Welcome
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
ステップ 3: リスクの判別と脆弱性の優先順位付け
アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
リスクの判別
これで、管理アナリストやセキュリティー・アナリストがエンタープライズ全体のアプリケーションの包括的なビューを使用できるようになったので、アプリケーションのセキュリティー・リスクの全体像を確認することができます。数式を使用して、アプリケーション資産の自動分類用のルールを作成します。アプリケーション・セキュリティー・リスク等級の自動計算は、アプリケーションの記述と検出された脆弱性に基づいて行われます。
問題の重大度の判別
セキュリティー・アナリストは、CVSS スコアを使用して問題の重大度を判別し、組織における脆弱性の修正の優先順位付けを行うことができます。
CVSS スコア
CVSS スコアは、脆弱性がセキュリティー全般に与えるインパクトを表すもので、3 つの異なるカテゴリーのメトリックを反映する複合スコアです。基本、現状、および環境

いらっしゃいませ
HCL AppScan Enterprise 10.10.0 ドキュメントへようこそ。このドキュメントでは、HCL AppScan Enterprise のインストール、保守、および使用方法について説明します。
エンタープライズのAppScan®アクセシビリティ機能
アクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つお客様が、IT 製品を快適に使用できるように支援します。
製品の概要
インストール
製品のインストール方法について説明します。
アップグレードおよびマイグレーション
製品のアップグレード方法について説明します。
統合
製品の他のソリューションとの統合方法について説明します。
DevOps
REST API およびプラグインを使用した製品の拡張方法について説明します。
ベスト・プラクティス
製品を使用するためのベスト・プラクティスについて説明します。
構成
製品の構成方法について説明します。
管理
製品の管理方法について説明します。
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
- ステップ 1: アプリケーション・インベントリーの作成
  アプリケーション・インベントリーの作成方法を説明します。
- ステップ 2: 脆弱性に関するアプリケーションのテスト
  アプリケーション内で特定された脆弱性のテスト方法を説明します。
- ステップ 3: リスクの判別と脆弱性の優先順位付け
  アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
  - リスクの判別
    これで、管理アナリストやセキュリティー・アナリストがエンタープライズ全体のアプリケーションの包括的なビューを使用できるようになったので、アプリケーションのセキュリティー・リスクの全体像を確認することができます。数式を使用して、アプリケーション資産の自動分類用のルールを作成します。アプリケーション・セキュリティー・リスク等級の自動計算は、アプリケーションの記述と検出された脆弱性に基づいて行われます。
    - 数式のコンポーネント
      製品管理者は、属性数式では以下の任意のコンポーネントを使用することができます。
    - 関数の例
      以下の関数が属性数式で使用されます。
    - 組み込み数式
      組み込み数式を基に、独自の数式を作成あるいはカスタマイズします。
    - リスク等級の数式のカスタマイズ
      リスク等級の数式は、アプリケーションの記述に使用する最も重要な属性です。この例を使用して、組み込みのリスク等級をカスタマイズします。この例では、ビジネスへの影響は、さまざまなアプリケーション属性に基づいて自動的に計算されます。
    - 数式を使用した属性の作成
      アプリケーションのリスク等級を計算するための数式、あるいはアプリケーションの概要で問題情報を表示するための数式を含む属性を作成および編集します。関係がなくなった数式属性を削除します。
    - 数式の変更
      AppScan Enterprise の組み込みの数式を変更して、ビジネス・ニーズに合わせてカスタマイズできます。例えば、Open Issues の数式の計算には、new、open、および reopened の問題が含まれます。この計算は要件に合わない場合があるので、open と reopened の問題のみを含むように変更できます。
    - 問題の重大度の判別
      セキュリティー・アナリストは、CVSS スコアを使用して問題の重大度を判別し、組織における脆弱性の修正の優先順位付けを行うことができます。
      - CVSS スコア
        CVSS スコアは、脆弱性がセキュリティー全般に与えるインパクトを表すもので、3 つの異なるカテゴリーのメトリックを反映する複合スコアです。基本、現状、および環境
      - 問題の重大度の判別方法
        AppScan® Enterprise は、重大度数式や「重大度値」問題属性を使用して、問題の重大度を判別します。
      - 問題の CVSS スコアを変更することによる問題の重大度の変更
        問題の重大度の変更は、問題ごとに行われます。これにより、脆弱性がビジネス・リスクに関連している際に、個々の脆弱性を分析することができます。問題のトリアージ中に、重大度値を使用して事前に計算された CVSS スコアを手動で指定変更することにより、問題の重大度を変更することができます。そうすることによって、他の問題と相対的に比較して、問題の重大度の優先順位付けを行うことができます。重大度を変更することにより、問題の重大性を開発者や管理者に伝達して、より重大度の高い脆弱性を先に修正することが可能になります。
  - 脆弱性の優先順位付け
    アプリケーション内で特定された脆弱性を優先順位付けする方法について説明します。
- ステップ 4: リスクの修復
  アプリケーション内で特定されたリスクの修復方法を説明します。
- ステップ 5: 進行状況の測定とコンプライアンスの実証
  進行状況の測定とコンプライアンスの実証方法について説明します。
トラブルシューティングおよびサポート
HCL® ソフトウェアの問題の理解、分離、解決に役立つように、このトラブルシューティングおよびサポートの情報には、HCL 製品と一緒に提供される問題判別リソースの使い方の指示が含まれています。
参照
製品の参照情報を確認します。
用語集

CVSS スコア

CVSS スコアは、脆弱性がセキュリティー全般に与えるインパクトを表すもので、3 つの異なるカテゴリーのメトリックを反映する複合スコアです。基本、現状、および環境

スコアは、これらの 1 つ以上のメトリックに使用可能な情報 (例えば、値など) に基づいて計算されます。各メトリックで使用可能な情報が多いほど、CVSS スコアはより明確なものになります。AppScan Enterprise では、各メトリックの値は、問題 (セキュリティーの脆弱性) の属性または問題が検出されたアプリケーションの属性にマップされます。これらの属性を AppScan Enterprise で削除したり変更したりすることはできませんが、属性の値は変更することができます。

表 1. CVSS メトリック
メトリック・グループ	メトリック名	問題属性またはアプリケーション属性	CVSS スコアの計算に必要な定義
基本	攻撃ベクトル	問題	はい
	攻撃の複雑性	問題	はい
	特権が必要	問題	はい
	ユーザーの対話	問題	はい
	有効範囲	問題	はい
	機密性への影響	問題	はい
	完全性への影響	問題	はい
	可用性への影響	問題	はい
現状	悪用コードの完成度	問題	いいえ*
	修復レベル	問題	いいえ*
	レポートの信頼性	問題	いいえ*
環境これらのメトリックは、アプリケーションの総合的な重大度評価の要因にもなります。	変更された基本メトリック	アプリケーション	いいえ*
	可用性要件	アプリケーション	いいえ*
	機密性要件	アプリケーション	いいえ*
	完全性要件	アプリケーション	いいえ*

注:

* これらの属性の定義は必須要件ではありませんが、問題を記述するメトリックが多く定義されているほど、より明確な CVSS スコアが算出されます。
定義されていないオプションの属性は、CVSS スコアの計算に組み込まれません。
必須属性が定義されていないと、CVSS スコアを計算できません。この場合、問題の重大度はUndeterminedとして分類されます。
CVSS メトリックの詳細については、次のリンクを参照してください。
- CVSS 3.1 仕様
- CVSS 2.0 仕様