コンテナ脆弱性対応リリースノート

  • リリースバージョン: Australia
  • 更新日 2026年04月06日
  • 所要時間:9分

    • ServiceNow® コンテナ脆弱性対応 アプリケーションを使用すると、セキュリティと IT が連携して迅速かつ効率的に最も重要な脆弱性を修正できます。コンテナ脆弱性対応オーストラリア リリースで拡張および更新されました。

    オーストラリア リリースでのコンテナ脆弱性対応の特徴

    • セキュリティエクスポージャー管理の AWS 統合は、 AWS Inspector および AWS Security Hub との統合をサポートしています。
    • 現在 コンテナ脆弱性対応 を使用していて、統合セキュリティエクスポージャー管理 (USEM) にアップグレードする場合は、USEM統合セキュリティエクスポージャー管理移行の詳細については、「統合セキュリティエクスポージャー管理 (USEM) メモ」を参照してください。
    • Wiz との脆弱性対応統合を使用して、Wiz スキャナーからコンテナ脆弱性一致アイテム (CVIT) にコンテナイメージ脆弱性データをインポートします。
    • sn_vul_container.vulnerability_analyst または sn_vul_container.vulnerability_admin ロールを使用して、脆弱性マネージャーワークスペース でコンテナ修復タスクを手動で作成します。
    • sn_vul_container.remediation_owner ロールを使用して、IT 修復ワークスペース でコンテナ修復タスクを手動で作成します。

    詳細については、「Container Vulnerability Response」を参照してください。

    重要:
    コンテナ脆弱性対応 は、ServiceNow Store で入手可能です。詳細については、これらのリリースノートの「アクティベーション情報」セクションを参照してください。

    コンテナ脆弱性対応オーストラリア にアップグレードする際の重要な情報

    コンテナ脆弱性対応の機能拡張により、サードパーティのスキャナーからデータをインポートする際に、拡張されたコンテナ脆弱性データを表示できるようになりました。アップグレード後に、次の「 オーストラリア リリースの新機能」セクションで説明されている、検出されたコンテナイメージ、コンテナイメージの検出、およびコンテナ脆弱性一致アイテムレコードの機能を表示するには、完全インポートを実行する必要があります。

    現在 コンテナ脆弱性対応 を使用していて、 統合セキュリティエクスポージャー管理 (USEM) にアップグレードする予定がない場合は、 コンテナ脆弱性対応 v30.x より前のバージョンをインストールし、サポートされているサードパーティ統合アプリケーションにアップグレードしてください。

    コンテナ脆弱性対応アプリケーションのリリースバージョン、オーストラリア リリースと互換性のあるサードパーティアプリケーションや ServiceNow アプリケーションについて詳しくは、Now Support ナレッジベースの「Vulnerability Response Compatibility Matrix and Release Schema Changes (脆弱性対応互換性マトリクスおよびリリーススキーマの変更) [KB0856498]」の記事を参照してください。

    オーストラリア リリースの新機能

    Container Vulnerability Response の機能拡張

    コンテナ脆弱性対応 アプリケーションで新規および既存の検出されたコンテナイメージのイメージリポジトリ名の形式が、ディスカバリー形式に合わせて更新されました。完全インポートを実行して、既存レコードと新規レコードのレジストリ/リポジトリの拡張を表示します。

    • レジストリ/リポジトリ形式は、 Palo Alto Networks Prisma Cloud Compute との脆弱性対応統合Wiz との脆弱性対応統合 を含む、すべてのサードパーティ統合でサポートされています。
    • イメージに関連付けられているすべてのリポジトリを、検出されたコンテナイメージ [sn_vul_container_image] テーブルのレコードの [リポジトリ] フィールドに追加しました。これにより、特定のリポジトリのイメージを表示できるようになります。
    • コンテナ脆弱性統合の検索キーを構成するためのデフォルトの統合インスタンスパラメーターには、src_ci、vulnerability、package、image_layer、および image_repository が含まれます。

    コンテナイメージの検索結果 [sn_vul_container_image_findings] テーブルに source_id 列を追加しました。Palo Alto Networks Prisma Cloud Compute の脆弱性対応統合 および Wiz との脆弱性対応統合を含むすべてのサードパーティ統合の検索結果レコードの [ソース ID] フィールドにインポートからの id 属性をマッピングしました。

