コンフィグレーションコンプライアンス のリスクスコア算出の例

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:11分

    • コンフィグレーションコンプライアンス v13.0 以降では、デフォルトのリスクルールの基準をカスタマイズできます。リスクスコア算出には、Qualys や Tenable などのサードパーティベンダーが提供するリスクスコアを使用します。

    Qualys や Tenable などのサードパーティベンダーが独自のスコアを提供します。これらのスコアは、sn_vul_entry テーブルの [重要度] フィールドに入力されます。このフィールドはリスクスコアの算出に使用します。このスコアを使用してリスクスコアを算出するには、次の手順に従います。

    リスクルールの基準としてソースの重要度を追加する

    サードパーティベンダーから提供された重要度に基づくスコアを使用して、リスクスコアを計算します。

    始める前に

    必要なロール:sn_vulc.admin

    このタスクについて

    Qualys や Tenable などのサードパーティベンダーが独自のリスクスコアを提供します。これらのスコアは、sn_vul_entry テーブルの [重要度] フィールドに入力されます。このフィールドは、リスクスコアの計算やコンピューティングに使用します。

    手順

    1. 移動先 すべて > コンフィグレーションコンプライアンス > アドミニストレーション > リスク算出.
    2. [リスクルール] フォームに移動します。
    3. ルールを非アクティブ化するには、[アクティブ] チェックボックスをオフにします。
    4. [基準を追加] をクリックします。
    5. [参照テーブルを選択] リストから、[テスト結果]を選択します。
    6. [フィールド] リストから、 [テストの重要度] を選択します。
    7. [重み付け] フィールドで、このフィールドの相対的な重要度を入力します。
      値は 0 〜 100 の整数である必要があります。
    8. [値の重み付けを定義] セクションで、フィールド値を追加し、そのフィールドに重み付けパーセンテージをアサインします。
      リスク算出のソース重要度
    9. [Submit] をクリックします。

    リスクルールの基準としてビジネス上の重要度を追加する

    ビジネスサービスに対する重要度の値を指定し、ビジネス上の重要度を使用してリスクスコアを計算します。

    始める前に

    必要なロール:sn_vulc.admin

    このタスクについて

    組織にはさまざまなビジネスサービスがあり、ある構成アイテム (CI) が次のサービスで使用されていると仮定します。
    表 : 1. ビジネスサービスの重要度
    ビジネスサービス 重要度

    Cloud Management

    1:最重要

    e-コマース

    2:ある程度重要

    クライアントサービス

    3:やや重要

    出張費と経費

    4:重要ではない
    CI とサービス間のマッピングは、サービス [cmdb_ci_services] テーブルに格納されます。CI が構成テストに合格しない場合、テスト結果 (TR) が作成されます。影響を受けるサービスのビジネス上の重要度の値を使用して、この TR のリスクスコアを計算できます。手順に従って、これらのサービスの重要度の値を使用してリスクスコアを計算します。

    手順

    1. 移動先 すべて > コンフィグレーションコンプライアンス > アドミニストレーション > リスク算出.
    2. [算出ルール] セクションから [リスクルール] フォームに移動します。
    3. ルールを非アクティブ化するには、[アクティブ] チェックボックスをオフにします。
    4. [基準を追加] をクリックします。
    5. [参照テーブルを選択] リストから、[構成アイテム参照テーブル] を選択します。
    6. [テーブル] リストから、[サービス [cmdb_ci_service]]を選択します。
    7. [フィールド] リストから、[ビジネス上の重要度] を選択します。
    8. [集計] フィールドで、[最小] を選択してこのユースケースの最も重要なサービスを検索するか (1 - 最重要の値)、[最大] を選択してこのユースケースの最も重要ではないサービスを検索します (4 - 重要ではない値)。
    9. [重み付け] フィールドで、このフィールドの相対的な重要度を入力します。
      値は 0 〜 100 の整数である必要があります。
    10. [値の重み付けを定義] セクションで、フィールド値を追加し、重み付けをアサインします。
      図 : 1. カスタムのビジネス上の重要度リスクルールの重み付け
      カスタムのビジネス上の重要度リスクルールの重み付け
    11. [Submit] をクリックします。

    リスク算出に条件付き基準を追加する

    リスクスコア算出のリスクルールにカスタム条件を使用します。

    始める前に

    必要なロール:sn_vulc.admin

    このタスクについて

    組織に複数の構成アイテム (CI) があり、外部ユーザーはそのうちのいくつかにのみアクセスできると仮定します。ユーザーは、これらの外部向き CI に対してリスクスコアの重み付けを追加できます。
    注:
    これらの CI は名前で識別できます。名前は「外部 (external)」で始まります。

