正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

トリアージ

トリアージは、脆弱性管理ライフサイクルの2番目のフェーズです: 検出、トリアージ、分析、修正する。

トリアージは、各脆弱性を評価して、今すぐ注意が必要なものとそれほど重要ではないものを決定する継続的なプロセスです。高リスクの脆弱性は、中リスクまたは低リスクの脅威から分離されます。すべての脆弱性を分析して修正することが可能であるとは限りません。リスク管理フレームワークの一部として、トリアージはリソースが最も効果的な場所に適用されることを保証するのに役立ちます。脆弱性を頻繁にトリアージして、トリアージサイクルごとの脆弱性の数を少なく、管理しやすいようにすることをお勧めします。

トリアージフェーズの目的は、各脆弱性を確認または無視することです。確認済みの脆弱性は分析フェーズに進みますが、無視するれた脆弱性は進みません。

セキュリティダッシュボード、セキュリティインベントリ、および脆弱性レポートに含まれるデータを使用して、脆弱性を効率的かつ効果的にトリアージします。

スコープ

トリアージフェーズのスコープには、まだ評価されていないすべての脆弱性が含まれます。

脆弱性レポートをフィルタリングして、トリアージが必要な脆弱性を特定します:

  • ステータス: トリアージが必要

リスク分析

脆弱性のトリアージは、リスク評価フレームワークに従って実施する必要があります。業界や地理的な場所によっては、フレームワークへのコンプライアンスが法律で義務付けられている場合があります。そうでない場合は、信頼できるリスク評価フレームワークを使用する必要があります。例:

利用可能な場合は、セキュリティ分析エージェントを使用して脆弱性分析を加速してください。このエージェントは、インサイト、リスク評価、および修正ガイダンスを提供することで、セキュリティの発見事項を効率的にトリアージし、評価し、修正します。

一般的に、脆弱性に費やされる時間と労力は、そのリスクに比例すべきです。たとえば、あなたのトリアージ戦略は、重大かつ高リスクの脆弱性のみが分析フェーズに進み、残りは無視されるというものであるかもしれません。この決定は、脆弱性に対するリスクしきい値に従って行う必要があります。

脆弱性をトリアージした後、そのステータスを次のいずれかに変更する必要があります:

  • 確認済み: この脆弱性をトリアージし、分析が必要であると判断しました。
  • 却下: この脆弱性をトリアージし、分析しないことを決定しました。

脆弱性を無視する場合、なぜ無視されたのかを説明する簡単なコメントを提供する必要があります。無視された脆弱性は、その後のスキャンで検出されても無視されます。脆弱性レコードは永続的ですが、脆弱性のステータスはいつでも変更できます。

トリアージ戦略

まず、最も重要な脆弱性に焦点を当てるために、これらの戦略を試してください。

重大なリスクの脆弱性を優先する

リスクに応じて脆弱性を優先します。

  • Vulnerability Prioritizer CI/CD componentを使用して、脆弱性の優先順位付けを支援します。たとえば、CISA既知の悪用された脆弱性(KEV)カタログの脆弱性は、悪用されたことが知られているため、最優先事項として分析および修正する必要があります。
  • 各グループについて、セキュリティインベントリにアクセスし、保護する必要があるアセットを視覚化し、セキュリティ対策状況を改善するために必要なアクションを理解します。
  • 各グループについて、セキュリティダッシュボードにアクセスし、プロジェクトのセキュリティ状態パネルを表示します。これは、最も重大度の高い脆弱性によってプロジェクトをグループ化します。このグループ化を使用して、各プロジェクトの脆弱性をトリアージする優先順位を付けます。
  • 最優先プロジェクトの脆弱性トリアージを優先します (例: 顧客にデプロイされたアプリケーション)。
  • 各プロジェクトについて、脆弱性レポートを表示します。脆弱性を重大度でグループ化し、重大および高重大度のすべての脆弱性のステータスを「確認済み」に変更します。

低リスクの脆弱性を却下

低リスクの脆弱性を一括でトリアージして、最も重要なものに焦点を当てます。

  • 脆弱性は検出されることがありますが、その後のCI/CDパイプラインでは検出されなくなります。このインスタンスでは、脆弱性のアクティビティは検出されませんでしたとラベル付けされています。脆弱性の重大度がまたは情報の場合は、これらの脆弱性を無視することを選択できます。フィルターアクティビティ: 検出されませんでしたを脆弱性レポートで選択し、ステータスを却下に変更します。これを脆弱性管理ポリシーを使用して自動化することもできます。
  • 識別子で脆弱性を無視します。脆弱性がアプリケーションレイヤー外のコントロールによって軽減される場合、それらを無視することを選択できます。識別子フィルターを脆弱性レポートで使用して、それらを選択し、ステータスを却下に変更します。