問題の深刻度の決定方法

AppScan® Enterprise は、深刻度の計算式を使用するか、「深刻度の値」問題属性を使用して問題の深刻度を決定します。

深刻度の計算式は変更できません。ただし、深刻度の値属性の所定の値を変更することはでき、それが深刻度の計算式で使用されるため、この方法で問題の深刻度を変更できます。

また、深刻度の計算式に関連付けられている範囲の値を変更することもできます。これらの範囲は、数値による深刻度の範囲に対するテキスト表示を定義します。範囲名として使用される 情報 や クリティカル などのテキストは、深刻度の計算式の結果を表す数値よりも、アプリケーション・ビューの深刻度グループとして適用された場合に通常理解しやすくなります。

ヒント:

問題プロファイル・テンプレートで深刻度計算式の数値範囲を変更する場合は、これらの値が同期するように、同じテンプレートの深刻度の値属性の数値も修正してください。

深刻度の値属性の所定の値の 1 つは CVSS の使用 です。この値が使用される場合、深刻度の計算式は CVSS スコアを使用して問題の深刻度を決定します。問題タイプなど、深刻度の値属性に他の値を使用すると、CVSS スコアの計算を使用する代わりに、その値が問題の深刻度として使用されます。

コンテンツ・スキャン・ジョブによって検出された問題に対する CVSS と深刻度の設定方法

コンテンツ・スキャン・ジョブによって検出された問題の CVSS スコアは、必要な情報すべてが、問題が表す脆弱性のタイプに基づいて決定されるため、自動的に計算されます。

AppScan® Enterprise のレポートを介して問題の深刻度を変更すると、問題の深刻度の値属性も同じ値に設定されます。このプロセスは、以前のバージョンの AppScan® Enterprise から問題がアップグレードされる場合にも適用されます。

AppScan® Enterprise にインポートされた問題に対する CVSS と深刻度の設定方法

表 1. AppScan® Enterprise にインポートされた問題に対する CVSS と深刻度の設定方法
インポートされた問題
問題の発生元	問題の深刻度の決定方法
すべてのバージョンの AppScan® Source からのインポート	CVSS スコアの計算に寄与する情報は、インポート・ファイルでは利用できません。AppScan Enterprise は、脆弱性の問題タイプに指定された深刻度に基づいて問題の深刻度を設定します。CVSS 情報は脆弱性のタイプに基づいて計算されます。
AppScan® Standard バージョン 9.0 以前からのインポート	CVSS スコアの計算に寄与する情報は、古い製品バージョンで発生した問題のインポート・ファイルでは利用できません。AppScan® Enterprise は、脆弱性の問題タイプに指定された深刻度に基づいて問題の深刻度を設定します。
AppScan® Standard バージョン 9.0.1 以降からのインポート	CVSS スコアの計算に寄与する情報は、インポート時に AppScan® Enterprise に取り込まれ、深刻度の値は、結果の CVSS スコアから派生します。
CSV ファイルからの問題のインポート	スキャナー・プロファイルを使用すると、CSV ファイル内の属性列と AppScan Enterprise で使用される問題属性間のマッピングが可能になります。CVSS スコアの計算と結果の深刻度は、CSV ファイルで利用可能な情報と、それが CVSS メトリックを表す属性にどのようにマッピングされるかによって異なります。必要な CVSS 属性が利用可能な場合、AppScan Enterprise は CVSS の計算式を使用して深刻度を計算できます。CVSS スコアの計算が利用できない場合、AppScan Enterprise は深刻度の値に基づいて問題の深刻度を設定します。それが利用できない場合は、脆弱性の問題タイプに設定されているデフォルトの深刻度が使用されます。
AppScan Standard v9.0.3 レポート XML ファイルからの問題のインポート	XML ファイルとして保存された AppScan Standard v9.0.3 のレポート・データは、AppScan Enterprise のモニタービューにインポートできます。CVSS スコアの計算に寄与する情報は、インポート・ファイルでは利用できません。AppScan Enterprise は、インポート・ファイルに指定された深刻度に基づいて問題の深刻度の値を設定します。CVSS 情報は脆弱性のタイプに基づいて計算されます。
XML スキャナーからの問題のインポート	AppScan Enterprise は、XML ファイルの深刻度の値に基づいて問題の深刻度を設定します。
AppScan® Standard バージョン 10.11.0 以降からのインポート	インポート・ファイルには CVSS 3.1 と CVSS 4.0 の両方のメトリックが含まれており、AppScan Enterprise はどちらかを優先することなく両方のバージョンを保存します。ただし、問題の深刻度評価の計算は CVSS 3.1 スコアに基づいています。インポートされたファイルに CVSS 4.0 ベクトルが含まれていない場合、システムは問題タイプに基づいて AppScan Enterprise データベース内のデータを検索しようとします。データが AppScan Enterprise データベースにある場合、システムはそれを取得して表示します。ベクトルが AppScan Enterprise データベースにない場合、CVSS 4.0 スコアおよびベクトルのフィールドは非表示のままになり、CVSS 3.1 データのみが表示されます。注: システムは、インポートされたファイルに CVSS 4.0 ベクトルしか含まれていない場合でも、データベースから CVSS 3.1 ベクトルを取得します。AppScan Enterprise データベースは、構成ウィザードのプロセス中に ASRA データベースからこのデータを取得します。

AppScan® Source および AppScan® Standard からインポートされた、手動で設定された CVSS と深刻度を維持する方法

AppScan® Source または AppScan Standard で問題を管理していて、これらの問題を AppScan® Enterprise にインポートするときにこれらの設定を維持したい場合は、管理者に依頼して管理 > 一般設定 > Enterprise Console 設定ページのインポートされたファイルの設定を使用するチェック・ボックスを選択してもらいます。この設定を有効にすると、次の表で説明する処理ルールが適用されます。

表 2. AppScan® Source および AppScan® Standard からインポートされた、手動で設定された CVSS と深刻度を維持する方法
問題の発生元	問題の深刻度の決定方法
すべてのバージョンの AppScan® Source からのインポート	CVSS スコアの計算に寄与する情報は、問題のインポート・ファイルでは利用できません。問題の深刻度および深刻度の値属性は、インポート・ファイルで指定された深刻度に設定されます。
AppScan® Standard バージョン 9.0 以前からのインポート	CVSS スコアの計算に寄与する情報は、問題のインポート・ファイルでは利用できません。問題の深刻度および深刻度の値属性は、インポート・ファイルで指定された深刻度に設定されます。
AppScan® Standard バージョン 9.0.1 以降からのインポート	CVSS スコアの計算に寄与する情報と、手動で設定された深刻度はインポート・ファイルで利用でき、どちらもそのファイルで指定されたとおりに AppScan® Enterprise で設定されます。