リスクスコアと有効期限に対する補完コントロールの影響

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • 修復オーナーは、ホスト脆弱性一致アイテムまたは修復タスクのリスク削減を要求できます。脆弱性マネージャーまたはアナリストは、これらのリスク削減要求を承認できます。

    リスク削減を要求し、リスク削減承認を行う方法の詳細については、「脆弱性一致アイテムまたは修復タスクのリスク削減の要求」および「Vulnerability Manager ワークスペース で要求を承認または却下」をそれぞれ参照してください。

    リスク削減要求が承認されると、ステータス変更承認 (VCA#) レコードの [目標値] (リスク評価) に従ってリスクスコアが低下します。リスク削減要求が承認されると、目的のリスク評価の最も高いリスクスコアがレコードに割り当てられます。次の例は、補完コントロールが適用されたときに [リスクスコア] と [元のリスクスコア] がどのように更新されるかを示しています。次の例では、リスク評価のデフォルトの最高リスクスコアが使用されます。

    表 : 1. リスクスコアと元のリスクスコアに対する補完コントロールの影響
    シナリオ リスク評価 リスクスコア 元のリスクスコア (計算されたリスクスコア)
    v20.0 より前のデータ 2 - 高 80 このフィールドは v20.0 より前では使用できません。
    v20.0 へのアップグレード後 2 - 高 80 Null
    計算済みのリスクスコアが取り込み時に 90 に変更される 1 - 重大 90 Null
    補完コントロールの適用時 3:中 69 90
    計算済みのリスクスコアが取り込み時に 70 に変更される 3:中 69 70
    計算済みのリスクスコアが取り込み時に 50 に変更される 3:中 50 50
    計算済みのリスクスコアが取り込み時に 80 に変更される 3:中 50 80
    補完コントロールが [リスク削減の期限日] に期限切れとなった場合 2 - 高 80 Null

    修復タスクに対する補完コントロールの影響

    リスク削減の要求が修復タスクに対して承認された場合、脆弱性一致アイテムに対する補完コントロールの影響は次のとおりです。

    • 修復タスクに適用された補完コントロールは、修復タスクのステータス変更承認において [目標値 (Desired value)] に対応するリスクスコアよりもリスクスコアが高い脆弱性一致アイテム ([クローズ済み] ステータス以外) に適用されます。これらの脆弱性一致アイテムのリスクスコアは、[目標値] に従って削減されます。
    • [リスク削減の期限日] は、補完コントロールが既に適用されている脆弱性一致アイテムについては変更されません。修復タスクの [リスク削減の期限日] では更新されません。
    • リスク削減の期限日は、補完コントロールが以前に脆弱性一致アイテムに適用されていない場合にのみ、脆弱性一致アイテムにロールダウンされます。修復タスクに補完コントロールを再度適用すると、脆弱性一致アイテムの既存の [リスク削減の期限日] が優先されるため、[リスク削減の期限日] は脆弱性一致アイテムにロールダウンされません。
    • 補完コントロールが既に適用されている修復タスクに新しい脆弱性一致アイテムが追加された場合、リスクは脆弱性一致アイテムにロールダウンされません。

    脆弱性一致アイテムに対する補完コントロールの影響

    脆弱性一致アイテムに対するリスク削減の要求が承認されている場合:

    • 新しいリスクスコアが [ リスクスコア ] フィールドに表示され、古いリスクスコア (計算されたリスクスコア) が [元のリスクスコア ] フィールドに移動します。この変更は、[リスク削減の期限日] フィールドで指定された日付まで保持されます。
    • 取り込み時に、脆弱性一致アイテムに補完コントロールが既に適用されている場合:
      • 算出されたリスクスコアがリスクスコアより大きい場合、リスクスコアは同じままになり、元のリスクスコアは算出されたリスクスコアで更新されます。
      • 算出されたリスクスコアがリスクスコアより小さい場合、リスクスコアと元のリスクスコアの両方が算出されたリスクスコアで更新されます。
    • 補完コントロールが既に適用されている脆弱性一致アイテムの構成アイテム (CI) が変更された場合:
      • sn_sec_cmn.update_on_ci_change システムプロパティが true に設定されていると、デフォルトで脆弱性一致アイテムに対して CI が更新されます。

        補完コントロールは引き続き脆弱性一致アイテムに適用されます。

      • sn_sec_cmn.update_on_ci_change システムプロパティが false に設定されている場合、脆弱性一致アイテムはクローズされ、新しい脆弱性一致アイテムが作成されます。

        古い脆弱性一致アイテムに適用された補完コントロールは、新しい脆弱性一致アイテムに適用され、[リスク削減の期限日][元のリスクスコア]、および [リスクスコア] は同じままです。

    • 脆弱性一致アイテムがスキャナーによって再オープンし、補完コントロールが既に適用されている場合は、再オープン後に同じ補完コントロールが適用されます。