脆弱性ソリューション管理

  • リリースバージョン: Australia
  • 更新日 2026年04月06日
  • 所要時間:10分

    • 脆弱性ソリューション管理 は、環境内の脆弱性とそれらを修正できるソリューションとの相関付けを自動化します。組織にとって最も大きな影響を与えるパッチ、構成の更新、およびコントロールを特定するため、手作業で調査する必要がなくなります。

    注:
    脆弱性ソリューション管理 には別のサブスクリプションが必要であり、使用する前に ServiceNow® Store からインストールする必要があります。インストール後、脆弱性対応内から Microsoft Security Response Center (MSRC) および Red Hat ソリューションデータにアクセスできるようになります。
    詳細については、次のリソースを参照してください。

    見込みのある解決策と優先ソリューション

    見込みのある解決策:脆弱性に対処する可能性のあるソリューション。多くの場合、1 つの脆弱性に複数の潜在的なソリューションがあります。

    優先ソリューション:特定の脆弱性または脆弱性一致アイテム (VIT) を修復するために指定された単一のソリューション。明確な意図を伝え、環境全体の展開を正確に追跡できます。

    優先ソリューション選択ロジック

    優先ソリューションは次の優先順位で選択されます。優先度の高い選択が、優先度の低い選択によって上書きされることはありません。

    表 : 1. 優先ソリューションの選択
    優先度 ソース 適用時
    1 (最高) 手動選択 脆弱性または VIT についてユーザーが明示的に設定します。自動的に上書きされることはありません。
    2 ベンダーソリューション MSRCRed Hat、CVRF、または CSAF インポートからのソリューション。手動選択が存在しない場合は自動的に選択されます。
    3 最新のソリューション 最上位のベンダーソリューションが複数存在する場合に使用されます。sn_vul.populate_scanner_solutionsを「true」に設定する必要があります。
    4 (最低) スキャナーセキュリティ情報ソリューション ベンダーソリューションが利用できず、スキャナーソリューションが 1 つしかない場合に使用されます。sn_vul.populate_scanner_solutionsを「true」に設定する必要があります。

    ソリューションの優先度

    優先ソリューションは、以前のリリースを完全に置き換えます (たとえば、ホットフィックスに取って代わるサービスパックなど)。ソリューション管理は、これらのチェーンを自動的に追跡します。

    主な動作:

    • 古い脆弱性が検出された場合は、上位のソリューションで対処できます。
    • システムは、最も高い (最も累積的な) 優先ソリューションを優先します。
    • 優先度チェーンは MSRC インポート時に自動的にビルドされ、各ソリューションレコードの関連リストに反映されます。
    注:
    脆弱性対応の v22.0 以降、脆弱性一致アイテムが作成された場合と、アクティブな VIT のデータが変更された場合の 2 つの場合に、ソリューションがキューに入れられなくなりました。

    スキャナーをソースとするソリューション (v24.0.6+)

    v24.0.6 以降では、ベンダーソリューションに加えてスキャナーからのソリューションを取り込むことができます。次の統合がサポートされています。

    • Tenable.sc プラグイン統合
    • Tenable.io プラグイン統合
    • Qualys ナレッジベース (バックフィル)
    • Microsoft TVM マシンの脆弱性統合 (フルインポート)
    • Microsoft TVM マシンの脆弱性統合 (データインポート)

    特に Microsoft TVM の場合、ソリューションは検出レベルで作成されるため、追加の処理手順なしで、優先ソリューションを脆弱性一致アイテムに直接入力できます。

    修復ステータスメトリクス

    脆弱性ソリューション [sn_vul_solution] テーブルに移動し、特定の脆弱性ソリューションを選択して、[修復ステータス] タブを開きます。このタブには、次のフィールドが表示されます。

    表 : 2. 修復ステータスメトリクス
    フィールド 説明
    優先ソリューションターゲット:優先ソリューションとなる VI の修復ステータス
    脆弱性一致アイテム 修復のためにこのソリューションが優先されるアクティブな (クローズされていない) 脆弱性一致アイテムの数。この数には、保留された脆弱性一致アイテムは含まれません。
    残りの CI 修復のためにこのソリューションが優先される 1 つ以上のアクティブな脆弱性一致アイテムに関連付けられた CI の数。この数には、保留された脆弱性一致アイテムは含まれません。
    合計 VI 修復のためにこのソリューションが優先されるアクティブおよびクローズ済みの脆弱性一致アイテムの数。この数には、保留された脆弱性一致アイテムは含まれません。
    合計 CI 修復のためにこのソリューションが優先される 1 つ以上のアクティブおよびクローズ済みの脆弱性一致アイテムに関連付けられた CI の数。この数には、保留された脆弱性一致アイテムは含まれません。
    修復された VI の割合 脆弱性一致アイテム (VI) の修正の完了率。このソリューションが優先される VI に適用されます。この数には、保留された脆弱性一致アイテムは含まれません。
    修復された CI の割合 CI 修復の完了率。このソリューションが優先される VI に適用されます。この数には、保留された脆弱性一致アイテムは含まれません。
    優先ソリューションターゲット ([保留]を含む):優先ソリューションとなる、保留を含む VI の修復ステータス
    脆弱性一致アイテム 修復のためにこのソリューションが優先されるアクティブな (クローズされていない) 脆弱性一致アイテムの数。
    残りの CI 修復のためにこのソリューションが優先される 1 つ以上のアクティブな脆弱性一致アイテムに関連付けられた CI の数。
    合計 VI 修復のためにこのソリューションが優先されるアクティブおよびクローズ済みの脆弱性一致アイテムの数。
    合計 CI 修復のためにこのソリューションが優先される 1 つ以上のアクティブおよびクローズ済みの脆弱性一致アイテムに関連付けられた CI の数。
    修復された VI の割合 脆弱性一致アイテム (VI) の修正の完了率。このソリューションが優先される VI に適用されます。
    修復された CI の割合 CI 修復の完了率。このソリューションが優先される VI に適用されます。
    見込みのあるソリューションターゲット:当該のソリューションに関連する脆弱性を有するすべての VI における修復ステータス
    脆弱性一致アイテム このソリューションが修復ソリューションとなる可能性があるアクティブな (クローズされていない) 脆弱性一致アイテムの数。この数には、保留された脆弱性一致アイテムは含まれません。
    残りの CI このソリューションが修復のソリューションとなる可能性がある 1 つ以上のアクティブな脆弱性一致アイテムに関連付けられた CI の数。この数には、保留された脆弱性一致アイテムは含まれません。
    見込みのあるソリューションターゲット ([保留] を含む):当該ソリューション関連の脆弱性を有する、保留を含むすべての VI における修復ステータス
    脆弱性一致アイテム このソリューションが修復ソリューションとなる可能性があるアクティブな (クローズされていない) 脆弱性一致アイテムの数。
    残りの CI このソリューションが修復のソリューションとなる可能性がある 1 つ以上のアクティブな脆弱性一致アイテムに関連付けられた CI の数。
    注:
    [優先ソリューションターゲット] セクション (保留を除くと保留を含める) の両方を使用できます。同じフィールドが適用されます。違いは、保留 VIT がカウントされるかどうかです。

