脆弱性対応 のリスクスコア算出の例
リスクスコア算出を決定し、組織に固有の脆弱性および資産データを使用するリスクスコアを生成できます。
リスクルール算出スコアを決定する例
次の例は、リスクルール算出のスコアを決定する方法を示しています。
リスクルール算出が、次の表のフィールドで構成されていると仮定します。
また、次の表に示されている脆弱性一致アイテムがシステムに存在すると仮定します。
脆弱性一致アイテムのリスクスコア算出は、次の式に基づいて計算されます。
| フィールド | 重み付け | 重み付けブレークダウン |
|---|---|---|
| 脆弱性重大度 | 50 | デフォルト:20 1 - 重大:100 2 - 高:80 3 - 中:60 4 - 低:40 5 - なし:20 |
| 脆弱性エクスプロイトが存在 | 50 | デフォルト:50 はい:100 いいえ:0 |
| ID | 脆弱性重大度 | 脆弱性エクスプロイトが存在 |
|---|---|---|
| VIT00001 | 1 - 重大 | 1 - はい |
| VIT00002 | 2 - 高 | 1 - はい |
| VIT00003 | 3:中 | 2 – いいえ |
| VIT00004 | 4:低 | 2 – いいえ |
| VIT00005 | 5:なし | 2 – いいえ |
リスクスコア = (W(重大度) * FV (重大度) + W (エクスプロイト存在) * FV (エクスプロイト存在)) / 100
ここで、W は重み付け、FV はフィールド値の重み付け割合です。
これらの脆弱性一致アイテムに対する計算後のリスクスコアは、次の表のとおりです。
| ID | 脆弱性重大度 (50%) | 脆弱性エクスプロイトが存在 (50%) | 結果のリスクスコア |
|---|---|---|---|
| VIT00001 | 1 - 重大 (50% x 100) | 1 - はい (50% x 100) | 100 |
| VIT00002 | 2 - 高 (50% x 80) | 1 - はい (50% x 100) | 90 |
| VIT00003 | 3 - 中 (50% x 60) | 2 – いいえ (50% x 0) | 30 |
| VIT00004 | 4 - 低 (50% x 40) | 2 – いいえ (50% x 0) | 20 |
| VIT00005 | 5 - なし (50% x 20) | 2 – いいえ (50% x 0) | 10 |
注:
VIT00005 の場合は、重大度の値が空であるため、デフォルトの重み付けが適用されます。
いずれかのフィールド値の重み付けのパーセンテージが変更された場合は、結果についてのこの表を参照してください。
| フィールド | 重み付け | 重み付けブレークダウン |
|---|---|---|
| 脆弱性重大度 | 50 |
|
| 脆弱性エクスプロイトが存在 | 50 |
|
算出を再適用した後の脆弱性一致アイテムのリスクスコアを次の表に示します。
| ID | 脆弱性重大度 (50%) | 脆弱性エクスプロイトが存在 (50%) | 結果のリスクスコア |
|---|---|---|---|
| VIT00001 | 1 - 重大 (50% x 100) | 1 - はい (50% x 100) | 100 |
| VIT00002 | 2 - 高 (50% x 70) * 改訂値 |
1 - はい (50% x 100) | 85 * 改訂値 |
| VIT00003 | 3 - 中 (50% x 60) | 2 – いいえ (50% x 0) | 30 |
| VIT00004 | 4 - 低 (50% x 40) | 2 – いいえ (50% x 0) | 20 |
| VIT00005 | 5 - なし (50% x 20) | 2 – いいえ (50% x 0) | 10 |