すべての脆弱性には、重大度、重要度、エクスプロイト情報などの要素に基づいてリスクスコアと評価がアサインされます。このリスク評価の算出を担当するのが、コンテナ脆弱性一致アイテムのテーブルのビジネスルール Update Risk Rating from Risk Score です。リスクスコアが変更されるたびに、コンテナ脆弱性一致アイテムのリスク評価が算出されて入力されます。脆弱性対応 (VR) アプリケーションのバージョン 17.1 より前では、次のリスク評価がスクリプトインクルード VulnerabilityUtils の一部として提供され、ハードコードされていました。

値 (リスク評価)	重み付け (リスクスコア)
1	90–100
2	70–89
3	40–69
4	1–39
5	0

脆弱性対応 のバージョン 18.0 以降では、

• リスク評価タイプは、ベーステーブルであるリスクスコアの重み付け [sn_sec_cmn_risk_scorew_weights] に cvr_risk_rating として含まれています。リスク評価タイプは、リスク評価が計算される各テーブルのビジネスルールまたはスクリプトインクルードの一部として渡されます。
• リスク評価の算出の対象となる [リスクスコアの重み付け] テーブルの値をクエリできるように、スクリプトが変更されます。
• 既存のタイプにエントリを追加するか、新しいタイプを作成します。新しいタイプを作成するときは、新しいリスク評価のラベルを追加し、関連するスクリプトとビジネスルールも変更してください。新しいリスクスコアのスタイルも新たに追加する必要があります。
• ベーステーブルのレコードをクエリするようにスクリプトを変更します。

[リスクスコアの重み付け] テーブルにアクセスするには、フィルターナビゲーターに「sn_sec_cmn_risk_score_weight」と入力します。

さらに、次のシナリオではリスクスコアが自動的に再計算されます。

• 構成アイテム (CI) が非インターネットフェーシングからインターネットフェーシングに変更されたとき。
• 脆弱性一致アイテム (VI) の関連する一般的な脆弱性とエクスポージャー (CVE) またはサードパーティエントリ (TPE) が、CVE の既知の悪用された脆弱性 (KEV) にリンクされている場合。