    ソリューションのリスクスコアとリスク評価

    各ソリューションレコードには、それを展開することで達成できるリスク削減を推定するリスクスコアがあります。計算は次のとおりです。

    • これを潜在的なソリューションとしてリストしているすべてのアクティブな VIT の中で最も高いリスクスコアの 85% から開始します。
    • 影響を受ける VIT の合計数に基づいてボーナスポイントを追加します。
    VIT カウント範囲 追加されたポイント
    0 〜 9 個の脆弱性一致アイテム + 0 ポイント
    10 〜 99 の脆弱性一致アイテム + 5 ポイント
    100 〜 999 の脆弱性一致アイテム + 10 ポイント
    1,000+ の脆弱性一致アイテム + 15 ポイント

    たとえば、最大 VIT リスクスコアが 80 のソリューションは、68 (80 × 0.85) から始まります。アクティブな VIT が 200 個の場合、10 ポイントが追加され、最終的なリスクスコアは 78 (高) になります。

    リスク評価は、リスクスコアを重大度ラベルに変換します (v16.1 以降に適用)。

    リスク評価 スコア範囲
    クリティカル 90 以上
    70 – 89
    40 – 69
    1 – 39
    なし 0

    パフォーマンスの最適化:ステータスフラグを更新

    不要な処理を減らすために、脆弱性ソリューションテーブルに [更新ステータス] 列が導入されました。修復ステータスメトリクスのみを再計算する必要がある場合 (ロールアップや優先ソリューションの入力は不要)、ソリューションはキューに入れられなくなります。代わりに、更新ステータスフラグが直接 true に設定されます。

    この最適化は、次のシナリオに適用されます。

    • 脆弱性の優先ソリューションが変更されたとき
    • VIT が作成または削除されたとき
    • VIT インポートが完了したとき
    注:
    スケジュール済みジョブは、最初にキューに格納されたソリューションを処理し、次にステータスの更新 = true とマークされたソリューションを反復処理します。これにより、カウントとメトリクスが再計算されます。これにより、キューの量が大幅に削減され、ジョブのパフォーマンスが向上します。

    処理アーキテクチャ

    Process Vulnerability Solution Metrics Queue Job

    このスケジュール済みジョブは、 MSRCRed Hat を介して取り込まれた脆弱性レコードを評価し、優先ソリューションをアサインします。関連する VIT に対してソリューションのロールダウンを実行し、ソリューションレコードの修復ステータスメトリクスを再計算します。すべてのソリューションを処理します。ベースシステムでは MSRCRed Hat の統合のみを使用できますが、SuseとCiscoのソリューションをアクティブ化したり、独自のCSAFまたはCVRF統合を作成したりすることもできます。

    このジョブは、数十万件の脆弱性レコードを処理する潜在的な規模を考えると、リソース集約的です。ソリューションやサードパーティの脆弱性や脆弱性一致アイテムの初期ソリューションの取り込みや大量のインポートは、定常状態の実行よりもかなり時間がかかる場合があります。

    Split Processing Jobs (v26.5.3+)

    v26.5.3 以降、スケジュール済みジョブは、同時処理をサポートするために 2 つの並列ジョブに分割されました。
    • Chained Solutions Job: MSRC ソリューションを処理します。 MSRC は、優先度チェーンとして構造化された毎月の増分更新を公開します。各ソリューションは、1 つ以上の以前のソリューションよりも優先されます。このジョブは、有向グラフトラバーサルを実行して、最も優先されるソリューションを識別し、それを優先ソリューションとして指定します。注:グラフトラバーサルは複雑であり、大規模な環境ではかなりの処理時間が必要になる場合があります。
    • Non-Chained Solutions Job: Red Hat と他のすべての統合を処理します。これらのソースは優先チェーン関係を使用せず、グラフベースの解決を必要としません。これらは、より高速で合理化された実行パスを介して処理されます。

    両方のジョブを同時に実行すると、全体的なスループットが大幅に向上します。