本Stepでは、診断と対応の判断基準を定める「診断実施ポリシー」と「脆弱性対応ポリシー」の設定を通じて、お客様のWebアプリケーションに対する脆弱性管理を、効率的かつ体系的に運用開始するための手順を解説します。
※設定には、「Copilot管理者」の権限が必要となります。
| 目次
診断実施ポリシー設定
Webサイトの特性から「診断対象となるWebサイトかどうか?」を判定したり、開発案件の情報をもとに「今回のリリースにあたって診断が必要か?」を判定するためのルール(ポリシー)を設定します。
あらかじめ、自社のセキュリティポリシーや、脆弱性診断ガイドライン等の規程をご用意いただき、それらに適合するようなルールを作成することが可能です。
手順
1.画面上部の①「組織設定」→②「診断実施ポリシー設定」をクリックします。
2.「新規作成」をクリックします。
3.「ポリシー名」、「ポリシーの説明」を設定します。
4.ポリシーの設定方法には以下の3つの方法があり、それぞれに手順が異なります。
設定方法 |
特徴 |
適しているケース |
| a)テキスト | 簡易なルールや、複雑な判断が不要な場合に、文字情報としてポリシーを設定します。 | 診断ルールが非常にシンプルな場合 |
| b)決定木 | 複数の条件分岐(Yes/No)を組み合わせ、最終的な判定結果(診断必須/任意)を導くフローチャート形式でルールを構築します。 | 社内ポリシーなどで定められた、複雑で明確な判定フローがある場合 |
| c)生成AIによる生成 | 自社のセキュリティガイドラインや既存のドキュメントを入力するだけで、AIが自動的に決定木を生成・提案します。 | 複雑なルールを迅速に構造化したい場合や、設定工数を削減したい場合 |
a)テキスト
以下のようにフリーテキストでポリシーを設定します。
b)決定木
以下のように入力ボックス(ノード)が表示されます。
<作成手順>
① ノードに、最初の質問を入力します。
② ⇩アイコンから「分岐を追加」を選択し、必要な回答(例:「yes」「no」)に応じてノードを作成します。
③ 上記①②を繰り返し、決定木を作成していきます。
④ 判定結果に到達したら、⇩アイコンから「終端処理」を選択し、「診断必須」または「診断任意」を選択します。
⑤ 終端となるノードにコメントを入力します。
⑥ 自社ポリシー等に定める判定ルールが設定できるまで、上記①~⑤を繰り返します。
<作成後イメージ>
c)生成AIによる作成
以下のようにフリーテキストで自社のセキュリティガイドライン等の文章を入力します。
※「組織設定>AI利用設定>管理者のAIの利用」が「利用する」となっている場合のみ有効です。
「この内容で生成」をクリックすることで、自動で決定木が作成されます。
4.作成後、「公開」をクリックします。
※一時保存をクリックすることで、公開せずに保存できます。
脆弱性対応ポリシー設定
検出された脆弱性について「対応(修正)すべきか」の判断基準を設定します。
手順
1.画面上部の①「組織設定」→②「脆弱性対応ポリシー設定」をクリックします。
2.「新規作成」をクリックします。
3.「ポリシータイプ」では、「深刻度」毎、または「脆弱性」毎に対応要否を指定できます。
a)「ポリシータイプ」が「深刻度」の場合
以下の通り、深刻度毎に対応要否(対応必須、対応任意)を設定可能です。
b)「ポリシータイプ」が「脆弱性」の場合
以下の通り、脆弱性(スキャンルール)毎に対応要否(対応必須、対応任意)を設定可能です。
4.作成後、「登録」をクリックします。
|
MEMO
|