脆弱性ソリューション管理

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:22分

    • 現在の環境内の脆弱性を、それを修正できるソリューションに自動的に関連付けます。脆弱性に適用される修正アクションを識別し、脆弱性リスクが最も低減されるものから順に優先順位を付けます。

    脆弱性ソリューション管理

    多くの場合、セキュリティチームと IT チームは、自社環境に最も効果的な対処方法を特定するために、膨大な時間をかけて脆弱性の調査結果を追求します。大規模な組織における脆弱性の量と複雑さを考慮すると、脆弱性に関する調査結果を修復タスクに変えることは、手間がかかり、間違いを起こしやすいプロセスです。

    脆弱性ソリューション管理 を使用すると、脆弱性の調査結果を修正ソリューションと自動的に関連付けることができます。組織に最も大きな影響を与えるソフトウェアパッチ、構成の更新、およびその他のコントロールを手作業によるオーバーヘッドなく特定します。

    脆弱性ソリューション管理 の要件

    脆弱性ソリューション管理脆弱性対応 アプリケーション内で利用できる機能です。脆弱性ソリューション管理 には別のサブスクリプションが必要です。

    ServiceNow Store からアプリケーションのエンタイトルメントを取得する方法の詳細については、「セキュリティオペレーション 製品またはアプリケーションのエンタイトルメントの取得」を参照してください。アプリケーションをインスタンスにダウンロードした後のインストールの詳細については、「脆弱性対応のソリューション管理アプリケーションのインストール」を参照してください。

    脆弱性ソリューション管理 をインストールすると、脆弱性対応 内から Microsoft セキュリティレスポンスセンター および Red Hat のソリューションデータにアクセスできます。

    注:

    セットアップアシスタント内から両方のソリューションアプリケーションを構成できます。「セットアップアシスタントを使用した 脆弱性ソリューション管理 のインストール済みソリューション統合の構成」を参照してください。

    Microsoft セキュリティレスポンスセンターソリューション統合 」および「Red Hat Solution Integration」を参照して、インポートされたソリューションの詳細を確認してください

    利用可能バージョン

    脆弱性ソリューション管理 の最新バージョンについては、最新バージョンの 脆弱性対応 がインストールされていることを確認してください。

    脆弱性ソリューション管理 のリリースバージョン 脆弱性対応 の互換バージョン リリースノート

    脆弱性ソリューション管理 v10.3

    		 脆弱性対応 v18.0

    互換性情報については、「KB0856498 脆弱性対応互換性マトリクスおよびリリーススキーマの変更」を参照してください。

    ソリューションと優先について

    優先更新とは、以前のリリースから完全に置き換わるということです。たとえば、ホットフィックスの更新よりもサービスパックが優先される場合があります。ソリューションは脆弱性に関連しています。ソリューションを優先チェーン内の他のソリューションに関連付けることもできます。ソリューションは累積的であるため、先行ソリューションの脆弱性にも対応します。脆弱性ソリューション管理 は、先行ソリューションの脆弱性を優先ソリューションに自動的に関連付けます。古い脆弱性が見つかった場合は、上位の優先ソリューションで対処できますが、最も累積的である、優先度が最も高いソリューションが優先されます。

    見込みのある解決策と優先ソリューション

    見込みのある解決策とは、脆弱性に対処する可能性があるソリューションです。多くの場合、脆弱性には見込みのある解決策が多数あります。優先ソリューションは、脆弱性または脆弱性一致アイテム (VI) を修正するための単一のソリューションです。それによって意図が伝達され、展開メトリクスがより詳細になります。

    優先ソリューション

    脆弱性ソリューション管理 は、最も優先度が高いソリューションが 1 つしかない場合に、最高優先度に基づいて、検出された脆弱性に対して最も効果的なソリューション (優先ソリューション) を自動的に設定します。脆弱性に複数の最高優先度が存在する場合、値は設定されません。脆弱性対応 で、優先ソリューションは、脆弱性に関連付けられたソリューションから派生した最も優先度の高い Microsoft セキュリティレスポンスセンター または Red Hat のソリューションです。

