アプリケーション脆弱性対応 の例外管理
組織が公開されている脆弱性管理またはセキュリティ方針、規格、指針に準拠できない場合、例外を要求できます。例外管理では、ポリシーに従って修復できないアプリケーション脆弱性一致アイテム (AVIT) に対する例外を要求、レビュー、承認、または却下します。
一部の脆弱性には、既存のパッチ、修正、またはソリューションがない可能性があります。例外が承認されるということは、脆弱性を修復しなかった場合の結果を認識し、同意していることになるため、リスクを受け入れているということでもあるのです。
注:
アプリケーション脆弱性対応 の v21.0 以降では、誤検出と例外を承認する期間を設定できます。また、設定した日数経過後の承認者と要求者の両方に対するメール通知も可能です。要求が発生すると、アプリケーション脆弱性一致アイテムが [レビュー中] ステータスに変わり、ステータス変更レコードが作成されます。構成された期間内に承認者が応答しない場合、アプリケーション脆弱性一致アイテムまたは修復タスクは [オープン] ステータスに戻ります。以前のステータスは [backup_state] フィールドに保存されます。詳細については、「例外管理の承認ルールの構成」を参照してください。
例外のライフサイクル
- 例外の定義
- 例外は、AVI の修復を指定した期間保留することを要求するものです。たとえば、マシンにパッチが適用されない場合に、開発者が例外を要求できます。
- 例外の要求
- 開発者は、例外管理プロセスを使用して AVI の免除を要求できます。アプリケーションセキュリティアナリストがこの要求を承認すると、AVI は [保留] ステータスに移行します。重要:AVTI と RT の例外は、それぞれ脆弱性マネージャーワークスペースと IT 修復ワークスペースから要求できます。詳細については、「で修復タスクとレコードの例外を要求する 脆弱性マネージャーワークスペース」と「IT 修復ワークスペースで例外を要求する」を参照してください。
- 例外ルール
- v20 以降では、ルールの条件に一致する場合に、既存および新規のアプリケーション脆弱性一致アイテム (AVI) を特定の期間、自動的に保留する例外ルールを作成できます。例外ルールを使用して AVI を自動的に保留することで、サービスレベルアグリーメントの達成を逃すリスクを最小限に抑えることができます。ルールを使用すると手動での操作を省くことができるので、複数のアイテムを管理できるようになります。「例外ルールを作成する」を参照してください。
- 例外ルールの延長の要求
- v20 以降、例外ルールの [保留期限] 日付の延長の要求を送信できます。修復タスクが新しい AVI の受け入れを停止する [保留期限] 日までに、ルールによって作成された多数のレコードが解決されないとわかった場合には、ルールの延長を要求できます。この延長によって例外ルールが更新されるため、既存のルールの保留日が自動的に延長されます。現在の日付から最大 1 年前までの日付を入力でき、延長の理由を含める必要があります。延長要求には、別々の承認グループからの 2 レベルの承認が必要です。
- 例外要求を承認する
- すぐに修復できない AVIT は、アプリケーションセキュリティアナリストによってレビューされ、リスクが評価され、修復できるまでの保留が承認されます。例外要求の承認は 2 レベルフローにできます。第 1 レベルの承認者のみが存在する場合、例外を要求して承認できます。ただし、第 1 レベルの承認者がいない場合は、例外を要求できません。詳細については、「アプリケーション脆弱性対応 の例外承認者を追加する」を参照してください。重要:脆弱性マネージャーワークスペースで例外要求を承認または却下できます。詳細については、「脆弱性マネージャーワークスペース で要求を承認または却下」を参照してください。
注:
AVIT の例外要求が承認されると、次のアクションを実行できます。
- 再オープン
- 詳細の取得
- 例外要求の追跡
- 例外が発生した後、AVIT の [ ステータス変更承認] タブを使用してそのステータスを追跡できます。
- 例外要求の有効期限と例外ルールの延長の要求
- 特定の AVI の例外要求が期限切れになると、影響を受ける AVI は [オープン] 状態に戻ります。
ただし、v20 以降では、例外ルールの [保留期限] の日付を延長する要求を送信できます。