![技術語り-Tech Blog[JP]](https://blogger.googleusercontent.com/img/a/AVvXsEiYsL2e14T1O3H3pP9BUj4BxNQQDgWUK-pNhtt6X8syLNp1zvyRWOG_UEv_Gcanv4Nix1_-8MCZL02odSwi69Cbmp6WJeoNDX8f7GQSPH25NUW3dtNTkcGdKhA0sRemc7CD46aj4pMhd8WzzKViOuxBpGmZ5DaFru2sTTv9Jie9aXa98EppzJj1P3lUvyY=s175)
ServiceNow Vulnerability Response(脆弱性対応管理)導入ガイド【技術者向け】
ServiceNowのVulnerability Response (VR)モジュールを本格導入する際の技術ポイントをまとめました。
Rapid7統合やアプリケーション脆弱性対応を中心に、アプリケーションメニュー、ワークスペース、主要テーブル、プロパティ、典型フローまで実務目線で解説します。(2025年時点のOOTBベース)
1. アプリケーションメニューと主要スコープ
VR関連のメインアプリケーションメニュー(大項目/中項目)
- アプリケーション脆弱性対応
- 手動脆弱性一致アイテム取り込み
- Rapid7脆弱性統合
- セキュリティオペレーション統合
- 脆弱性対応
- 脆弱性マネージャワークスペース
インストールが必要な主なアプリケーションスコープ(Plugin/Storeアプリ)
- Vulnerability Response
- Vulnerability Response Common Workspace
- Vulnerability Response Integration Framework
- Vulnerability Response Patch Orchestration
- Vulnerability Response Patch Orchestration with Microsoft SCCM
- Vulnerability Solution Management
2. ワークスペース(VR/IT修復・脆弱性マネージャ)
IT修復ワークスペース
- ホーム → 所属グループ/自分アサイン/自分の要求
- ダッシュボード → 所属グループアサイン、自分アサイン、自分の要求
- リスト → 修復タスク、影響資産、ホスト脆弱性一致アイテム、アプリケーション脆弱性、ソリューション、例外要求など
脆弱性マネージャワークスペース
- ホーム → ホスト脆弱性 / アプリケーション脆弱性
- 監視トピック(OOTB例):
- Vulnerabilities on External Facing Assets
- Vulnerabilities with Exploits Available
- Critical Overdue Vulnerabilities
- Log4j Vulnerabilities など - 表示グリッド:修復ステータス別、リスク評価別、CIクラス別、By Cloud Resource など
補足:ワークスペースはSecurity Operations Workspace(SIR)と連携可能。VRは修復タスク中心の運用に最適化されています。
3. 主要テーブル(237テーブル中抜粋・技術者必見)
sys_db_objectで「vul」検索で一覧化可能。主要なものをカテゴリ別に。
| カテゴリ | テーブル名 | 物理名 | 主な用途 |
|---|---|---|---|
| 修復タスク | 修復タスク | sn_vul_vulnerability | 脆弱性ごとの修復作業管理 |
| 一致アイテム | 脆弱性一致アイテム | sn_vul_vulnerable_item | 検出された脆弱性とCIの紐づけ |
| アプリ脆弱性 | アプリケーション脆弱性一致アイテム | sn_vul_app_vulnerable_item | DAST/SAST/SCA由来のアプリ脆弱性 |
| ソリューション | 脆弱性ソリューション | sn_vul_solution | パッチ/回避策の管理 |
| ルール | 脆弱性アサインルール | sn_vul_assignment_rule | 自動アサイン条件 |
| 例外 | 例外ルール | sn_vul_auto_exception_rule | 自動例外適用 |
| 統合 | Rapid7統合 | sn_vul_r7_rapid7_integration | Rapid7スキャナ連携 |
| データソース | NVD | sn_vul_nvd_entry | 国家脆弱性データベース |
4. 典型フローとER図的理解
- 脆弱性スキャナー(Rapid7など)起動 → 構成アイテム(サーバー/アプリ)と突合
- 脆弱性アイテム生成(VIT / AVIT)
- 修復タスク自動生成(グループルール・アサインルール適用)
- タスク解決 → ステータス同期 → 自動クローズ
詳細ER/フロー図はSecurity Operations関連記事を参照。
実務では「検出 → 突合 → タスク → 修復 → 検証」のエンドツーエンドを意識。
5. 主要システムプロパティ(パフォーマンス・挙動に直結)
- sn_vul.vit.auto_exception → 取り込み時に自動例外適用
- sn_vul.create_closed → クローズ済みVIT/AVITを作成しない
- sn_vul.default_assignment_group → デフォルトアサイン先
- sn_vul.update_vit_from_detection → 検出値でVITを更新(パフォーマンス影響大)
- CSDM 4.0対応オプション → 製品モデルベースのルックアップ切り替え
注意:一部プロパティはtrueにするとパフォーマンス劣化(特にVIT更新)。運用前にテスト必須。
6. 脆弱性の種類比較(アプリ vs クラウド vs ネットワーク vs インフラ)
| 種類 | 対象 | 検出方法 | 主な例 | 対処者 | 影響例 |
|---|---|---|---|---|---|
| アプリケーション | コード/ライブラリ/API | DAST, SAST, SCA, ペネトレ | XSS, SQLi, Log4j | 開発/DevSecOps | データ漏洩 |
| クラウド | 設定/IAM | クラウドスキャン | 公開バケット, 過剰権限 | クラウド管理者 | リソース悪用 |
| ネットワーク | ポート/暗号化 | ネットワークスキャン | 開ポート, 弱暗号 | NW管理者 | DDoS/盗聴 |
| インフラ | OS/コンテナ | 脆弱性スキャン | 未パッチ, エスケープ | システム管理者 | 乗っ取り |
VRはこれらを横断的に管理可能。特にアプリ脆弱性(DAST/SAST/SCA)は専用ビューが充実。
まとめ:導入時の技術チェックポイント
- Plugin/スコープの正しいアクティベート
- Rapid7などスキャナー統合設定(認証・スケジュール)
- 主要プロパティのチューニング(パフォーマンス重視)
- ワークスペースのカスタマイズ(監視トピック追加)
- テーブル/ルールの初期マッピング(アサイン/例外)
- ダッシュボード活用でMTTR可視化
これでVRの全体像がつかめ、実装・運用がスムーズになるはずです。
質問や現場Tipsがあればコメントください!
画像や旧記事リンクは以下です。
脆弱性管理1
脆弱性管理2
#ServiceNow #VulnerabilityResponse #VR #SecurityOperations #Rapid7 #DevSecOps
![[ServiceNow]Virtual Agentでポータル画面にチャットボットを作成](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEja_tlyZ6gVLGUFCVuH4M7KespvC9sOpvga-g-0sXJq7KL7wHQ3O-psnItZWzv7lxykJ-yo-OtfELpHim2cml73SePV0M_JU8n9L3Wm93w0X0cICJMzLKokldJR5EvkrieFC0Fi_ZiH7CA/s320/FireShot+Capture+010+-+Applications+-+ServiceNow+-+dev74512.service-now.com.png)