    優先ソリューションの値は、脆弱性一致アイテムまたは脆弱性に設定できます。脆弱性に直接設定すると、脆弱性に関連付けられたすべての脆弱性一致アイテムがそのソリューションを継承します。一括編集機能を使用して、複数の脆弱性一致アイテムに対する優先ソリューションの値を変更します。一括編集する場合、脆弱性エントリーレベルで優先ソリューションを設定すると、以降すべての新しい VI に対して優先ソリューションが設定されるため、脆弱性一致アイテムの優先ソリューションのみが更新されます。一括編集は、現在の脆弱性一致アイテムにのみ適用されます。
    注:
    脆弱性に対して最も優先度の高いソリューションが複数存在する場合、そのソリューションは影響を受ける資産に依存するため、その脆弱性レベルの優先ソリューションの値がクリアされます。脆弱性に対して最も優先度の高いソリューションが複数存在する場合は、脆弱性一致アイテムに優先ソリューションを 1 つ設定します。[脆弱性一致アイテム] フォームの [ルックアップ] リストを使用して、別のソリューションを設定できます。

    ある修復タスクの脆弱性一致アイテムに対する優先ソリューションはすべて、修復タスクレコードの関連リストにあります。

    すべてのソリューションをインポートすれば全データがリフレッシュされるわけではありません。優先プロセスは、以下の場合に更新されます。
    • 脆弱性一致アイテムが作成されたとき。
    • アクティブな VI のデータが変更されたとき。
      注:
      脆弱性対応 v22.0 以降、上記の 2 つのケースではソリューションがキューに入れられません。
    • CVE を含むサードパーティエントリーに対して新しいマッピングが作成されたとき。
    • 前回のインポート以降に新しいソリューションデータがリリースされ、既存のソリューションが更新されたとき。
    脆弱性対応 の v24.0.6 以降では、ベンダーのソリューションに加えてスキャナーからソリューションを取り込むことができます。Tenable、 Qualys、Microsoft TVM などのスキャナーからの修復データがソリューションの作成に利用されます。これらのスキャナーソリューションは、次の統合を使用してインポートされます。
    • Tenable.sc プラグイン統合
    • Tenable.io プラグイン統合
    • Qualys ナレッジベース (バックフィル)
    • Microsoft TVM マシンの脆弱性統合 (フルインポート)
    • Microsoft TVM マシンの脆弱性統合 (デルタインポート)
    脆弱性統合が実行されると、サードパーティのエントリーを処理する前に修復情報のペイロードが作成されます。Tenable および Qualys の場合、修復データは脆弱性またはサードパーティのエントリーレベルで受信されます。逆に、Microsoft TVM の場合、ソリューションは検出レベルで作成されるため、追加の処理を必要とせずに、脆弱性一致アイテムに優先ソリューションを直接入力できます。これらのソリューションは、この修復情報に基づいて作成され、必要に応じて処理されます。処理時に、優先ソリューションが脆弱性に設定され、脆弱性一致アイテムにロールダウンされます。優先ソリューションは、次の順序で入力されます。
    • 手動選択:ソリューションを手動で選択した場合、そのソリューションは上書きされません。
    • ベンダーソリューション (Microsoft、RedHat、CVRF、および CSAF インポート):ソリューションを手動で選択しない場合は、ベンダーソリューションが自動的に選択されます。
    • 最新のソリューション (有効な場合):脆弱性に対して利用可能な上位のソリューションが複数ある場合、[ 優先ソリューション ] フィールドは空のままになります。このような場合、プロパティ sn_vul.latest_solutionsを有効にすると、最新の上位の優先ベンダーソリューションが優先ソリューションとして設定されます。
    • スキャナーセキュリティ情報 ソリューション (有効な場合):ソリューションを手動で選択しない場合、またはベンダーのソリューションが利用できない場合、単一のスキャナーソリューションがあれば、[ 優先ソリューション ] フィールドにスキャナーソリューションが入力されます。スキャナーソリューションを入力するには、プロパティ sn_vul.populate_scanner_solutions を有効にする必要があります。
    図 : 1. 複数のソースからのソリューション
    複数のソースから受け取ったソリューション
    この例は、異なるソースから複数のソリューションが利用可能な場合のソリューションの選択を示しています。この場合、脆弱性にはベンダーからのソリューションとスキャナーからの 2 つのソリューションがあります。ソリューションVS0116107は優先度の高いベンダー (Redhat) から受信されるため、優先ソリューションとして選択されます。
    図 : 2. 同じベンダーのソリューション
    同じベンダーのソリューション
    この例は、同じベンダー (この場合は Redhat) から複数のソリューションが入手可能な場合のソリューションの選択を示しています。sn_vul.latest_solutions プロパティが有効になっていて、特定の脆弱性に対して他のベンダーのソリューションを利用できない場合、これらのソリューションが処理され、脆弱性、続いて脆弱性一致アイテムの優先ソリューションが入力されます。プロパティ sn_vul.latest_solutions を有効にすると、最新のソリューションが優先ソリューションとして選択されます。
    図 : 3. 同じスキャナーからのソリューション
    同じスキャナーからのソリューション
    この例は、スキャナーから利用できるスキャナーソリューションが 1 つしかない場合のソリューションの選択を示しています。 sn_vul.populate_scanner_solutions プロパティが有効になっている場合、ソリューションが処理され、脆弱性、続いて脆弱性一致アイテムに優先ソリューションが入力されます。複数のスキャナーソリューションがある場合、あいまいさのために [優先ソリューション ] フィールドは空のままになります。

