以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
アプリケーション内で特定された脆弱性を優先順位付けする方法について説明します。
アプリケーション・インベントリーの作成方法を説明します。
アプリケーション内で特定された脆弱性のテスト方法を説明します。
これで、管理アナリストやセキュリティー・アナリストがエンタープライズ全体のアプリケーションの包括的なビューを使用できるようになったので、アプリケーションのセキュリティー・リスクの全体像を確認することができます。数式を使用して、アプリケーション資産の自動分類用のルールを作成します。アプリケーション・セキュリティー・リスク等級の自動計算は、アプリケーションの記述と検出された脆弱性に基づいて行われます。
アプリケーションに、多数の脆弱性が検出されたスキャンが多数ある場合、事前設定された問題属性 (問題の重大度、問題のタイプ、または問題の状態) に対してフィルターを使用し、管理しやすいサイズまでリストを削減することができます。
すべての問題は、デフォルトで「新規」に分類されます。問題の状況を表示することで、問題の分類を確認することができます。アプリケーションに関する問題が表示されない場合は、セキュリティー・スキャンをアプリケーションに関連付けます。そうしない場合、問題を「スキャン」ビューのレポートから管理する必要があります。アプリケーション間でスキャン・ジョブを移動しても、問題管理の変更は失われません。
セキュリティー・アナリストは、期限切れの問題があるアプリケーションの数を確認できるため、どの問題やアプリケーションがコンプライアンス違反かを素早く判断することができます。AppScan Enterprise v9.0.3 には期限切れの数式が含まれており、変更したり、複雑な数式を作成する際のサンプルとして使用したりすることができます。組織がクレジット・カード業界データ・セキュリティー基準 (PCI) に準拠する必要がある場合、それを数式に追加できます。あるいは、問題が 10 日後にまだ New とマークされており、重大度が高い場合、自動的に期限切れになるよう数式を変更します。
アプリケーション内で特定されたリスクの修復方法を説明します。
進行状況の測定とコンプライアンスの実証方法について説明します。