問題の CVSS スコアを変更することによる問題の重大度の変更

問題の重大度の変更は、問題ごとに行われます。これにより、脆弱性がビジネス・リスクに関連している際に、個々の脆弱性を分析することができます。問題のトリアージ中に、重大度値を使用して事前に計算された CVSS スコアを手動で指定変更することにより、問題の重大度を変更することができます。そうすることによって、他の問題と相対的に比較して、問題の重大度の優先順位付けを行うことができます。重大度を変更することにより、問題の重大性を開発者や管理者に伝達して、より重大度の高い脆弱性を先に修正することが可能になります。

このタスクについて

以下の例で、問題の重大度を指定変更する方法を示します。

手順

  1. アプリケーションで、問題の「問題 ID」をクリックします。

    アプリケーションの問題リスト。
  2. 「この問題の情報」ダイアログで「属性の編集」をクリックします。
    注: ユーザー・タイプに対して 「重大度値と CVSS 属性を変更するためのアクセスを制限する」許可が選択されている場合、問題の重大度値および CVSS 属性を変更することはできません。製品管理者に連絡してください。
  3. 基本メトリック (攻撃ベクトル、攻撃の複雑性、必要な特権、ユーザーの対話、有効範囲、機密性への影響、機密性への影響、完全性への影響、可用性への影響) が不明 (ブランク) として表示される場合、メトリックごとに値を選択します。
    この画面キャプチャーでは、CVSS 基本メトリックが不明であり、CVSS スコア存在せず、問題の重大度が「High」になっています。
    問題の「この問題の情報」ダイアログ。
  4. 「重大度値」を「Use CVSS」に変更します。
    注: 重大度値のみを変更して基本メトリックを変更しないと、問題は問題リストで「Undetermined」として分類されます。これは、重大度の計算で数式が使用する情報が欠落しているため、重大度を正確に計算できないことを意味します。
    この画面キャプチャーでは、重大度が手動で指定変更されることがわかるように、重大度値列の表示を有効にしています。更新された、アプリケーションの問題リスト。

タスクの結果

以下に、次の画面キャプチャーで強調表示されている問題をどのようにトリアージしたかを示します。
  • 問題 #5: CVSS 基本メトリックを変更しましたが、「重大度値」は元の「High 」の分類から変更しませんでした。計算された CVSS スコアは 5.3 になり、「High」重大度分類は変わらないままです。
  • 問題 #7: CVSS 基本メトリックを変更し、「重大度値」を「Use CVSS」に変更しました。計算された CVSS スコアは 6.4 になり、重大度の分類は「Medium」になりました。
  • 問題 #3: CVSS 基本メトリックは変更しませんでしたが、「重大度値」を「Use CVSS」に変更しました。基本メトリックが不明であるため、CVSS スコアを計算するために十分な情報がないので、重大度の分類は「Undetermined」になります。

問題の重大度のトリアージの例