    ソリューション管理とパフォーマンス最適化の強化

    ソリューションは、Microsoft や Redhat などのさまざまな統合から得られます。前者は毎月更新が行われます。一連の依存関係が確立され、脆弱性に対する優先ソリューションが追跡されます。ただし、他の統合においては、この更新形式が採り入れられていないため、依存関係のチェーンを確立する必要はありません。以前は、グラフを作成して優先順位を維持し、最も優先されるソリューションを特定する処理ロジックが用いられていました。これらのソリューションが、脆弱性に対する優先ソリューションとして提案されました。しかし、グラフの構築は時間がかかるため、他の統合はこのプロセスから除外されています。パフォーマンスを向上させるために、脆弱性対応 v22.0 以降、Process Vulnerability Solutions Metrics Queue のスケジュール済みジョブで utility.processNonGraphSolutions() メソッドが呼び出されます。このメソッドは、Microsoft 以外の統合からのソリューションを処理します。

    次に、ソリューションは、スケジュール設定済みジョブの Process Vulnerability Solutions Metrics Queue により、さまざまなソースからキューに入れられます。このスケジュール済みジョブでは、NVD エントリーからサードパーティエントリーへのソリューションのロールアップ、脆弱性に関する優先ソリューションの入力、およびソリューションの修復ステータスメトリクスの更新を行います。次のシナリオでは、修復ステータスメトリクスのみを更新する必要があります。
    • 脆弱性の優先ソリューションが変更されたとき
    • VIT が作成または削除されたとき
    • VIT インポートが完了したとき
    ソリューションは修復ステータスメトリクスのみを更新するためにキューに入れられますが、NVD エントリーからサードパーティエントリーにソリューションをロールアップし、優先ソリューションを入力しようとします。このプロセスを最適化するために、脆弱性ソリューションテーブルに [更新ステータス] 列が導入されています。優先ソリューションのロールアップや入力を必要とせずに、ソリューションの修復ステータスメトリクスを更新する必要がある場合、ソリューションはキューに入れられなくなります。代わりに、[更新ステータス] 列が True として直接更新されます。このアプローチにより、修復ステータスメトリクスのみを更新する必要があるケースを処理できるため、時間とリソースを節約できます。スケジュール済みジョブでは、キューに格納されたソリューションの処理が完了すると、更新ステータスが true としてマークされたソリューションが識別されます。次に、これらのソリューションを通じて反復処理され、カウントが計算され、それに応じて修復ステータスメトリクスが更新されます。このステップは、キューに入れる必要があるソリューションの数が減るため、スケジュール済みジョブのパフォーマンスを向上させる上で重要な役割を果たします。修復ステータスメトリクスを表示するには、脆弱性ソリューション [sn_vul_solution] テーブルに移動し、脆弱性ソリューションを選択します。その後、[修復ステータス] タブを選択します。このタブには、次のフィールドがあります。
    表 : 1. 修復ステータスメトリクス
    フィールド 説明
    優先ソリューションターゲット:優先ソリューションとなる VI の修復ステータス
    脆弱性一致アイテム 修復のためにこのソリューションが優先されるアクティブな (クローズされていない) 脆弱性一致アイテムの数。この数には、保留された脆弱性一致アイテムは含まれません。
    残りの CI 修復のためにこのソリューションが優先される 1 つ以上のアクティブな脆弱性一致アイテムに関連付けられた CI の数。この数には、保留された脆弱性一致アイテムは含まれません。
    合計 VI 修復のためにこのソリューションが優先されるアクティブおよびクローズ済みの脆弱性一致アイテムの数。この数には、保留された脆弱性一致アイテムは含まれません。
    合計 CI 修復のためにこのソリューションが優先される 1 つ以上のアクティブおよびクローズ済みの脆弱性一致アイテムに関連付けられた CI の数。この数には、保留された脆弱性一致アイテムは含まれません。
    修復された VI の割合 脆弱性一致アイテム (VI) の修正の完了率。このソリューションが優先される VI に適用されます。この数には、保留された脆弱性一致アイテムは含まれません。
    修復された CI の割合 CI 修復の完了率。このソリューションが優先される VI に適用されます。この数には、保留された脆弱性一致アイテムは含まれません。
    優先ソリューションターゲット ([保留]を含む):優先ソリューションとなる、保留を含む VI の修復ステータス
    脆弱性一致アイテム 修復のためにこのソリューションが優先されるアクティブな (クローズされていない) 脆弱性一致アイテムの数。
    残りの CI 修復のためにこのソリューションが優先される 1 つ以上のアクティブな脆弱性一致アイテムに関連付けられた CI の数。この数には、保留された脆弱性一致アイテムは含まれません。
    合計 VI 修復のためにこのソリューションが優先されるアクティブおよびクローズ済みの脆弱性一致アイテムの数。
    合計 CI 修復のためにこのソリューションが優先される 1 つ以上のアクティブおよびクローズ済みの脆弱性一致アイテムに関連付けられた CI の数。
    修復された VI の割合 脆弱性一致アイテム (VI) の修正の完了率。このソリューションが優先される VI に適用されます。
    修復された CI の割合 CI 修復の完了率。このソリューションが優先される VI に適用されます。
    見込みのあるソリューションターゲット:当該のソリューションに関連する脆弱性を有するすべての VI における修復ステータス
    脆弱性一致アイテム このソリューションが修復のソリューションとなる可能性があるアクティブな (クローズされていない) 脆弱性一致アイテムの数。この数には、保留された脆弱性一致アイテムは含まれません。
    残りの CI このソリューションが修復のソリューションとなる可能性がある 1 つ以上のアクティブな脆弱性一致アイテムに関連付けられた CI の数。この数には、保留された脆弱性一致アイテムは含まれません。
    見込みのあるソリューションターゲット ([保留] を含む):当該ソリューション関連の脆弱性を有する、保留を含むすべての VI における修復ステータス
    脆弱性一致アイテム このソリューションが修復ソリューションとなる可能性があるアクティブな (クローズされていない) 脆弱性一致アイテムの数。
    残りの CI このソリューションが修復のソリューションとなる可能性がある 1 つ以上のアクティブな脆弱性一致アイテムに関連付けられた CI の数。
    3 つ目として、脆弱性を修復するために、脆弱性や VIT に対する優先ソリューションの可用性を確保する必要があります。ただし、脆弱性に対してより優先度の高いソリューションが複数存在する場合は、不明確さが生じるため優先ソリューションが設定されません。当該のシナリオに対処するために、処理ロジックを実行し、使用可能な場合は優先ソリューションを設定するアプローチが実装されます。優先度の高いソリューションが 1 つしかない場合は、それが優先ソリューションとして設定されます。複数存在する場合、[優先ソリューション] フィールドは空白のままになります。しかし、目的は、最新として公開されている最上位の優先ソリューションを優先ソリューションとして設定することです。これを実現するために、システムプロパティ sn_vul.latest_solutions が導入されています。デフォルトでは、このプロパティは false です。優先ソリューションが利用できないときに、最新のソリューションを優先ソリューションとして設定する機能を有効化する場合は、このプロパティを有効化することができます。有効化すると、脆弱性テーブルの [ソリューションタイプ ] 列が次のオプションで更新されます。
    • 優先:優先ソリューションが入力されている場合
    • 最新:優先ソリューションが利用できない場合、公開日の値に基づいて、最優先のソリューションセットから最新のソリューションが選択されます。最新のソリューションとして選択されるフィールドは、sn_vul.latest_solutions システムプロパティを使用してカスタマイズできます。デフォルトでは値が [公開日] に設定されていますが、[最終変更日] に変更して、ソリューションの最終変更日列に基づいてソリューションを選択することもできます。
    • 手動:優先ソリューションタイプを手動で更新する場合。このタイプのソリューションが最も高い優先順位になります。

