コンフィグレーションコンプライアンス の算出と算出ルール

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:7分

    • コンフィグレーションコンプライアンス は、テスト結果におけるフィールドの初期値算出を自動化します。各算出の条件が順番に評価され、最初に一致した算出が使用されます。

    コンフィグレーションコンプライアンス の算出

    コンフィグレーションコンプライアンスのベースシステムには、テスト結果にベースのリスクスコアを設定するコンフィグレーションコンプライアンスの算出 (デフォルトリスク算出) が一つ含まれています。コンフィグレーションコンプライアンス算出は、条件フィルターを使用することにより、任意の条件に基づいてテスト結果の影響度を優先順位付けして評価するようにビルドすることができます。脆弱性のビジネスインパクト、構成アイテム (CI) のクラスなど、追加のコンフィグレーションコンプライアンス算出を作成してテスト結果の他のフィールドを設定するか、既存のコンフィグレーションコンプライアンス算出をカスタマイズすることができます。算出は、どのような優先順位でも反映できるように記述できます。

    各算出には、算出ルールのリストと、それを適用するタイミングを決定する条件が含まれています。算出が実行されると、各算出ルールの条件が順番に評価され、最初に一致した算出ルールが使用されます。

    すべての有効なコンフィグレーションコンプライアンス算出は、テスト結果が作成されるたび、関連する CI または構成テストが変更されたとき、またはテスト結果の [リスクスコアを計算] 関連リンクが使用されたときに、選択されたフィールドを設定します。たとえば、インポートされたテスト結果で control.criticality の値が更新されると、テスト結果レコードのリスクスコアが自動的に更新されます。テスト結果のインポートによってテスト結果スコアが更新された後、[算出を再適用] ボタンを選択して、テスト結果のリスクスコアを再計算できます。

    既存のテスト結果から [リスクスコアを計算 (Calculate Risk Score)] 関連リンクを選択し、いずれかの算出が有効になっている場合、テスト結果の [リスクスコア] フィールドが更新されます。
    注:
    • [リスクスコアを計算] 関連リンクは、少なくとも 1 つのコンフィギュレーションコンプライアンス算出が有効になっている場合にのみ表示されます。
    • 脆弱性対応の v22.0 以降では、レコードビューの [リスクスコアを計算 (Calculate Risk Score)] ボタンを選択することで、脆弱性マネージャーワークスペースと IT 修復ワークスペースでテスト結果のリスクスコアを更新できます。
    • コンフィグレーションコンプライアンスのバージョン 14.13 以降では、テスト結果のリスクスコアが変更されるたびに、テスト結果の [メモ] セクションに次の詳細が文書化されます。
      • 算出グループ名
      • 算出名:算出ルールがテンプレートとスクリプトのどちらに基づいているかに応じて、名前に括弧で囲まれた詳細が追加されます。算出ルールの基準を変更または表示するには、任意のルールを選択し、[詳細表示] チェックボックスをオンにします。[値のタイプ (Value type)] ドロップダウンボックスから、必要なオプションを選択します。[テンプレート] を選択した場合、リスクスコアはルールで指定された条件に従って更新されます。[スクリプト] を選択した場合、既存のスクリプトを追加または更新できます。
      • 重み付けとリスクスコアの寄与度を含むフィールド値
      • 最終的なリスクスコア
      • システムプロパティ sn_sec_cmn.risk_score_changes_add_worknotes は [作業メモ] セクションの入力に便利です。コンフィグレーションコンプライアンス v15.2.1 以降、システムプロパティ sn_sec_cmn.risk_score_changes_add_worknotes はデフォルトで非アクティブになっています。有効にすると、テスト結果のリスクスコアに関連するすべての変更が [作業メモ] セクションに表示されます。さらに、作業メモはリスクスコアが変更された場合にのみ更新されます。

    コンフィグレーションコンプライアンス の算出ルール

    デフォルトでは、ベースシステムの [デフォルトリスク算出 (Default Risk Calculator)] が提供されます。この算出のリスクルールを作成する場合は、[デフォルトリスク算出 (Default Risk Calculator)] のターゲットフィールドを [リスクスコア] に設定する必要があります。[新しいリスクルール] ボタンを選択し、新しいリスクルール を作成します。これによって、リスクルールと呼ばれる特殊なテスト結果算出ルールが作成され、複数の値に基づいてリスクスコアが計算されます。デフォルトでは 、リスクスコアを計算するための次の値が考慮されます。
    • ビジネス上の重要度
    • 重要度
    [デフォルトのリスクルール] で使用する値と、これらの各値の重み付けを調整できます。重み付けは、ベースのリスクスコアを設定するときに各要素をどの程度考慮するかを調整するために使用されます。

