3.4. CVE のビジネスリスクの定義
Vulnerability サービスでは、CVE のビジネスリスクを、High、Medium、Low、または Not Defined (デフォルト) などのオプションで定義できます。
CVE のリストでは各 CVE の重大度を示していますが、ビジネスリスクを割り当てることで、組織に与える可能性のある影響に基づいて CVE をランク付けできます。これにより、大規模な環境でリスクを効率的に管理し、運用上の意思決定を改善できます。
デフォルトでは、特定の CVE のビジネスリスクフィールドは Not Defined に設定されます。ビジネスリスクを設定したら、CVE 行の Security > Vulnerability > CVEs 一覧に表示されます。
また、各 CVE の詳細カードにビジネスリスクが表示されます。これには、より多くの情報が表示され、影響を受けるシステムがリスト表示されます。
3.4.1. 単一の CVE のビジネスリスクの設定
単一の CVE にビジネスリスクを設定するには、以下の手順を実施します。
CVE のビジネスリスクは、影響を受けるすべてのシステムで同じになります。
- 必要に応じて Security > Vulnerability > CVEs ページに移動し、ログインします。
- ビジネスリスクを設定する CVE を特定します。
CVE 行の右側にある more-actions アイコン (垂直ドット) をクリックし、Edit business risk をクリックします。
- ビジネスリスクの値を適切なレベルに設定し、必要に応じてリスク評価の証明を追加します。
- Save をクリックします。
3.4.2. 複数の CVE のビジネスリスクの設定
以下の手順に従い、選択する複数の CVE に同じビジネスリスクを設定します。
- Security > Vulnerability > CVEs に移動し、必要に応じてログインします。
- ビジネスリスクを設定する CVE のボックスにチェックを入れます。
ビジネスリスクを設定するには、以下の手順を実行します。
- ツールバーで Filter ドロップダウンメニューの右側にある more-actions (3 つの垂直ドット) をクリックし、Edit business risk をクリックします。
- 適切なビジネスリスク値を設定し、必要に応じてリスク評価の理由を追加します。
- Save をクリックします。