3.4. CVE のビジネスリスクの定義

Vulnerability サービスでは、CVE のビジネスリスクを、High、Medium、Low、または Not Defined (デフォルト) などのオプションで定義できます。

CVE のリストでは各 CVE の重大度を示していますが、ビジネスリスクを割り当てることで、組織に与える可能性のある影響に基づいて CVE をランク付けできます。これにより、大規模な環境でリスクを効率的に管理し、運用上の意思決定を改善できます。

デフォルトでは、特定の CVE のビジネスリスクフィールドは Not Defined に設定されます。ビジネスリスクを設定したら、CVE 行の Security > Vulnerability > CVEs 一覧に表示されます。

img vuln assess cve business risk

また、各 CVE の詳細カードにビジネスリスクが表示されます。これには、より多くの情報が表示され、影響を受けるシステムがリスト表示されます。

img vuln assess cve details business risk

3.4.1. 単一の CVE のビジネスリスクの設定

単一の CVE にビジネスリスクを設定するには、以下の手順を実施します。

注記

CVE のビジネスリスクは、影響を受けるすべてのシステムで同じになります。

  1. 必要に応じて Security > Vulnerability > CVEs ページに移動し、ログインします。
  2. ビジネスリスクを設定する CVE を特定します。
  3. CVE 行の右側にある more-actions アイコン (垂直ドット) をクリックし、Edit business risk をクリックします。

    img vuln set bus risk

  4. ビジネスリスクの値を適切なレベルに設定し、必要に応じてリスク評価の証明を追加します。
  5. Save をクリックします。

3.4.2. 複数の CVE のビジネスリスクの設定

以下の手順に従い、選択する複数の CVE に同じビジネスリスクを設定します。

  1. Security > Vulnerability > CVEs に移動し、必要に応じてログインします。
  2. ビジネスリスクを設定する CVE のボックスにチェックを入れます。
  3. ビジネスリスクを設定するには、以下の手順を実行します。

    1. ツールバーで Filter ドロップダウンメニューの右側にある more-actions (3 つの垂直ドット) をクリックし、Edit business risk をクリックします。
    2. 適切なビジネスリスク値を設定し、必要に応じてリスク評価の理由を追加します。
    3. Save をクリックします。