    特定のシナリオでは、脆弱性一致アイテム (VIT) の優先ソリューションが、対応する脆弱性の優先ソリューションと異なる場合があります。これは、優先ソリューションが脆弱性上ではなく VIT 上で手動更新されることが原因となります。このような場合、[ソリューションタイプ] フィールドは VIT で非表示になります。

    脆弱性ソリューション管理 の実行内容

    • Microsoft セキュリティレスポンスセンターソリューション統合 および Red Hat Solution Integration のインポート時に、新しい脆弱性一致アイテム (VITs) と修復タスクがソリューションに自動的に関連付けられます。

      MSRC ソリューションは、そのソリューションが表示される最新のセキュリティ情報に関連付けられています。

    • 脆弱性レコードがソリューションに手動で関連付けられている場合、脆弱性一致アイテムと修復タスクをソリューションに自動的に関連付けます。
      注:
      別のソリューションに手動で再アサインされた脆弱性一致アイテムは、脆弱性レベルでのソリューションの変更によって自動的に更新されることはありません。
    • MSRC:インポート中に、ソリューションの関連リストで表示できる優先度チェーンを作成します。
    • ソリューションが最も優先度の高いソリューションかどうかを示します。
    • 最大限にリスクを削減できるように、各ソリューションに関連付けられたソリューションリスクスコアを一覧表示します。

    • 修正の進捗状況を追跡できるように、サードパーティの脆弱性エントリー修復タスク、および脆弱性ソリューションレコードのソリューションの修復ステータスを維持します。

      これには、以下の内容が含まれています。
      • 保留ステータスの VI の有無にかかわらず、優先ソリューションのある VI に関する、修正済み割合ごとの脆弱性一致アイテムの数。
      • 保留ステータスの VI の有無にかかわらず、優先ソリューションのある VI に関する、修正済み割合ごとの構成アイテム (CI) の数。
      • 保留ステータスの VI の有無にかかわらず、見込みのある解決策がある VI に関する、修正済み割合ごとの脆弱性一致アイテムの数。
      • 保留ステータスの VI の有無にかかわらず、優先ソリューションのある VI に関する、修正済み割合ごとの構成アイテムの数。

    脆弱性ソリューション管理 の機能

    • 脆弱性に関連付けられたソリューションを作成、更新、表示、または削除して、サードパーティソリューションコンテンツの対象外である脆弱性ソリューションを追跡できるようにします。Rapid7 データウェアハウスとのソリューション統合はサポートされていません。
    • サードパーティの脆弱性および NVD のエントリーをソリューションレコードに関連付けます。
    • 脆弱性一致アイテムと修復タスクを削除して、ソリューションに再度関連付けます。
    • 脆弱性フォームおよび脆弱性一致アイテムフォームで、特定の脆弱性に適用可能な優先ソリューションを表示します。
    • 当該グループ内の少なくとも 1 つのアクティブな VI によって優先されているすべてのソリューションを一覧表示する修復タスクフォームで、優先ソリューション関連リストを表示します。
    • 脆弱性、脆弱性一致アイテム、修復タスク、ソリューションの各フォームで、優先ソリューションの展開に関連するリスク削減を示すソリューションの修復ステータスの詳細を表示します。
    • ソリューションフォームで、特定のソリューションに適用可能な脆弱性を表示します。
    • MSRC:脆弱性に関する特定のソリューションの優先ソリューションを表示して、展開する最新の更新、または以前のより焦点を絞った効率的な更新を見つけます。
    • さまざまな特性によりソートされたソリューションのリストを表示します。
      • すべて:公開日と番号でソートされたソリューション。
      • MSRC:最高優先度:保留されていないアクティブな脆弱性一致アイテムを含むソリューション。優先度が高い順公開日番号でソートされています。
      • 脆弱性一致アイテムを使用 (With Vulnerable Items):保留されていないアクティブな脆弱性一致アイテムを含むソリューション。最高優先度、または優先リスクスコア番号でソートされています。展開されている場合、リストの上位のエントリーで、環境内の資産のリスクが最大限に削減されます。

