リスクスコアと有効期限に対する補完コントロールの影響

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • 修復オーナーは、ホスト脆弱性一致アイテムや修復タスクのリスク削減を要求できます。脆弱性マネージャーまたはアナリストは、これらのリスク削減要求を承認できます。

    リスク削減を要求し、リスク削減承認を行う方法の詳細については、「脆弱性一致アイテムや修復タスクのリスク削減を要求する」および「脆弱性マネージャーワークスペース で要求を承認または却下」をそれぞれ参照してください。

    リスク削減要求が承認されると、ステータス変更承認 (VCA#) レコードの [目標値] (リスク評価) に従ってリスクスコアが低下します。リスク削減要求が承認されると、目的のリスク評価の最も高いリスクスコアがレコードに割り当てられます。次の例は、補完コントロールが適用されたときに [リスクスコア] と [元のリスクスコア] がどのように更新されるかを示しています。次の例では、リスク評価のデフォルトの最高リスクスコアが使用されます。

    表 : 1. リスクスコアと元のリスクスコアに対する補完コントロールの影響
    シナリオ リスク評価 リスクスコア 元のリスクスコア (計算されたリスクスコア)
    v20.0 より前のデータ 2 - 高 80 このフィールドは v20.0 より前では使用できません。
    v20.0 へのアップグレード後 2 - 高 80 Null
    計算済みのリスクスコアが取り込み時に 90 に変更される 1 - 重大 90 Null
    補完コントロールの適用時 3:中 69 90
    計算済みのリスクスコアが取り込み時に 70 に変更される 3:中 69 70
    計算済みのリスクスコアが取り込み時に 50 に変更される 3:中 50 50
    計算済みのリスクスコアが取り込み時に 80 に変更される 3:中 50 80
    補完コントロールが [リスク削減の期限日] に期限切れとなった場合 2 - 高 80 Null

    修復タスクに対する補完コントロールの影響

    リスク削減の要求が修復タスクに対して承認された場合、脆弱性一致アイテムに対する補完コントロールの影響は次のとおりです。

    • 修復タスクに適用された補完コントロールは、修復タスクのステータス変更承認において [目標値 (Desired value)] に対応するリスクスコアよりもリスクスコアが高い脆弱性一致アイテム ([クローズ済み] ステータス以外) に適用されます。これらの脆弱性一致アイテムのリスクスコアは、[目標値] に従って削減されます。
    • 新しい脆弱性一致アイテムが取り込まれ、承認された補完コントロールが既に存在する修復タスクに関連付けられると、低減されたリスク評価が新しい脆弱性一致アイテムによって自動的に継承されます。新しい脆弱性一致アイテムのリスクスコアは、承認済みステータス変更承認レコードの [目標値] と一致するように設定され、[元のリスクスコア] フィールドにはスキャナーで計算された値が反映されます。これは、脆弱性対応、アプリケーション脆弱性対応、およびコンテナ脆弱性対応のすべての検索タイプに適用されます。
    • 修復タスクから補完コントロールを継承する、新しく取り込まれた脆弱性一致アイテムの SLA は、元のスキャナー重大度レベルではなく、低減されたリスクレベルに基づいて計算されます。
    • [リスク削減の期限日] は、補完コントロールが既に適用されている脆弱性一致アイテムについては変更されません。修復タスクの [リスク削減の期限日] では更新されません。
    • [リスク削減の期限日]は、これまで補償コントロールが脆弱性一致アイテムに適用されていなかった場合にのみ、脆弱性一致アイテムにロールダウンされます。修復タスクに補完コントロールを再度適用すると、脆弱性一致アイテムの既存の [リスク削減の期限日] が優先されるため、[リスク削減の期限日] は脆弱性一致アイテムにロールダウンされません。
    • 補完コントロールが既に適用されている修復タスクに新しい脆弱性一致アイテムが追加されると、補完コントロールが新しい脆弱性一致アイテムに自動的に適用され、そのリスクスコアが承認済みステータス変更承認レコードの目標値と一致するように低下します。

    脆弱性一致アイテムに対する補完コントロールの影響

    脆弱性一致アイテムに対するリスク削減の要求が承認されている場合:

    • 新しいリスクスコアが [リスクスコア] フィールドに表示され、古いリスクスコア (算出されたリスクスコア) が [元のリスクスコア] フィールドに移動します。この変更は、[リスク削減の期限日] フィールドで指定された日付まで保持されます。
    • 取り込み時に、脆弱性一致アイテムに補完コントロールが既に適用されている場合:
      • 算出されたリスクスコアがリスクスコアより大きい場合、リスクスコアは同じままになり、元のリスクスコアは算出されたリスクスコアで更新されます。
      • 算出されたリスクスコアがリスクスコアより小さい場合、リスクスコアと元のリスクスコアの両方が算出されたリスクスコアで更新されます。
    • 構成アイテム (CI) が脆弱性一致アイテム (補完コントロールが既に適用) に変更された場合:
      • sn_sec_cmn.update_on_ci_change システムプロパティが true に設定されていると、デフォルトで脆弱性一致アイテムに対して CI が更新されます。

        補完コントロールは引き続き脆弱性一致アイテムに適用されます。

      • sn_sec_cmn.update_on_ci_change システムプロパティが false に設定されている場合、脆弱性一致アイテムはクローズされ、新しい脆弱性一致アイテムが作成されます。

        古い脆弱性一致アイテムに適用された補完コントロールは、新しい脆弱性一致アイテムに適用され、[リスク削減の期限日][元のリスクスコア]、および [リスクスコア] は同じままです。

    • 脆弱性一致アイテムがスキャナーによって再オープンし、補完コントロールが既に適用されている場合は、再オープン後に同じ補完コントロールが適用されます。