    手順

    1. 移動先 すべて > コンフィグレーションコンプライアンス > アドミニストレーション > リスク算出.
    2. [リスクルール] フォームに移動します。
    3. ルールを非アクティブ化するには、[アクティブ] チェックボックスをオフにします。
    4. [基準を追加] をクリックします。
    5. [参照テーブルを選択] リストから、[カスタム条件] を選択します。
    6. [条件テーブル] リストから、[構成アイテム] を選択します。
    7. [名前] フィールドに「CI エクスポージャー」と入力します。
    8. [重み付け] フィールドで、このフィールドの相対的な重要度を入力します。
      値は 0 〜 100 の整数である必要があります。
    9. [条件] フィールドで、[名前] > [次で始まる] を選択し、値を「外部」に指定します。
      図 : 2. 新しいリスクルールのカスタム条件
      新しいリスクルールのカスタム条件
    10. [Submit] をクリックします。

    コンフィグレーションコンプライアンス のリスクスコア算出の例

    リスクスコア算出を決定し、組織に固有のテストおよび資産データを使用するリスクスコアを生成します。

    リスクルール算出スコアを決定する例

    次の例は、リスクルール算出のスコアを決定する方法を示しています。リスクルール算出がこの表のフィールドで構成されていると仮定します。
    表 : 2. リスクルール算出スコアの決定
    フィールド 重み付け 重み付けブレークダウン
    Control.Criticality 50

    デフォルト:0

    マイナー:20

    低:30

    中:50

    高:70

    重大:100
    Business_Criticality 50

    デフォルト:0

    マイナー:20

    低:30

    中:50

    高:70

    重大:100
    この表に示されているテスト結果がシステムに存在すると仮定します。
    表 : 3. テスト結果のマッピング
    ID ビジネス上の重要度 コントロールの重要度
    CTR0000001 1:最重要 マイナー
    CTR0000002 1:最重要
    CTR0000003 2:ある程度重要 マイナー
    CTR0000004 2:ある程度重要
    CTR0000005 3:やや重要
    テスト結果のリスクスコア算出は、次の式に基づいて計算されます。

    リスクスコア = (W(control.criticality) * FV (control.criticality). + W(business_criticality) * FV(business_criticality)) / 100、 W はフィールド値の重み付けで、FV は重み付けのパーセンテージ値です。

    これらのテスト結果に対する計算後のリスクスコアは、次の表のとおりです。
    表 : 4. テスト結果に基づくリスクスコア
    ID ビジネス上の重要度 (50%) コントロールの重要度 (50%) 結果のリスクスコア
    CTR0000001 1:最重要 (50% x 100) マイナー (50% x 20) 60
    CTR0000002 1:最重要 (50% x 100) 低 (50% x 30) 65
    CTR0000003 2:ある程度重要 (50% x 70) マイナー (50% x 30) 45
    CTR0000004 2:ある程度重要 (50% x 70) 中 (50% x 50) 60
    CTR0000005 3:やや重要 (50% x 50) 低 (50% x 30) 40
    いずれかのフィールド値の重み付けのパーセンテージが変更された場合は、結果についてのこの表を参照してください。
    表 : 5. 変更された重み付けパーセンテージの結果
    フィールド 重み付け 重み付けブレークダウン
    Control.Criticality 50

    デフォルト:0

    マイナー:20

    低:30

    中:60

    高:70

    重大:100
    Business_Criticality 50

    デフォルト:50

    1:最重要:100

    2:ある程度重要:70

    3:やや重要:20

    4:重要ではない:30
    この表には、算出を再適用した後のテスト結果のリスクスコアを示しています。
    表 : 6. 算出を再適用する際の TR のリスクスコア
    ID ビジネス上の重要度 (50%) コントロールの重要度 (50%) 結果のリスクスコア
    CTR0000001 1:最重要 (50% x 100) マイナー (50% x 20) 60
    CTR0000002 1:最重要 (50% x 100) 低 (50% x 30) 65
    CTR0000003 2:ある程度重要 (50% x 70) マイナー (50% x 30) 45
    CTR0000004 2:ある程度重要 (50% x 70) 中 (50% x 60)

    * 改訂値

    		 65

    * 改訂値
    CTR0000005

    3:やや重要 (50% x 20)

    * 改訂値

    		 低 (50% x 30) 25

    * 改訂値

    コンフィグレーションコンプライアンスのリスクロールアップ算出の例 (v15.0 より前)