    AWS Integration for Security Exposure Management
    セキュリティエクスポージャー管理の AWS 統合は、次の AWS サービスとの統合をサポートしています。
    • AWS Inspector は、EC2 インスタンス、ECR コンテナイメージ、Lambda 関数を継続的にスキャンして、ソフトウェアの脆弱性 (CVE) や意図しないネットワークエクスポージャーがないか確認する、自動化された脆弱性管理サービスです。AWS Inspector の脆弱性対応統合は、 AWS Inspector からホストとコンテナの脆弱性結果をインポートします。
    • AWS Security Hub は、 AWS アカウント全体のセキュリティチェックを一元化して更新するために使用されるセキュリティサービスです。さまざまな AWS サービスと統合することで、セキュリティアラートとコンプライアンスステータスの統一ビューを提供します。脆弱性対応と AWS Security Hub の統合は、AWS Security Hub からホスト、コンテナの脆弱性、および構成ミスをインポートします。
    セキュリティエクスポージャー管理のための統合 Microsoft Defender 統合
    Microsoft Defender for Cloud プラグインと Microsoft Defender 脅威と脆弱性管理 (MS TVM) プラグインは、単一のプラグインである Microsoft Defender Integration for Security Exposure Management に統合されました。この統合により、スタンドアロンの Microsoft Defender for Cloud プラグインは廃止されます。統合プラグインでは、Microsoft Defender for Cloud からのコンテナイメージ脆弱性の取り込みも導入され、インスタンスにコンテナ脆弱性一致アイテムが作成されます。廃止されたアプリケーションから統合プラグインに既存のデータを転送するためのガイド付き移行パスを使用できます。
    コンテナ脆弱性対応 CVIT 作成用のイメージ脆弱性キーの構成
    コンテナ脆弱性一致アイテム (CVIT) を作成するイメージ脆弱性キーについて、 ServiceNow AI Platform® インスタンスの [イメージ脆弱性キーを構成] [sn_vul_container_image_vulnerability_keys] テーブルにレコードを構成します。
    • Wiz によって提供されるユニバーサルユニーク識別子 (UUID) が、Wiz ホスト脆弱性統合の検出キーとしてマッピングされるようになりました。
    • AWS ECS (Elastic Container Service) 環境と AWS EKS (Elastic Kubernetes Service) 環境がサポートされています。
    • クラスターとサービスは、 AWS ECS 環境でサポートされています。
    • 名前空間、レジストリ、およびサービスは、 AWS EKS 環境でサポートされています。
    • AWS ECS および AWS EKS のデータインポートのソースとして、[スキャナー] (サードパーティのスキャナー) または [ディスカバリー (構成管理データベース (CMDB))] のいずれかを選択します。
      注:

      データソースとして [ディスカバリー ] を選択した場合は、イメージの関係性の設定スケジュール済みジョブが毎日実行され、クラスターとサービスの詳細が事前にインポートされます。インポート前のデータが利用可能であることを確認するために、このスケジュール済みジョブが完了してから少なくとも 4 時間後にサードパーティ統合の実行をスケジュールする必要があります。このジョブはデフォルトでアクティブ化されていますが、スケジュールされたサードパーティ統合の実行前に実行されるようにスケジュールを設定する必要があります。

      新規のお客様のみ:システムプロパティ sn_vul_container.image_relationship_mapping_months は、関係マッピングを処理するときにサードパーティ統合でコンテナイメージの更新を検索する前の月の数 (1 〜 12) を設定します。このデータは、sys_updated_onフィールドで画像をフィルタリングするために使用されます。デフォルト設定は 3 か月です。統合実行を構成すると、過去 90 日間にスキャンされ、検出されたコンテナイメージに存在するイメージの関係マッピングが作成されます。

    • [イメージ脆弱性キーを構成] 設定ページの選択に応じて、コンテナ脆弱性一致アイテム [sn_vul_container_image_vulnerable_item] テーブルの列ラベルが更新され、スキャナーとディスカバリーのオプションがサポートされます。
      • スキャナーデータのクラスター (スキャナー)、名前空間 (スキャナー)、およびサービス (スキャナー)
      • ディスカバリー のクラスター (ディスカバリー)、名前空間 (ディスカバリー)、およびサービス (ディスカバリー)

    廃止された機能

    • Wiz サードパーティとの Palo Alto Networks Prisma Cloud Compute の脆弱性対応統合 および脆弱性対応統合のコンテナイメージパッケージ [sn_vul_container_image_package] テーブルのパス列。正確で一貫性のあるパスとイメージの関連付けをサポートするために、パス追跡がコンテナイメージ検索 [sn_vul_container_image_findings] テーブルのパス列に移動されました。

      これらの統合を使用する場合は、コンテナイメージの検索 [sn_vul_container_image_findings] テーブルにある [パス] 列を参照する必要があります。

    • Wiz との脆弱性対応統合のバックフィル統合によってインポートされた資産の保存に使用される不足している資産 [sn_vul_wiz_missing_asset] テーブルは廃止されました。現在Wiz統合で 脆弱性対応 を使用している場合は、バージョン 1.1 に更新した後、既存のWizプライマリ統合を 3 日間さかのぼって実行する必要があります。Wiz 統合の詳細については、Security Operations Community の SecOps 記事を参照してください。

    アクティベーション情報

    コンテナ脆弱性対応 およびサードパーティの統合を ServiceNow Store から要求してインストールします。 ServiceNow Storeにアクセスして、利用可能なすべてのアプリを表示し、ストアに要求を送信する方法を確認してください。リリースされたすべてのアプリのリリースメモ情報については、「ServiceNow Store バージョンの履歴リリースノート」を参照してください。