アプリケーション脆弱性対応の例外ルールを作成、削除、およびキャンセルする

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • 特定の条件を満たすアプリケーション脆弱性一致アイテム (AVI) に対する例外を自動的に要求するルールを作成します。

    始める前に

    たとえば、すぐに修正できないことがわかっている特定の既知の脆弱性または重大な脆弱性に基づく条件でルールを作成できます。このルールでは、新規および既存の AVI が承認済みルールの条件に一致する場合に、そうした AVI を自動的に保留にすることができます。

    • ルールはルールレコードに入力した [有効期間開始日] から [有効期間終了日] まで適用されます。
    • 修復タスク (AVUL) は、[保留] ステータスの一致する AVI に対してルールが承認された後に作成されます。
    • この AVUL のグループ化方法は、例外ルールと呼ばれます。
    • この AVUL をクローズ、再オープン、削除することはできません。新規および再オープンされた AVI は、この AVUL に追加され、「有効期間開始日」から「有効期限終了」の日付でグループが期限切れになるまで保留されます。
    注:

    メール通知は、例外ルールワークフローのすべてのステージで送信されます。こうしたメールには、要求のステータスとその他の詳細が記載されています。たとえば、例外ルールが要求されると、要求が送信されたことを確認するメールが要求者に届きます。

    ルールが却下された場合は、[ドラフト] ステータスで再オープンして更新し、承認のために再送信できます。

    必要なロール:アプリセキュリティマネージャー sn_vul.app_sec_manager およびセキュリティチャンピオン sn_vul.app_security_champion。

    手順

    1. 移動先 すべて > アプリケーション脆弱性対応 > アドミニストレーション > 例外ルール.
    2. 例外ルールの新規レコードページで、[新規] を選択します。
    3. フィールドに入力します。
      フィールド 説明
      名前 例外ルールの名前。
      状況 読み取り専用:ドラフト
      有効期限開始 このルールがアクティブになり、AVI が保留される開始日付。
      実行順序 各例外ルールの一意の順序。小さな値から大きな値の順です。
      有効期限 修復タスクが新しい AVI の受け入れを停止する日付。
      保留期限 修復タスクと AVI の保留期限の日付。この日付になると、AVUL がクローズされ、すべての AVI がタスクから移動して再オープンされます。グループルールがこうした AVI に再適用されます。
      理由 この例外ルールを作成する理由。
      アサイン先グループ 保留された VI の追跡用に修復タスクがアサインされているグループ。
      追加情報 要求者が承認者に提供する追加情報。この情報は、修復タスクの説明フィールドに入力されます。
      条件 このルールに一致する AVI を指定するフィルター条件。
      既存のデータで実行

      このルールが初めて実行されるときに既存のデータでこのルールを実行できるようにするオプション。

      このオプションを非アクティブのままにすると、ルールは新しいデータで始まるスケジュール済みジョブ Associate existing AVIs with Auto Exception Rule によって毎日実行されます。

      [既存のデータで実行] オプションを有効にすると、スケジュール済みジョブは「有効期間開始日」に既存のデータに対して 1 回実行されます。
    4. ルールの作成時にアサイン先グループを追加します。
    5. いずれかを選択します。
      オプション説明
      ルールを保存する 変更を保存すると、ルールが例外ルールリスト [sn_vul_auto_exception_rule] に表示されます。承認のために例外ルールを送信するまで、[ドラフト] ステータスのままになります。
      ルールを送信する

      ルールを送信すると、要求のステータスが [レビュー中] に変わります。例外ルールの承認には、アプリケーション例外承認者 - レベル 1 からの承認と、アプリケーション例外承認者 - レベル 2 からの承認の 2 つのレベルの承認が必要です。

      ルールが承認されると、[承認済み] ステータスに移行します。ルールは Associate existing AVIs with Auto Exception Rule scheduled ジョブで AVI を評価します。[既存のデータで実行] を選択した場合は、既存の AVI が評価されます。ルールに対して修復タスクが自動的に作成され、その条件を満たす一致する AVI がタスクに関連付けられます。

      スケジュール済みジョブは、既存のデータに対して例外ルールを 1 回実行します。AVI が見つからない場合でも、既存のデータに対してルールが再度実行されることはありません。ルールに一致した既存の AVI が既に保留されているため、新しいデータのみが評価されます。

    6. ルールを削除するには、例外ルールレコードで [削除] を選択します。
      次のメッセージが表示されます。ルールを削除すると、関連する修復タスクが削除され、関連する脆弱性一致アイテムが再オープンされます (If you delete the rule, the associated remediation task will be deleted and the related vulnerable items will be reopened)。その後、修復タスクルールが個々の AVI に適用され、例外ルールが削除されます (The remediation task rules will then be applied to the individual AVIs and the exception rule is deleted)。
    7. [ルールを保持] を選択して停止するかまたは [削除ルール] を選択して続行します。
    8. ルールを非アクティブ化して [例外ルール] リストに残すには、[キャンセル] を選択します。
      次のメッセージが表示されます。このルールをキャンセルすると、関連する修復タスクが削除され、関連する脆弱性一致アイテムが再オープンされます (If you cancel this rule, the associated remediation task will be deleted and the related vulnerable items will be reopened)。その後、修復タスクルールが個々の脆弱性一致アイテムに適用され、例外ルールがドラフト状況に移行します (The remediation task rules will then be applied to the individual vulnerable items and the exception rule will be moved to the draft state)。
    9. [ルールを保持] を選択して停止するか、[キャンセル] を選択してルールを [ドラフト] に移行して非アクティブ化します。