コンテナ脆弱性対応 の算出ルール

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • 脆弱性算出は、コンテナ脆弱性一致アイテムのフィールドの初期値の計算を自動化します。各算出の条件が順番に評価され、最初に一致した算出が使用されます。

    脆弱性算出を表示および作成するには、次に移動します: すべて > コンテナ脆弱性対応 > アドミニストレーション > 脆弱性の算出.

    コンテナ脆弱性対応 ベースシステムには、コンテナ脆弱性一致アイテムのベースリスクスコアを設定する 2 つの脆弱性算出が含まれています。ベースシステムで使用できる算出グループは次のとおりです。
    • 脆弱性重大度:正規化された脆弱性重大度を使用して、脆弱性一致アイテムのリスクスコアを計算します。
    • デフォルトのリスク計算機:リスクルールに基づいて算出されます。
    注:
    コンテナ脆弱性対応 のバージョン 2.10 以降の場合:
    • [デフォルトのリスク計算機] ルール:コンテナ脆弱性一致アイテム (CVIT) のリスクスコアが変更されるたびに、CVIT の [メモ] セクションに次の詳細が文書化されます。
      • 算出グループ名
      • 算出名:
      • 1 より大きい重み付けを持つフィールド値とそのリスクスコアの寄与度。
      • 最終的なリスクスコア
    • [脆弱性重大度] リスクルール:CVIT のリスクスコアが更新されるたびに、[メモ] セクションが次の詳細で更新されます。
      • 算出グループ名
      • 算出名:算出ルールがテンプレートとスクリプトのどちらに基づいているかに応じて、名前に括弧で囲まれた詳細が追加されます。算出ルールの基準を変更または表示するには、任意のルールを選択し、[詳細表示] チェックボックスをオンにします。[値のタイプ (Value type)] ドロップダウンボックスから、必要なオプションを選択します。[テンプレート] を選択した場合、リスクスコアはルールで指定された条件に従って更新されます。[スクリプト] を選択した場合、既存のスクリプトを追加または更新できます。システムプロパティ sn_sec_cmn.risk_score_changes_add_worknotes は、作業メモセクションへの入力に役立ちます。コンテナ脆弱性対応 v2.12.2 以降、システムプロパティsn_sec_cmn.risk_score_changes_add_worknotesはデフォルトで無効になっています。これを有効にした場合にのみ、コンテナ脆弱性一致アイテムのリスクスコアに関連するすべての変更が [作業メモ] セクションに表示されます。また、作業メモは、リスクスコアに変更がある場合にのみ更新されます。

    脆弱性のリスクスコアの重み付け

    すべての脆弱性には、重大度、重要度、エクスプロイト情報などの要素に基づいてリスクスコアと評価がアサインされます。このリスク評価の算出を担当するのが、コンテナ脆弱性一致アイテムのテーブルのビジネスルール Update Risk Rating from Risk Score です。リスクスコアが変更されるたびに、コンテナ脆弱性一致アイテムのリスク評価が算出されて入力されます。脆弱性対応 (VR) アプリケーションのバージョン 17.1 より前では、次のリスク評価がスクリプトインクルード VulnerabilityUtils の一部として提供され、ハードコードされていました。
    値 (リスク評価) 重み付け (リスクスコア)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    脆弱性対応 のバージョン 18.0 以降では、
    • リスク評価タイプは、ベーステーブルであるリスクスコアの重み付け [sn_sec_cmn_risk_scorew_weights] に cvr_risk_rating として含まれています。リスク評価タイプは、リスク評価が計算される各テーブルのビジネスルールまたはスクリプトインクルードの一部として渡されます。
    • リスク評価の算出の対象となる [リスクスコアの重み付け] テーブルの値をクエリできるように、スクリプトが変更されます。
    • 既存のタイプにエントリを追加するか、新しいタイプを作成します。新しいタイプを作成するときは、新しいリスク評価のラベルを追加し、関連するスクリプトとビジネスルールも変更してください。新しいリスクスコアのスタイルも新たに追加する必要があります。
    • ベーステーブルのレコードをクエリするようにスクリプトを変更します。
    [リスクスコアの重み付け] テーブルにアクセスするには、フィルターナビゲーターに「sn_sec_cmn_risk_score_weight」と入力します。
    さらに、次のシナリオではリスクスコアが自動的に再計算されます。
    • 構成アイテム (CI) が非インターネットフェーシングからインターネットフェーシングに変更されたとき。
    • 脆弱性一致アイテム (VI) の関連する一般的な脆弱性とエクスポージャー (CVE) またはサードパーティエントリ (TPE) が、CVE の既知の悪用された脆弱性 (KEV) にリンクされている場合。

    詳細については、「脆弱性対応 の算出と脆弱性算出ルール」を参照してください。