アプリケーション脆弱性対応 の例外管理
公開されている脆弱性管理やセキュリティポリシー、標準、指針に組織が準拠できない場合は、例外を要求できます。例外管理では、ポリシーに従って修復できないアプリケーション脆弱性一致アイテム (AVI) に対する例外を要求、レビュー、承認、または却下します。
一部の脆弱性には、既存のパッチ、修正、またはソリューションがない可能性があります。例外が承認されるということは、脆弱性を修復しなかった場合の結果を認識し、同意していることになるため、リスクを受け入れているということでもあるのです。
注:
の v21.0 アプリケーション脆弱性対応以降では、誤検出と例外を承認する期間を設定できます。また、設定した日数経過後の承認者と要求者の両方に対するメール通知も可能です。要求が発生すると、アプリケーション脆弱性一致アイテムが [レビュー中] ステータスに変わり、ステータス変更レコードが作成されます。設定された期間内に承認者が応答しない場合、アプリケーション脆弱性一致アイテムまたは修復タスクは [オープン] ステータスに戻ります。以前のステータスは backup_state フィールドに保存されます。詳細については、「例外管理の承認ルールの構成」を参照してください。
例外のライフサイクル
- 例外の定義
- 例外は、AVI の修復を指定した期間保留することを要求するものです。たとえば、マシンにパッチが適用されない場合に、開発者が例外を要求できます。
- 例外の要求
- 開発者は、例外管理プロセスを使用して AVI の免除を要求できます。アプリケーションセキュリティアナリストがこの要求を承認すると、AVI は [保留] ステータスに移行します。
- 例外ルール
- v20 以降では、ルールの条件に一致する場合に、既存および新規のアプリケーション脆弱性一致アイテム (AVI) を特定の期間自動的に保留する例外ルールを作成できます。例外ルールを使用して AVI を自動的に保留することで、サービスレベルアグリーメントを見逃すリスクを最小限に抑えることができます。ルールを使用すると手動操作がなくなるため、複数のアイテムを管理するのに役立ちます。「例外ルールの作成」を参照してください。
- 例外ルールの延長の要求
- v20 以降、例外ルールの [ 保留期限 ] の日付の延長要求を送信できます。ルールによって作成された多数のレコードが、修復タスクが新しい AVI の受け入れを停止する保留 期限 日までに解決されていないことがわかった場合は、ルールの延長を要求できます。この延長によって例外ルールが更新されるため、既存のルールの保留日が自動的に延長されます。現在の日付から最大 1 年前までの日付を入力でき、延長の理由を含める必要があります。延長要求には、別々の承認グループからの 2 レベルの承認が必要です。
- 例外要求を承認する
- すぐに修復できない AVI は、アプリケーションセキュリティアナリストによってレビューされ、リスクが評価され、修復されるまでの保留が承認されます。例外要求の承認は 2 レベルフローにできます。第 1 レベルの承認者のみが存在する場合、例外を要求して承認できます。ただし、第 1 レベルの承認者がいない場合は、例外を要求できません。詳細については、「アプリケーション脆弱性対応 の例外承認者を追加する」を参照してください。
注:
AVI の例外要求が承認されたら、次のアクションを実行できます。
- 再オープン
- 詳細の取得
- 例外要求の追跡
- 例外が発生した後、AVI の [ステータス変更承認] タブを使用してそのステータスを追跡できます。
- 例外要求の有効期限と例外ルールの延長の要求
- 特定の AVI の例外要求が期限切れになると、影響を受ける AVI は [オープン] 状態に戻ります。
ただし、v20 以降では、例外ルールの [ 保留期限 ] の日付を延長する要求を送信できます。