脆弱なソフトウェアへのエクスポージャーの評価

リリースバージョン: Yokohama

更新日 2025年01月30日

所要時間：7分

ITSM ソフトウェア資産管理 (SAM) 基盤アプリケーションを使用して、エクスポージャーアセスメントモジュールに公開者と製品情報を入力し、脆弱なソフトウェアに対する資産のゼロデイ (当日) エクスポージャーを評価できます。

重要:

ソフトウェアと共通脆弱性識別子 (CVE) によるエクスポージャーアセスメントを実行して、脆弱性アセスメントワークスペースの追加機能を活用できます。詳細については、「脆弱性アセスメントのワークスペースの詳細」を参照してください。

始める前に

必要なロール：vulnerability admin (sn_vulnerability_write)

脆弱性対応アプリケーションでユーザーとグループが表示および実行できることを管理できるように、ペルソナと詳細ルールが用意されています。セットアップアシスタントでのペルソナロールの初期アサインについては、「セットアップアシスタントを使用した脆弱性対応ペルソナロールのアサイン」を参照してください。詳細なロール管理の詳細については、「脆弱性対応のペルソナと詳細ロールの管理」を参照してください。

評価する脆弱なソフトウェアに関する以下の情報を用意します。

パブリッシャー
バージョン
製品
Edition (エディション)

このタスクについて

システム要件の詳細については、「脆弱性エクスポージャーアセスメントの構成」を参照してください。

ソフトウェアエクスポージャーアセスメントモジュールを表示して、Now Platform® インスタンス内の脆弱性ソフトウェアのエクスポージャーアセスメントレコードをオンデマンドで作成および編集できます。

多数の資産に対する責任を負う大規模運用のために脆弱性対応のアクティビティを管理しているとします。担当の Security Operations Center (SOC) から、脆弱であることが判明したソフトウェアのバージョンについての連絡を受け取ります。資産のスキャンが最近完了しましたが、この脆弱性は見つからなかったことが判明しました。SOC チームは、脆弱性情報データベース (NVD)、共通脆弱性タイプ一覧 (CWE)、またはインスタンス内のその他のサードパーティライブラリ以外の信頼できるソースからこの脆弱性を把握しました。そのため、脆弱性スキャナーに、まだ脆弱性に対応するプラグインが追加されていないことが懸念されます。

スキャナーが次回のスキャンでこの脆弱性を検出できるように、この脆弱性のデータが NVD ですぐに更新されインポートされると確信していますが、潜在的なエクスポージャーの範囲が気がかりであるため、このソフトウェアがインストールされている資産がネットワーク内にあるかどうかを今日把握したいと考えています。

脆弱性対応 v23.0 以降、Pro または Enterprise サブスクリプションを利用している場合、[すべて] メニューの [エクスポージャーアセスメント] リンクを選択すると、ロールに応じてワークスペースの [エクスポージャーアセスメント] ページにリダイレクトされます。詳細については、「脆弱性エクスポージャーアセスメントの構成」を参照してください。

手順

新しいエクスポージャーアセスメントを作成するには、次に移動します: All (すべて) > 脆弱性対応 > 脆弱性スキャン > エクスポージャーアセスメント.
エクスポージャーアセスメントリストが表示されます。
[新規] を選択します。
エクスポージャーアセスメントフォームが表示されます。

フォームに記入します。


フィールド	説明
パブリッシャー	ソフトウェア公開者の名前。
(オプション) バージョン	資産の検索を絞り込むのに役立つバージョン番号を入力します。
製品	ソフトウェア製品の名前。
(オプション) エディション	資産の検索を絞り込むのに役立つエディションを入力します。
CI フィルター	構成アイテム (CI) フィルターの選択リストを使用して、検索を特定の構成アイテム (資産) に制限します。たとえば、このソフトウェアがインストールされている可能性があるアクティブな資産に対してのみクエリを送信できます。 `[運用ステータス] [次の条件に一致] [稼働中 (Operational)]`

[エクスポージャーを表示] を選択します。
特定日付時点の資産のディスカバリーモデルとソフトウェアのインストール数を含むエクスポージャーアセスメントレコードが表示されます。

