリアージ中に、重大度値を使用して事前に計算された CVSS スコアを手動で指定変更することにより、問題の重大度を変更することができます。そうすることによって、他の問題と相対的に比較して、問題の重大度の優先順位付けを行うことができます。重大度を変更することにより、問題の重大性を開発者や管理者に伝達して、より重大度の高い脆弱性を先に修正することが可能になります。

      • 脆弱性の優先順位付け

        アプリケーション内で特定された脆弱性を優先順位付けする方法について説明します。

    • ステップ 4: リスクの修復

      アプリケーション内で特定されたリスクの修復方法を説明します。

    • ステップ 5: 進行状況の測定とコンプライアンスの実証

      進行状況の測定とコンプライアンスの実証方法について説明します。

問題の重大度の判別

セキュリティー・アナリストは、CVSS スコアを使用して問題の重大度を判別し、組織における脆弱性の修正の優先順位付けを行うことができます。

YouTube を視聴する:AppScan Enterprise で CVSS を使用する: セキュリティー代表者のパースペクティブ

  • CVSS スコア
    CVSS スコアは、脆弱性がセキュリティー全般に与えるインパクトを表すもので、3 つの異なるカテゴリーのメトリックを反映する複合スコアです。基本、現状、および環境
  • 問題の重大度の判別方法
    AppScan® Enterprise は、重大度数式や「重大度値」問題属性を使用して、問題の重大度を判別します。
  • 問題の CVSS スコアを変更することによる問題の重大度の変更
    問題の重大度の変更は、問題ごとに行われます。これにより、脆弱性がビジネス・リスクに関連している際に、個々の脆弱性を分析することができます。問題のトリアージ中に、重大度値を使用して事前に計算された CVSS スコアを手動で指定変更することにより、問題の重大度を変更することができます。そうすることによって、他の問題と相対的に比較して、問題の重大度の優先順位付けを行うことができます。重大度を変更することにより、問題の重大性を開発者や管理者に伝達して、より重大度の高い脆弱性を先に修正することが可能になります。
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences