「環境定義」ビュー

環境定義は必須ではありませんが、AppScan® でスキャン中に関連性のないテストを送信することを安全に抑制できるようになります。その結果、スキャンをさらに高速かつ正確に実施できます。CVSS 3.1 環境スコアをカスタマイズすると、スキャン結果の精度が向上します。

注: リスト内の項目の選択時に Ctrl キーを押しながら複数のオプションを選択できるリスト・ボックスもあります。
重要: スキャンのテスト・ステージの後に環境定義を変更する場合は、スキャン結果を更新する必要があります。スキャン結果を更新するには、「現在の結果に適用する」をクリックします。このアクションにより、環境パラメーターに加えられた変更が既存のスキャン・データに反映され、精度と関連性が維持されます。

メトリック

コメント

オペレーティング・システム

スキャンされるアプリケーションのオペレーティング・システムを示します。

Web サーバー

該当するすべての回答を選択します。複数のオプションを選択するには、[Ctrl] を押しながらクリックします。

アプリケーション・サーバー (ある場合)

該当するすべての回答を選択します。複数のオプションを選択するには、[Ctrl] を押しながらクリックします。

データベースのタイプ (ある場合)

該当するすべての回答を選択します。複数のオプションを選択するには、[Ctrl] を押しながらクリックします。

サード・パーティー・コンポーネント (ある場合)

該当するすべての回答を選択します。複数のオプションを選択するには、[Ctrl] を押しながらクリックします。

サイトのロケーション

サイトがリモートであるかローカルであるか。

サイトのタイプ

テスト・サイトであるか、稼働中の実動サイトであるか。

デプロイメント方式

サイトが内部的にデプロイされているか (プライベート・サイト)、外部的にデプロイされているか (インターネット上)。

CVSS 3.1 環境スコア

CVSS (Common Vulnerability Scoring System) バージョン 3.1 では、基本、一時的、および環境のスコアリングに基づいて、検出された問題に重大度値が割り当てられます。

CVSS では、環境スコアリングにデフォルトのメトリックが使用されますが、アプリケーション環境内で特定のメトリックの相対的な重要性を定義できます。AppScan® では、検出された問題に重大度値を割り当てる際に、カスタマイズされた定義が考慮されます。
注: AppScan Standard 10.2.0 では、使用される CVSS スコアリングのバージョンが CVSS 3.1 に更新されました。10.2.0 より前のバージョンで作成されたスキャンをロードした場合、AppScan は、CVSS 3.1 スコアリングが反映されるように結果を更新することを提案します。更新しないと、そのファイルに対する一部のアクションが制限されます。

CVSS 3.1 スコアリングの詳細については、以下を参照してください。

Common Vulnerability Scoring System バージョン 3.1 計算機

メトリック

機密性要件 (CR)

未定義、低、中、高

完全性要件 (IR)

未定義、低、中、高

可用性要件

未定義、低、中、高

緩和策後の攻撃元区分 (MAV)

未定義、ネットワーク、隣接ネットワーク、ローカル、物理

緩和策後の攻撃条件の複雑さ (MAC)

未定義、低、高

緩和策後の必要な特権レベル (MPR)

未定義、なし、低、高

緩和策後のユーザー関与レベル (MUI)

未定義、なし、必須

緩和策後のスコープ (MS)

未定義、変更なし、変更あり

緩和策後の機密性への影響 (MC)

未定義、低、高

緩和策後の完全性への影響 (MI)

未定義、低、高

緩和策後の可用性への影響 (MA)

未定義、低、高

以下も参照してください。

問題の重大度レベル