    コンフィグレーションコンプライアンスバージョン 13.0 以降では、デフォルトのリスクルールの基準をカスタマイズできます。詳細については、「Define fields and weights for the risk rule (リスクルールのフィールドと重み付けを定義する)」を参照してください。

    重み付けパーセンテージをアサインする

    フィールド値レベルで重み付けのパーセンテージ (0 ~ 100) をアサインすることもできます。たとえば、各レベルの重大度 (なし~重大) に重み付けのパーセンテージをアサインできます。リスクルールの重要度の重み付けが 50 で、重要度レベルに次の重み付け値がアサインされている場合:
    表 : 1. 重み付けパーセンテージをアサインする
    重要度 リスクスコア
    重大 100
    50
    20
    なし 0
    重要度が「重大」の場合、対応する重み付けは 50 です。重要度が「高」の場合、重み付けは 25 で、重要度が「中」の場合、重み付けは 10 です。重要度が「なし」の場合、対応する重み付けは 0 です。詳細については、「Risk score calculation example for Configuration Compliance (コンフィグレーションコンプライアンスのリスクスコアの計算例)」を参照してください。

    各ルールには [順序] 設定がありますが、条件に一致する最初のルールによってテスト結果の [リスクスコア] フィールドが更新されます。通常、スクリプト化されていない算出ルールは、スクリプト化された算出ルールよりもパフォーマンスへの影響が少なくなります。

    ベースシステムの コンフィグレーションコンプライアンス の算出には、重要度レベル (なし~重大) ごとに、重大度に基づいて [リスクスコア] の値 (0 〜 100) をアサインする算出ルールが含まれています。[不明な重大度] には、リスクスコア 100 が自動的にアサインされます。これらの値は調整可能で、[デフォルトリスク算出 (Default Risk Calculator)] のように、新しい算出ルールやリスクルールを作成できます。

    脆弱性のリスクスコアの重み付け

    すべての脆弱性には、重大度、重要度、エクスプロイト情報などの要素に基づいてリスクスコアと評価がアサインされます。このリスク評価の算出を担当するのが、脆弱性一致アイテムのテーブルのビジネスルール Update Risk Rating from Risk Score です。リスクスコアが変更されるたびに、脆弱性一致アイテムのリスク評価が算出されて入力されます。脆弱性対応 (VR) アプリケーションのバージョン 17.1 より前では、次のリスク評価がスクリプトインクルード VulnerabilityUtils の一部として提供され、ハードコードされていました。
    値 (リスク評価) 重み付け (リスクスコア)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    脆弱性対応 のバージョン 18.0 以降では、
    • 出荷時のリスク評価タイプはベーステーブルで base table as cc_risk_rating となっています。リスク評価タイプは、リスク評価が計算される各テーブルのビジネスルールの一部として渡されます。
    • リスク評価の算出の対象となる [リスクスコアの重み付け] テーブルの値をクエリできるように、スクリプトが変更されます。
    • 既存のタイプにエントリを追加するか、新しいタイプを作成します。新しいタイプを作成するときは、新しいリスク評価のラベルを追加し、関連するスクリプトとビジネスルールも変更してください。新しいリスクスコアのスタイルも新たに追加する必要があります。
    • ベーステーブルのレコードをクエリするようにスクリプトを変更します。
    [リスクスコアの重み付け] テーブルにアクセスするには、フィルターナビゲーターに sn_sec_cmn_risk_score_weight (30.0 未満のバージョンの場合) またはsn_sec_calculator_risk_score_weight (30.0 以降のバージョンの場合) を入力します。
    さらに、次のシナリオではリスクスコアが自動的に再計算されます。
    • 構成アイテム (CI) が非インターネットフェーシングからインターネットフェーシングに変更されたとき。
    • 脆弱性一致アイテム (VI) の関連する一般的な脆弱性とエクスポージャー (CVE) またはサードパーティエントリー (TPE) が、CVE の既知の悪用された脆弱性 (KEV) にリンクされている場合。