1 つ選択して続行します。

オプション	説明
エクスポージャーを表示	CI フィルター条件をさらに追加し、[エクスポージャーを表示] を選択して検索結果を絞り込みます。
脆弱性一致アイテムを作成	検索結果から構成アイテムの脆弱性一致アイテムを作成します。脆弱性一致アイテムが正常に作成されると、すべての脆弱性一致アイテムに対して修復タスクが作成され、エクスポージャーアセスメントレコードに表示されます。
削除	このレコードを削除し、エクスポージャーアセスメントリストに戻ります。確認ダイアログが表示されます。

オプション: 検索結果の脆弱性一致アイテムを作成します。

注:
脆弱性一致アイテムを作成した後は、このエクスポージャーレコードの検索条件は変更できません。
または、フィルター条件を変更して検索結果を絞り込みます。

脆弱性一致アイテムを作成するには、次の手順を実行します。

[脆弱性一致アイテムを作成] を選択します。
[脆弱性一致アイテムを作成] ダイアログが表示されます。

フィールドに入力します。


フィールド	説明
使用	選択リストから、いずれかを選択して続行します。既存の脆弱性。[脆弱性] フィールドの右側にある検索アイコンをクリックします。表示されるリストで [CVE-ID] を選択するか、既存の CVE-ID (CVE 2018-9120 など) を見つけるための検索条件を入力します。注: これは、NVD 以外の脆弱性データベースからの CVE-ID であってもかまいません。新しい脆弱性。新しい脆弱性の CVE-ID を、xxxx-xxxx、xxxx-xxxxx、または xxxx-xxxxxxx の形式で入力します。
脆弱性のサマリー (Vulnerability summary) (新しい脆弱性のみ)	新しい脆弱性のサマリーとして「`攻撃者は無防備なユーザーのブラウザー上でスクリプトを実行可能`」などを入力します。

次の画像は、既存の脆弱性と新しい脆弱性の入力済みフォームの例を示しています。

[脆弱性一致アイテムを作成] を選択します。
エクスポージャーアセスメントレコードが、脆弱性一致アイテムが作成されていることを示すステータスメッセージとともに表示されます。
数秒後に、フォームの上部にあるグレーのバナーを右クリックして、ページを再ロードします。
次の図に示すように、[評価される脆弱性一致アイテム] タブ (531) に新しい脆弱性一致アイテムが表示されます。これらの脆弱性一致アイテムに対して作成された新しい修復タスクが、修復タスクタブ (1) に表示されます。
注:
この例では、「脆弱性 (Vulnerability)」という修復タスクルールのグループルールと条件に従って修復タスクが作成されます。このグループルールは、Now Platform® インスタンスに脆弱性対応製品とともにインストールされているデフォルトの修復タスクルールです。この例では、このグループルールの条件によって、すべての脆弱性一致アイテムが単一の修復タスクに配置されています。エクスポージャーアセスメントの検索結果に一致する脆弱性一致アイテムに対して複数の修復タスクを作成する場合は、追加の修復タスクルールを設定することをお勧めします。修復タスクをさらに作成すると、多数の脆弱性一致アイテムを含む修復タスクが作成されるのを防ぐことができます。修復タスクルールの詳細については、「脆弱性対応修復タスクとタスクルールの概要」および「脆弱性対応修復タスクルールの作成または編集」を参照してください。

1 つ選択して続行します。


オプション	説明
修復タスク	[修復タスク] タブを選択した状態で、番号列でレコードをクリックして開き、修正用のタスクを確認してアサインします。アサイン先グループの詳細については、「Creating groups」を参照してください。
評価される脆弱性一致アイテム	[評価される脆弱性一致アイテム] タブを選択した状態で、[脆弱性一致アイテム] 列でレコードをクリックして開き、個々の脆弱性一致アイテムを確認してアサインします。
削除	エクスポージャーアセスメントレコードを削除します。確認ダイアログが表示されます。注: 脆弱性一致アイテムを作成した後にエクスポージャーレコードを削除すると、このレコードに対して作成した、別のエクスポージャーレコードに関連していない脆弱性一致アイテムは、自動的に `[クローズ済み]` ステータスに移行されます。クローズの理由は `[キャンセル]` です。

次のタスク

エクスポージャーアセスメントに基づいてゼロデイ (当日) の脅威に対応します。修復タスクの詳細および脆弱性対応の変更の管理の詳細については、「脆弱性対応修復タスクとタスクルールの概要」および「脆弱性対応の変更管理」を参照してください。