Skip to main content

セキュリティ制御の追加、編集、削除

セキュリティ制御が適用される言語は、Java、.NET Framework、.NET Coreのみです。

手順

  1. ユーザメニュー > ポリシーの管理を選択し、セキュリティ制御を選択します。

    既にセキュリティ制御がある場合は、セキュリティ制御の一覧に表示されます。

  2. 編集する場合は既存のセキュリティ制御の名前を選択します。新規に作成する場合は、セキュリティ制御を追加を選択します。

  3. 表示される画面で、以下の項目を入力します。

    • 名前

    • 言語: Java、.NET Framework、.NET Coreから選択します。

    • 種類:以下のいずれかのメソッドを選択します。

      • 入力バリデーション(Input Validator)は、ユーザ入力を受け付けて、安全でないデータを受信した場合に修正処理を行います。

      • 無害化(Sanitizer)は、渡されたデータをクリーンにして、どのインタプリタでも安全に使用できるようにします。無害化によって、ある種類の攻撃を防ぐことができても、他の種類の攻撃が防げるわけではありません。

    • API:APIを指定する際は、以下の規約を考慮してください。

      • Javaの場合には、メソッド名とパラメータを含める必要があります。完全修飾型を使用し、java.lang.Stringパラメータ(boolean、int、long、short double、floatなどでない)のみを対象とします。

      • .NET Frameworkおよび.NET Coreの場合:

        • 戻り値の型(またはvoid)、メソッド名、パラメータを含めます。完全修飾型を使用し、System.Stringパラメータのみを対象とします。

        • パラメータ間にスペースが無いことを確認してください。

      • バリデーションまたは無害化されるパラメータにアスタリスク(*)を付けます。

    • 対象ルール:全ての脆弱性ルールを選択することも、個別の脆弱性ルールを1つ以上選択することもできます。

  4. 保存を選択して新しいセキュリティ制御を作成します。既存のセキュリティ制御を編集する場合は、このパネルから削除アイコンを使用してセキュリティ制御を削除することもできます。

  5. 表の下部に、Contrastが検出した潜在的なセキュリティ制御の候補が推奨として、クラスとメソッドとともに表示されます(このセクションは、ヘッダ行のキャレットをクリックして非表示にできます)。

    セキュリティ制御が初めて自動的に検出された場合は、該当するアプリケーションのView権限以上を持つ全てのユーザに通知されます。

    APIにカーソルを合わせて、この推奨が検出された場所を確認します。また、必要に応じてアプリケーション名を選択し、そのアプリケーションのコンテキストで脆弱性を確認します。

    推奨されるセキュリティ制御の行の端にあるプラス記号のアイコン(icon-add.svg)を使用して、推奨を新しいセキュリティ制御として追加し、上の表に含めます。追加する前に、名前、API、種類フィールドを直接編集できます。セキュリティ制御の追加後、名前を選択し、セキュリティ制御が正しいアプリケーションルールに適用されることを確認します。

    推奨を削除するには、ゴミ箱アイコン(routeRemoveIcon.png)を使用します。Contrastからの推奨は繰り返されないので、一度削除するとそのAPIが再度推奨されることはありません。過去の推奨を表示したり、戻す方法はありません。

注記

サーバの再起動が必要な場合があります。選択した内容によって、影響を受けるサーバの一覧が表示されます。

特定の脆弱性に対応したセキュリティ制御の作成

タグイベントを使用して、特定の脆弱性のコンテキストでセキュリティ制御を作成することもできます。

Contrastによって脆弱性のランタイムのデータフローがキャプチャされた場合、脆弱性 > 脆弱性の名前 > 詳細を選択して、その脆弱性の詳細情報を確認できます。検出された潜在的なセキュリティ制御によってタグイベントがトリガーされ、それが深刻度の低い(緑色の)イベントとして表示されます。イベントを展開すると、セキュリティ制御の追加を選択できます。

また、「内部のセキュリティ制御を通過」という理由で脆弱性を問題無しとマークした場合は、そのセキュリティ制御をその時点で定義できます。

このセクションの内容: