問題の重大度の判別方法

AppScan® Enterprise は、重大度数式や「重大度値」問題属性を使用して、問題の重大度を判別します。

重大度数式を変更することはできません。ただし、重大度値属性の事前設定値を変更することはできます。この値は重大度数式で使用されるため、この方法で問題の重大度を変更することができます。

また、重大度数式に関連した範囲値も変更できます。これらの範囲は、数値による重大度範囲に代わるテキスト表示を定義します。一般的に、「アプリケーション」ビューで、重大度によるグループ化として、範囲名にテキスト (Information や Critical など) を使用すると、重大度数式の結果を数値で表すよりも分かりやすくなります。

ヒント: 問題プロファイル・テンプレート内の重大度数式の数値範囲を変更する場合は、同じテンプレート内の重大度値属性の数値も変更して、これらの値が同期するようにしてください。

重大度値属性の事前定義値の 1 つとして、Use CVSS があります。この値を使用すると、重大度数式で CVSS スコアを使用して問題の重大度が判別されます。重大度値属性の他の任意の値 (「問題のタイプ」など) を使用する場合、CVSS スコアの計算を使用する代わりに、その値が問題の重大度として使用されます。

重大な問題の重大度

ある問題の重大性を開発者や管理者に伝達し、その特定の問題に迅速に対応し、他に優先して修正されるようにする必要がある場合があります。このような問題を他の問題と区別するには、この問題の重大度値を Critical に設定します。「重大」は特殊な重大度値です。この数値はデフォルトの重大度範囲を超えるものであり、トリアージ中に問題ごとに設定する方法のみ可能です。

コンテンツ・スキャン・ジョブで検出された問題に CVSS および重大度を設定する方法

コンテンツ・スキャン・ジョブによって検出された問題に対する CVSS スコアは自動的に計算されます。これは、必要なすべての情報が、その問題が表している脆弱性のタイプに基づいて決定されるためです。

AppScan® Enterprise のレポートを使用して問題の重大度を変更する場合、問題の重大度値属性は同じ値に設定されます。このプロセスは、問題が以前のバージョンの AppScan® Enterprise からアップグレードされた場合にも適用されます。

AppScan® Enterprise にインポートされた問題への CVSS および重大度の設定

表 1. AppScan® Enterprise にインポートされた問題への CVSS および重大度の設定
インポートされた問題
問題のインポート元	問題の重大度の判別方法
AppScan® Source のすべてのバージョンからインポート	CVSS スコア計算に寄与する情報がインポート・ファイルにはありません。AppScan Enterprise は、脆弱性の問題のタイプ用に指定されている重大度に基づいて問題の重大度を設定します。CVSS 情報は、「脆弱性タイプ」に基づいて計算されます。
AppScan® Standard バージョン 9.0 以前からインポート	古いバージョンの製品に由来する問題のインポート・ファイルには、CVSS スコア計算に寄与する情報はありません。AppScan® Enterprise は、脆弱性の問題のタイプ用に指定されている重大度に基づいて問題の重大度を設定します。
AppScan® Standard バージョン 9.0.1 以降からインポート	インポート時に、CVSS スコア計算に寄与する情報が AppScan® Enterprise に取り込まれ、重大度値は、結果として生成される CVSS スコアから算出されます。
CSV ファイルから問題をインポート	スキャナー・プロファイルによって、CSV ファイルの属性列と、AppScan Enterprise で使用される問題の属性との間のマッピングが可能になります。CVSS スコアの計算とその結果の「重大度」は、CSV ファイルで使用可能な情報と、その情報が CVSS メトリックを示す属性にどのようにマッピングされているかで異なります。必要な CVSS 属性が使用可能な場合、AppScan Enterprise は CVSS 数式を使用して重大度を計算できます。CVSS スコアの計算が使用できない場合、AppScan Enterprise は重大度値に基づいて問題の重大度を設定します。これが使用できない場合は、脆弱性の問題のタイプに対して設定されているデフォルトの重大度を使用します。
AppScan Standard v9.0.3 レポート XML ファイルからの問題のインポート	XML ファイルとして保存されている AppScan Standard v9.0.3 のレポート・データは、AppScan Enterprise のモニタービューにインポートできます。CVSS スコア計算に寄与する情報がインポート・ファイルにはありません。AppScan Enterprise は、インポート・ファイルに指定されている重大度に基づいて問題の重大度値を設定します。CVSS 情報は、「脆弱性タイプ」に基づいて計算されます。
XML スキャナーからの問題のインポート	AppScan Enterprise は、XML ファイルからの重要度値に基づいて問題の重大度を設定します。

AppScan® Source および AppScan® Standard からインポートされた、手動で設定された CVSS および重大度を保持する方法

AppScan® Source または AppScan Standard で問題を管理しており、それらの問題を AppScan® Enterprise にインポートする際にその設定を維持したい場合、管理 > 一般設定 > Enterprise Console 設定ページで、インポート・ファイルの設定を使用チェック・ボックスを選択するように管理者に依頼できます。この設定が有効な場合、以下の表に示す処理ルールが適用されます。

表 2. AppScan® Source および AppScan® Standard からインポートされた、手動で設定された CVSS および重大度を保持する方法
問題のインポート元	問題の重大度の判別方法
AppScan® Source のすべてのバージョンからインポート	CVSS スコア計算に寄与する情報は、問題のインポート・ファイルにはありません。問題の重大度と重大度値属性は、インポートされたファイルで指定されている重大度に設定されます。
AppScan® Standard バージョン 9.0 以前からインポート	CVSS スコア計算に寄与する情報は、問題のインポート・ファイルにはありません。問題の重大度と重大度値属性は、インポートされたファイルで指定されている重大度に設定されます。
AppScan® Standard バージョン 9.0.1 以降からインポート	インポート・ファイル内に CVSS スコア計算に寄与する情報および手動により設定された重大度が含まれています。これらの両方が、インポート・ファイルに指定されているとおりに AppScan® Enterprise で設定されます。