CVSS スコアを変更して問題の深刻度を変更する

問題の深刻度の変更は問題ごとに行われるため、各脆弱性をビジネスリスクに関連付けて分析できます。問題のトリアージ中に、事前計算された CVSS スコアを深刻度の値で手動で上書きすることで、問題の深刻度を変更し、他の問題と比較して深刻度の優先順位を付けることができます。深刻度を変更することで、より深刻な脆弱性が最初に修正されるように、開発や管理部門に問題の重要度を伝えるのに役立ちます。

このタスクについて

この例では、問題の深刻度を上書きする方法を示します。

手順

  1. アプリケーションで、問題の 問題 ID をクリックします。

    アプリケーションの問題リスト。
  2. この問題について ダイアログで 属性の編集 をクリックします。
    注:
    ユーザータイプで 深刻度の値と CVSS 属性の変更アクセスを制限する 権限が選択されている場合、問題の深刻度の値と CVSS 属性を変更することはできません。製品管理者に連絡してください。
  3. 基本評価基準 (攻撃元区分、攻撃条件の複雑さ、必要な特権レベル、ユーザー関与レベル、スコープ、機密性への影響、完全性への影響、可用性への影響) が不明 (空白) と表示されている場合は、それぞれの値を選択します。
    この画面キャプチャでは、CVSS 基本評価基準が不明であり、CVSS スコアはなく、問題の深刻度は です。
    重要:
    変更できるのは CVSS 3.1 属性のみです。CVSS 4.0 スコアと CVSS 4.0 ベクトル属性は読み取り専用です。基本評価基準または CVSS 属性を変更すると、AppScan Enterprise は CVSS 3.1 スコアと CVSS 4.0 スコアの両方を再計算します。ただし、深刻度 の値 (高、中、または低) は CVSS 3.1 スコアからのみ取得されます。問題 ページの情報アイコンは、深刻度が CVSS 3.1 に基づいていることを示しています。

    問題の この問題について ダイアログ。
  4. 深刻度の値CVSS の使用 に変更します。
    注:
    深刻度の値のみを変更し、基本評価基準を変更しない場合、計算に使用する情報が不足しているため深刻度の計算式で深刻度を正確に計算できず、問題リストで問題が 未決定 として分類されます。
    この画面キャプチャでは、深刻度が手動で上書きされていることを確認できるように、深刻度の値列の表示を有効にしました。アプリケーションの更新された問題リスト。

タスクの結果

次の画面キャプチャで強調表示されている問題をトリアージした方法は次のとおりです。
  • 問題 #5: CVSS 基本評価基準を変更しましたが、深刻度の値 を元の 分類から変更しませんでした。計算された CVSS スコアは 5.3 になり、 深刻度の分類は変更されません。
  • 問題 #7: CVSS 基本評価基準を変更し、深刻度の値CVSS の使用 に変更しました。計算された CVSS スコアは 6.4 になり、深刻度の分類は になります。
  • 問題 #3: CVSS 基本評価基準は変更しませんでしたが、深刻度の値CVSS の使用 に変更しました。基本評価基準が不明であるため、CVSS スコアを計算するのに十分な情報がなく、深刻度の分類は 未決定 になります。

問題の深刻度トリアージのサンプル