コンフィグレーションコンプライアンス の例外管理の概要
組織が公開されている脆弱性管理またはセキュリティ方針、規格、指針に準拠できない場合、例外を要求できます。例外管理では、ポリシーに従って修復できない修復タスクに対する例外の要求、レビュー、承認、または却下を行います。
重要:
例外管理は、 脆弱性マネージャーワークスペース と IT 修復ワークスペースでサポートされています。
注:
コンフィグレーションコンプライアンス の v14.9 以降では、次の用語が変更されました。
| v14.9 より前の用語 | v14.9 以降の用語 |
|---|---|
| テスト結果グループ | 修復タスク |
| グループルール | 修復タスクルール |
| ポリシー | テストグループ |
脆弱性によっては、既存のパッチ、修正、またはソリューションがないこともあります。例外が承認されるということは、構成関連の脆弱性を修復しなかった場合の結果を認識し、同意していることになるため、リスクを受け入れているということでもあるのです。
例外のライフサイクル
例外は、修復タスクの修復を指定した期間保留することを要求するものです。
例外のライフサイクルは次のとおりです。
- 例外の要求
- 例外要求を承認する
- 例外要求の追跡
- 例外要求の有効期限
修復オーナーは、例外管理プロセスを使用して、修復タスクの免除を要求できます。承認プロセス中、修復タスクは [レビュー中] ステータスを維持します。例外承認者がこの要求を承認すると、修復タスクは [保留] ステータスに移行します。
重要:
IT 修復ワークスペースから例外を要求できます。詳細については、「IT 修復ワークスペースで例外を要求する」を参照してください。
すぐに修復できない修復タスクは、レビューしてリスク評価され、修復できるまでの保留が承認されます。例外要求の承認は 2 レベルワークフローにすることができます。第 1 レベルの承認者のみが存在する場合、例外を要求して承認できます。ただし、第 1 レベルの承認者がいない場合は、例外を要求できません。詳細については、「コンフィグレーションコンプライアンス の例外承認者を追加する」を参照してください。
重要:
脆弱性マネージャーワークスペースから例外要求を承認または却下できます。詳細については、「で修復タスクとレコードの例外を要求する 脆弱性マネージャーワークスペース」を参照してください。
注:
コンフィグレーションコンプライアンス v13.0 以降では、CC アプリケーションを初めて展開する場合は、例外管理のフローデザイナーがデフォルトで有効になります。既にワークフローを使用している場合は、フローデザイナーに更新できます。どちらの場合も、ワークフローに戻すことはできません。
修復タスクの例外要求が承認されると、次のアクションを実行できます。
- 再オープン
- 削除
注:
却下コメントは、修復タスクの作業メモに表示されます。例外要求が却下された場合、この修復タスクは前のステータスに戻ります。
例外が発生した後、修復タスクの [ステータス変更承認] タブを使用してそのステータスを追跡できます。修復タスクに対してアクションが実行された場合、その修復タスクで個々のテスト結果のステータスを追跡することはできません。
修復タスクの例外要求の有効期限が切れると、修復タスクは [オープン] ステータスに戻ります。