アプリケーション脆弱性対応 リリースノート

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:7分

    • ServiceNow® アプリケーション脆弱性対応 アプリケーションを使用すると、セキュリティと IT が連携して迅速かつ効率的に最も重要な脆弱性を修正できます。アプリケーション脆弱性対応ServiceNow® 脆弱性対応 アプリケーションの一部として含まれています。アプリケーション脆弱性対応Yokohama リリースで拡張および更新されました。

    Yokohama リリースでの アプリケーション脆弱性対応 の特長

    • ペネトレーションテストワークスペースで、ペネトレーションテストの要求と結果、およびチームの全体的な進捗状況を監視します。
    • Vulnerability Manager ワークスペース 内の特定のアプリケーション脆弱性一致アイテムのリスクスコア、アサイン、修復ターゲット日、および修復タスクを再評価します。
    • サポートされているサードパーティのスキャナーと統合して、脆弱性データをインポートします。
    • アプリケーション脆弱性関連データを比較して、アプリケーション内にアプリケーション脆弱性があるかが判断されます。
    • アプリケーション脆弱性一致アイテム (AVIT) に優先順位を付け、修復し、管理します。各アプリケーション脆弱性は、共通脆弱性タイプ一覧 (CWE)、またはサードパーティライブラリ内の脆弱性エントリーを表しています。
    • sn_vul.app_sec_manager ロールを使用して、Vulnerability Manager ワークスペースでアプリケーション修復タスクを手動で作成します。
    • sn_vul.app_security_champion ロールを使用して、IT 修復ワークスペースでアプリケーション修復タスクを手動で作成します。

    詳細については、「Application Vulnerability Response」を参照してください。

    重要:
    アプリケーション脆弱性対応 は、ServiceNow Store で入手可能です。詳細については、これらのリリースノートの「アクティベーション情報」セクションを参照してください。

    アプリケーション脆弱性対応Yokohama にアップグレードする際の重要な情報

    Yokohama リリースの新機能

    脆弱性マネージャーワークスペースでのアプリケーション修復タスクの手動作成
    sn_vul.app_sec_manager ロールでは、Vulnerability Manager ワークスペース内のアプリケーション脆弱性一致アイテムのリストで一部またはすべてのレコードを選択することで、アプリケーション修復タスクを手動で作成できます。これらのレコードは、アプリケーション修復タスクの作成時に選択されたグループ化基準に従って、1 つ以上の修復タスクにグループ化されます。
    IT 修復ワークスペースでのアプリケーション修復タスクの手動作成
    sn_vul.app_security_champion ロールでは、IT 修復ワークスペース 内のアプリケーション脆弱性一致アイテムのリストで目的のレコードを選択することで、アプリケーション修復タスクを手動で作成できます。これらのレコードは、アプリケーション修復タスクの作成時に選択されたグループ化基準に従って、1 つ以上の修復タスクにグループ化されます。
    ペネトレーションテストワークスペース

    ペネトレーションテストワークスペースで、ペネトレーションテストの要求と結果、およびチームの全体的な進捗状況を監視します。ダッシュボードで次のデータを可視化して、注意が必要なテストに優先順位を付け、結果を追跡し、アサインを表示します。

    • 重要なアイテム。
    • 状況別の重要なペネトレーションテスト要求。
    • レポートされた結果。
    • アサインに基づく全体的な修復の進捗状況。
    ペネトレーションテストアセスメント要求の機能拡張
    ペネトレーションテストワークスペースのペネトレーションテストアセスメント要求フォームには、完全ペネトレーション、集中、および再テストに加えて、次のアセスメントタイプが含まれています。
    • 緊急リリース - セキュリティの脆弱性などの重大な問題に対処するための迅速なソフトウェア更新に必要な緊急リリースをサポートします。
    • バグバウンティプログラム (Bug bounty programs) - セキュリティの脆弱性を発見して報告した倫理的なハッカーに報酬を与えます。
    • リリース承認 - 新しいソフトウェアを展開する前に、必要なすべてのチェックが完了していることを確認します。
    • ワンオフレビュー - 通常の開発およびリリース サイクル以外の特定のプロジェクトを評価して、パフォーマンスを評価し、改善を実装します。
    • 経営幹部の関心 - 組織内の重要プロジェクトに対するシニアマネージャーの関与やサポートに関するレポート。

    [リリース承認] フィールドと [リリースノート] フィールドの機能拡張により、ペネトレーションテスト結果の品質とセキュリティを確保できます。

    [リリース承認] フィールドに次の状況が追加されました。
    • [該当なし] (デフォルト)。
    • [承認済み]
    • [拒否]

    [リリースノート] フィールドに、リリース承認を正当化する詳細を追加できます。

    ペネトレーションテストアセスメント要求から手動で AVIT を作成するための CWE の関連付け
    [ペネトレーションテストアセスメント要求] の [ペネトレーションテスト結果] タブでは、手動で作成された AVIT の [脆弱性] フィールドで共通脆弱性タイプ一覧 (CWE) または共通脆弱性識別子 (CVE) を関連付けることができます。
    アプリケーション脆弱性対応 での変更要求の作成
    sn_vul.app_sec_manager ロールと sn_vul.app_sec_champion ロールを持つユーザー、および ITIL ロールを持つ sn_vul.app_developer ロールを持つユーザーは、アプリケーション脆弱性対応 アプリケーションの修復タスクから変更要求を作成できます。変更要求を作成し、手動による介入が必要なアプリケーションの脆弱性 (AVIT) の調査を迅速化します。
    • 構成アイテム (CI) として分類されているスキャン済みアプリケーションの事前設定された情報を使用して変更要求を作成します。
    • アプリケーション脆弱性対応 の変更要求ワークフローは、脆弱性対応 でサポートされているワークフローと似ています。脆弱性対応変更要求ワークフローの詳細については、「Change management for Vulnerability Response」を参照してください。
    注:
    変更要求は、検出されたアプリケーションが構成アイテム (CI) に関連付けられている場合にのみ、アプリケーション脆弱性対応 でサポートされます。検出されたアプリケーションを CI に関連付けるには、[製品モデルを使用 [sn_vul.use_product_model]] システムプロパティで [製品モデル][False] に設定する必要があります。
    ソフトウェア部品表 ワークスペースの機能強化
    • ソフトウェア部品表 SBOM SBOM ワークスペースから一括編集を使用して、複数の BOM エンティティレコードとその関連コンポーネントを削除できます。
    • 削除された BOM エンティティに関連付けられているアプリケーション脆弱性一致アイテム (AVIT) は、自動的に [クローズ済み] に移行します。
    [作業メモ] セクションに脆弱性一致アイテムのリスクスコアの詳細を表示する
    アプリケーション脆弱性対応 v25.0.3 以降、システムプロパティ sn_sec_cmn.risk_score_changes_add_worknotes はデフォルトで非アクティブになっています。有効化した場合のみ、アプリケーション脆弱性一致アイテムのリスクスコアに関連するすべての変更が [作業メモ] セクションに表示されます。さらに、作業メモはリスクスコアが変更された場合にのみ更新されます。

    アクティベーション情報

    ServiceNow Store から要求して アプリケーション脆弱性対応 をインストールします。アプリケーション脆弱性対応 は、脆弱性対応アプリケーションの一部として含まれます。ソフトウェア部品表 アプリケーションには別のサブスクリプションが必要です。 ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースノート情報については、「ServiceNow Storeバージョン履歴のリリースノート」を参照してください。