アプリケーション脆弱性対応 のリスクを自動的に計算する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • アプリケーション脆弱性算出は、アプリケーション脆弱性一致アイテム (AVI) のフィールドの初期リスク値の計算を自動化します。リスク計算により、修復の優先順位を決めるインサイトが得られます。各算出の条件が順番に評価され、最初に一致した算出が使用されます。

    アプリケーション脆弱性算出

    アプリケーション脆弱性対応 ベースシステムには、アプリケーション脆弱性一致アイテムのベース [リスクスコア] を設定する 2 つの脆弱性算出が含まれています。
    • 基本的なリスク算出
    • 高度なリスク算出

    アプリケーション脆弱性算出は、条件フィルターを使用することにより、任意の条件に基づいて AVI の影響度を優先順位付けして評価するようにビルドすることができます。脆弱性のビジネスインパクト、構成アイテム (CI) のクラス、または AVI の経過時間など、追加の脆弱性算出を作成して AVI に他のフィールドを設定できます。または、既存の脆弱性算出機能をカスタマイズすることも可能です。算出は、どのような優先順位でも反映できるように記述できます。詳細については、「アプリケーション脆弱性管理 内のフィルタリング」を参照してください。

    AVI には、リスク算出から導出された [リスクスコア] 値が含まれています。
    注:
    AVI は [ソース重大度] を表示しますが、正規化された重大度は表示しません。正規化された重大度は、[リスクスコア] 値を取得するための算出によって使用されますが、AVI には表示されません。

    各算出機能には、算出ルールのリストが含まれ、その条件によりどのような場合に適用するのかが決定されます。算出が実行されると、各算出ルールの条件が順番に評価され、最初に一致した算出ルールが使用されます。

    有効なすべての脆弱性算出は、AVI が作成されるたびに、関連付けられた CI または脆弱性が変更された場合に、選択したフィールドを設定します。

    正規化された脆弱性重大度を使用して、[基本的なリスク] 算出が AVI の [リスクスコア] を計算します。
    注:
    一度にアクティブにできる算出は、ターゲットフィールド ([リスクスコア]) ごとに 1 つのみです。

    [基本的なリスク] はデフォルトで有効になっています。[Advanced Risk 計算機] はデフォルトで非アクティブになっています。

    アプリケーション脆弱性算出ルール

    ベースシステムの [基本的なリスク算出] の計算には、重大度 (なし~重大) ごとに、重大度に基づいて [リスクスコア] の値 (0 〜 100) をアサインする算出ルールが含まれています。[不明な重大度] には、リスクスコア 100 が自動的にアサインされます。これらの値は調整可能で、[高度なリスク算出] のように、新しい算出ルールやリスクルールを作成できます。
    注:
    アプリケーション脆弱性対応の v23.0 以降では、AVIT でリスクスコアが更新されるたびに、[メモ] セクションが次の詳細で更新されます。
    • 算出グループ名
    • 算出名:算出ルールがテンプレートとスクリプトのどちらに基づいているかに応じて、名前に括弧で囲まれた詳細が追加されます。算出ルールの基準を変更または表示するには、任意のルールを選択し、[詳細表示] チェックボックスをオンにします。[値のタイプ (Value type)] ドロップダウンボックスから、必要なオプションを選択します。[テンプレート] を選択した場合、リスクスコアはルールで指定された条件に従って更新されます。[スクリプト] を選択した場合、既存のスクリプトを追加または更新できます。システムプロパティ sn_sec_cmn.risk_score_changes_add_worknotes は、[作業メモ] セクションへの入力に役立ちます。アプリケーション脆弱性対応 v25.0.3 以降、システムプロパティsn_sec_cmn.risk_score_changes_add_worknotesはデフォルトで無効になっています。これを有効にした場合にのみ、アプリケーション脆弱性一致アイテムのリスクスコアに関連するすべての変更を [作業メモ] セクションで確認できます。また、作業メモは、リスクスコアに変更がある場合にのみ更新されます。
    ベースシステムの [高度なリスク算出] には、[デフォルトのリスクルール]と呼ばれる特殊な脆弱性算出ルールが含まれています。複数の値に基づいて、[リスクスコア] が計算されます。
    • 脆弱性重大度
    • OWASP 上位 10 件
    • SANS 上位 25 位
    デフォルトのリスクルールの基準をカスタマイズできます。詳細については、「リスクルールのフィールドと重み付けを定義する」を参照してください。

    [デフォルトのリスクルール] で使用する値と、これらの各値の重み付けを調整できます。重み付けは、[リスクスコア] を設定するときに各要素をどの程度考慮するかを調整するために使用されます。

    各ルールには [順序] 設定がありますが、条件に一致する最初のルールによって AVI の [リスクスコア] フィールドが更新されます。通常、スクリプト化されていない算出ルールは、スクリプト化された算出ルールよりもパフォーマンスへの影響が少なくなります。

    脆弱性のリスクスコアの重み付け

    すべての脆弱性には、重大度、重要度、エクスプロイト情報などの要素に基づいてリスクスコアと評価がアサインされます。このリスク評価の算出を担当するのが、脆弱性一致アイテムのテーブルのビジネスルール Update Risk Rating from Risk Score です。リスクスコアが変更されるたびに、脆弱性一致アイテムのリスク評価が算出されて入力されます。脆弱性対応 (VR) アプリケーションのバージョン 17.1 より前では、次のリスク評価がスクリプトインクルード VulnerabilityUtils の一部として提供され、ハードコードされていました。
    値 (リスク評価) 重み付け (リスクスコア)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    脆弱性対応 のバージョン 18.0 以降では、
    • 出荷時のリスク評価タイプはベーステーブルで avr_risk_rating となっています。リスク評価タイプは、リスク評価が計算される各テーブルのビジネスルールの一部として渡されます。
    • リスク評価の算出の対象となる [リスクスコアの重み付け] テーブルの値をクエリできるように、スクリプトが変更されます。
    • 既存のタイプにエントリを追加するか、新しいタイプを作成します。新しいタイプを作成するときは、新しいリスク評価のラベルを追加し、関連するスクリプトとビジネスルールも変更してください。新しいリスクスコアのスタイルも新たに追加する必要があります。
    • ベーステーブルのレコードをクエリするようにスクリプトを変更します。
    [リスクスコアの重み付け] テーブルにアクセスするには、フィルターナビゲーターに「sn_sec_cmn_risk_score_weight」と入力します。
    さらに、次のシナリオではリスクスコアが自動的に再計算されます。
    • 構成アイテム (CI) が非インターネットフェーシングからインターネットフェーシングに変更されたとき。
    • 脆弱性一致アイテム (VI) の関連する一般的な脆弱性とエクスポージャー (CVE) またはサードパーティエントリー (TPE) が、CVE の既知の悪用された脆弱性 (KEV) にリンクされている場合。