    次の例は、リスクロールアップ算出のスコアを決定する方法を示しています。

    次の修復タスクロールアップ算出では、修復タスクリスクスコアの計算式は次のとおりです。

    (最大リスクスコア/100) * 85 + (係数 * 15)。

    前式の係数は、次の表に示すテスト結果の数によって決まります。
    テスト結果数 係数
    <10 0.2
    10 ~ 99 0.4
    100 ~ 1000 0.6
    1001 ~ 9999 0.8
    >10000 1
    テスト結果のリスクスコアが 3 つある次の修復タスク TRG0003066 では、最大スコアは 90 です。
    番号 リスクスコア 修復タスク 結果 ステータス
    CTR000123 90 TRG0003066 失敗 オープン
    CTR000124 70 TRG0003066 失敗 オープン
    CTR000125 40 TRG0003066 失敗 オープン

    修復タスク TRG0003066 の場合:

    リスクスコアは 79 です。(90/100) * 85 + 0.2 * 15 = Math.floor (76.5 + 3) = 79

    修復タスクがまだ「オープン」であるため、履歴リスクスコアは Null です。

    データ取り込み後、次の表に示すように、テスト結果は「合格」になり、修復タスクは「クローズ済み」に移行します。

    番号 リスクスコア (v15.0 より前) 修復タスク 結果 ステータス
    CTR000123 0 TRG0003066 合格 クローズ済み
    CTR000124 0 TRG0003066 合格 クローズ済み
    CTR000125 0 TRG0003066 合格 クローズ済み

    テスト結果の履歴は、次の表のように表示されます。

    番号 リスクスコア 最新の結果 結果
    CTRH000111 90 CTR000123 失敗
    CTRH000112 70 CTR000124 失敗
    CTRH000113 40 CTR000125 失敗

    修復タスクにアクティブなテスト結果がないため、リスクスコアはゼロです。

    修復タスク TRG0003066 の場合:

    履歴リスクスコアは 79 です。(90/100) * 85 + 0.2 * 15 = Math.floor (76.5 + 3) = 79

    コンフィグレーションコンプライアンスのリスクロールアップ算出の例 (v15.0 以降)

    次の例は、リスクロールアップ算出のスコアを決定する方法を示しています。

    次の修復タスクロールアップ算出では、修復タスクリスクスコアの計算式は次のとおりです。

    (最大リスクスコア * 80/100) + (平均リスクスコア * 5/100) + (係数 * 15)

    ここで、重み付けは次のとおりです。

    • 最大リスクスコア:80
    • 平均リスクスコア:5
    • 係数:15

    平均リスクスコアのデフォルトの重み付けは 0 です。重み付けの設定方法の詳細については、「コンフィグレーションコンプライアンス のリスクロールアップ算出を編集」を参照してください。

    前式の係数は、次の表に示すテスト結果の数によって決まります。
    テスト結果数 係数
    <10 0.2
    10 ~ 99 0.4
    100 ~ 1000 0.6
    1001 ~ 9999 0.8
    >10000 1
    次の修復タスク TRG0003066 では、テスト結果のリスクスコアが 3 つあり、最大リスクスコアは 90、平均リスクスコア 66.67 です。
    番号 リスクスコア 修復タスク 結果 ステータス
    CTR000123 90 TRG0003066 失敗 オープン
    CTR000124 70 TRG0003066 失敗 オープン
    CTR000125 40 TRG0003066 失敗 オープン

    修復タスク TRG0003066 の場合:

    リスクスコアは 81 です。(90 * 80/100) + (66.67 * 5/100) + (0.2 * 15) = Math.floor (78.3 + 3) = 81

    修復タスクがまだ「オープン」であるため、履歴リスクスコアは Null です。

    データ取り込み後、次の表に示すように、テスト結果は「合格」になり、修復タスクは「クローズ済み」に移行します。コンフィグレーションコンプライアンス の v15.0 以降では、合格したテスト結果のリスクスコアが入力され、軽減されたリスクが判断されます。

    番号 リスクスコア 修復タスク 結果 ステータス
    CTR000123 90 TRG0003066 合格 クローズ済み
    CTR000124 70 TRG0003066 合格 クローズ済み
    CTR000125 40 TRG0003066 合格 クローズ済み

    テスト結果の履歴は、次の表のように表示されます。

    番号 リスクスコア 最新の結果 結果
    CTRH000111 90 CTR000123 失敗
    CTRH000112 70 CTR000124 失敗
    CTRH000113 40 CTR000125 失敗

    修復タスクにアクティブなテスト結果がないため、修復タスクのリスクスコアはゼロです。

    修復タスク TRG0003066 の場合:

    履歴リスクスコアは 81 です。(90* 80/100) + (66.67* 5/100) + (0.2 * 15) = Math.floor (78.3 + 3) = 81