問題の CVSS スコアを変更することによる問題の重大度の変更
問題の重大度の変更は、問題ごとに行われます。これにより、脆弱性がビジネス・リスクに関連している際に、個々の脆弱性を分析することができます。問題のトリアージ中に、重大度値を使用して事前に計算された CVSS スコアを手動で指定変更することにより、問題の重大度を変更することができます。そうすることによって、他の問題と相対的に比較して、問題の重大度の優先順位付けを行うことができます。重大度を変更することにより、問題の重大性を開発者や管理者に伝達して、より重大度の高い脆弱性を先に修正することが可能になります。
このタスクについて
手順
- アプリケーションで、問題の「問題 ID」をクリックします。
- 「この問題の情報」ダイアログで「属性の編集」をクリックします。
注: ユーザー・タイプに対して 「重大度値と CVSS 属性を変更するためのアクセスを制限する」許可が選択されている場合、問題の重大度値および CVSS 属性を変更することはできません。製品管理者に連絡してください。
- 基本メトリック (アクセス・ベクトル、アクセスの複雑性、認証、機密性への影響、完全性への影響、可用性への影響) が不明 (ブランク) として表示される場合、メトリックごとに値を選択します。
この画面キャプチャーでは、CVSS 基本メトリックが不明であり、CVSS スコア存在せず、問題の重大度が「High」になっています。
- 「重大度値」を「Use CVSS」に変更します。注: 重大度値のみを変更して基本メトリックを変更しないと、問題は問題リストで「Undetermined」として分類されます。これは、重大度の計算で数式が使用する情報が欠落しているため、重大度を正確に計算できないことを意味します。この画面キャプチャーでは、重大度が手動で指定変更されることがわかるように、重大度値列の表示を有効にしています。
タスクの結果
以下に、次の画面キャプチャーで強調表示されている問題をどのようにトリアージしたかを示します。
- 問題 #5: CVSS 基本メトリックを変更しましたが、「重大度値」は元の「High」の分類から変更しませんでした。計算された CVSS スコアは 5.3 になり、「High」重大度分類は変わらないままです。
- 問題 #7: CVSS 基本メトリックを変更し、「重大度値」を「Use CVSS」に変更しました。計算された CVSS スコアは 6.4 になり、重大度の分類は「Medium」になりました。
- 問題 #3: CVSS 基本メトリックは変更しませんでしたが、「重大度値」を「Use CVSS」に変更しました。基本メトリックが不明であるため、CVSS スコアを計算するために十分な情報がないので、重大度の分類は「Undetermined」になります。