    ソリューションレコードのリスクスコアとリスク評価

    注:
    ソリューションレコードの [リスクスコア] および [リスク評価] は、脆弱性、脆弱性一致アイテム、および修復タスクに使用されるフィールドとは異なります。

    ソリューションレコードの [リスクスコア] は、脆弱性一致アイテムの [リスクスコア] と、このソリューションが見込みのある解決策となっているアクティブな脆弱性一致アイテムの数に基づいて重み付け計算が行われます。ソリューションの [リスクスコア] は、ソリューションが達成すると予想されているリスクの推定削減量を示します。

    ソリューションレコードの [リスクスコア] は、次のように計算されます。
    • 初めに、見込みのある解決策が設定されているアクティブな脆弱性一致アイテムについて、最高または最大の [リスクスコア] の 85% を取得します。
    • 次に、ソリューションレコードの [リスクスコア] には、見込みのあるソリューションが設定されている脆弱性一致アイテムの合計数が集計されます。脆弱性一致アイテム数の範囲ごとにいくつかのポイントが加算され、合計が算出されます。
      • 脆弱性一致アイテムが 0 〜 9 個の場合、追加ポイントなし
      • 脆弱性一致アイテムが 10 〜 99 個の場合、5 ポイント追加
      • 脆弱性一致アイテムが 100 〜 999 個の場合、10 ポイント追加
      • 脆弱性一致アイテムが 1000 個以上の場合、15 ポイント追加

      たとえば、脆弱性一致アイテムの [リスクスコア] が 80 の場合、ソリューションレコードの [リスクスコア] は 68 から始まります。その見込みのある解決策が設定されているアクティブな脆弱性一致アイテムが 200 個ある場合、最終的なソリューション [リスクスコア] は 78 になります。

    ソリューションレコードの [リスク評価] には、ソリューションレコードの [リスクスコア] が [重大] から [なし] の範囲に分類されます。ソリューションの [リスク評価] で、このソリューションによって修正される脆弱性一致アイテムのリスク削減を評価します。

    VR v16.1 までは、リスク評価によって結果のソリューションの [リスクスコア] が次の範囲に分類されていました。
    • 1 - 重大 (90 以上のソリューションリスクスコア)
    • 2 - 高 (70 ~ 89 のソリューションレコードリスクスコア)
    • 3 - 中 (30 ~ 69 のソリューションレコードリスクスコア)
    • 4 - 低 (1 ~ 29 のソリューションレコードリスクスコア)
    • 5 - なし (0 のソリューションレコードリスクスコア)
    VR v16.1 以降は、リスク評価によって結果のソリューションの [リスクスコア] が次の範囲に分類されます。
    • 1 - 重大 (90 以上のソリューションリスクスコア)
    • 2 - 高 (70 ~ 89 のソリューションレコードリスクスコア)
    • 3 - 中 (40 ~ 69 のソリューションレコードリスクスコア)
    • 4 - 低 (1 ~ 39 のソリューションレコードリスクスコア)
    • 5 - なし (0 のソリューションレコードリスクスコア)

    ユースケース

    最も優先度が高いモジュールを使用して、現在のパッチサイクルのステータス展開の進捗状況を日付順に表示します。

    脆弱性一致アイテムモジュールを使用して、最も価値の高いソリューションをリスクスコア順に表示します。

    ソリューションリストで、主要なソリューションの詳細、リスクスコア、および展開メトリクスを明らかにします。優先順位付けには、リスクスコアとアクティブな VI 数を使用します。現在のパッチサイクルのどのソリューションが進行していないかを確認します。これは、展開の前提条件を満たしていないことを示している可能性があります。
    注:
    脆弱性ソリューションフォームにある修正進捗状況の [リストの列をカスタマイズ] メニューから、修正された VI の割合 (percent_nd_pref_vis_remediated) を追加します。