セキュリティー スキャンは、システムまたはアプリケーションのセキュリティー ポスチャーを評価するために使用される一般的な手順です。 スキャンは、さまざまなルールや障害条件をテストする自動スキャンから、脆弱な部分を特定するために意図的にランダムまたは悪意のある入力を行うことで API をファジングするツール、専門家のチームによって実行される侵入テストなどのアクティブな手段まで多岐にわたります。
セキュリティー スキャンは、ArcGIS SDK で構築されたアプリケーションや、埋め込み ArcGIS アプリとして含まれているアプリケーションなど、特定のアプリケーションに対して実行できます。または、スキャンするシステムと同じ数のさまざまなスキャン タイプやアプローチを使用して、システム全体に適用することもできます。 多くのセキュリティー スキャンでは、悪用可能な状況または既知の悪用可能な脆弱性 (KEV) に基づき、低 (情報) から高 (重大) まで重大度に応じた問題が報告されます。 低リスクか高リスクかの評価は、非常に主観的であることが多く、スキャン フレームワークやサービスを提供するベンダーに依存する場合もあれば、CVSS (共通脆弱性評価システム) スコアなどの外部リスク評価に基づく場合もあります。 いずれにせよ、初期リスクは、システムのアクセシビリティー、影響を受けるソフトウェアがエンド ユーザーの要求にさらされているかどうか、および特定された問題に対してシステムが脆弱な状態で使用または実装されているかどうかといった、悪用の可能性と照らし合わせる必要があります。
ArcGIS は、さまざまなサードパーティー ライブラリーを使用して構築されており、Esri が開発したさまざまな API とエンドポイントを公開しています。 セキュリティー スキャンによって潜在的な問題が見つかることはよくあります。Esri に提出して確認と対応を行う_前_に、組織での確認と検証が行われ、悪用される可能性と関連性を評価する必要があります。 たとえば、ArcGIS Server 管理エンドポイントで脆弱性を検出するスキャンでは、その環境では管理エンドポイントがエンド ユーザーに利用可能にされていない (ArcGIS Web Adaptor で管理アクセスを無効にするなど) という事実が考慮されない場合があります。その問題に対する現実的な悪用方法がないため、検出結果は誤検知と見なされる可能性があります。
セキュリティー スキャンに関連する次の重要な注意事項と推奨事項を検討してください。
セキュリティー スキャンに関連するその他のリソースは、ArcGIS Trust Center の ArcGIS Vulnerability Scanning Guidance ドキュメントで入手できます (アクセスするには ArcGIS ログインが必要です)。