変更ルールと許容ルールについて

[脆弱性] タブと [ウェブアプリケーション] タブの両方の [変更] ページで、変更ルールと許容ルールの両方を作成できます。変更ルールは基準クエリに対応するすべての検出結果の深刻度を変更するのに対して、許容ルールは検出結果を非表示にします。これらのルールはスキャン結果を変更するものではありません。

これらを使用する理由

FTP サービスに脆弱性のある資産があるとします。FTP が不要になったため、そのサービスをシャットダウンします。その際、Tenable Vulnerability Management ではこの脆弱性をパッチ済みとして確認できないため、その脆弱性は引き続き 検出結果 リストに残ります。変更ルールまたは許容ルールを使用すると、この脆弱性検出結果を無視できます。資産を削除したり新たにスキャンを開始する必要はありません。

変更ルール

変更ルールの対象となる検出結果は、[変更][脆弱性] タブと [ウェブアプリケーション] タブの両方のテーブルの [基準] 列に表示されるクエリによって決定されます。

変更ルールでは有効期限を設定できます。変更ルールの有効期限が切れると、検出結果の深刻度は元に戻ります。詳細は、変更ルールを追加するを参照してください。

変更ルールの影響を受ける検出結果

変更ルールの影響を受ける検出結果を表示するには、次のいずれかを行います。

  • [変更] ページで変更ルールの影響を受ける検出結果を表示する方法:

    1. [変更] で、[脆弱性] または [ウェブアプリケーション] タブのいずれかを選択します。

    2. 変更のテーブルで、[変更ルール] のチェックボックスを選択します。

    3. 行の左側にある ボタンをクリックします。

      テーブルが表示されます。

    4. [検出結果] タブをクリックします。

      そのルールの基準を満たす検出結果のリストを含むテーブルが表示されます。

  • 変更ルールの詳細ページで変更ルールの影響を受ける検出結果を表示する方法

    1. 任意の変更ルールの詳細ビューで [検出結果] タブを選択します。詳細は、変更ルールの詳細 を参照してください。

注意: [調査] > [検出結果] テーブルにある検出結果で深刻度が変更ルールによって変更されたものには、変更アイコン ( など) とツールのヒント ([高 - 変更] など) が検出結果の [深刻度] 列に表示されます。

変更ルールの例

自己署名 SSL 証明書を使用する内部サーバーのグループがあるとします。スキャンにより、深刻度「中」である、プラグイン 51192 からの脆弱性 (SSL 証明書が信頼できない) が報告されます。サーバーが自己署名証明書を使用していることがわかっているため、深刻度を低くする次のルールを作成します。

  • アクション — 変更

  • 基準 — プラグイン ID は 51192 と等しい

  • 新しい深刻度 — 情報

  • 有効期限 — 2025 年 12 月 5 日

許容ルール

許容ルールは変更ルールと同じように機能しますが、許容ルールはリスクを受け入れ、検出結果を非表示にします。許容ルールでは有効期限を設定できます。許容ルールの有効期限が切れると、その結果が [調査] > [検出結果] テーブルに再度表示されます。

許容ルールにより非表示になっている結果を表示するには、[調査] > [検出結果] テーブルで [リスク変更] フィルターを使用し、値を [許容] にします。許容された検出結果は、[深刻度] 列に とともに表示され、[検出結果の詳細] ページの左上に [許容] ラベル付きで表示されます。

注意: 検出結果が許容された場合、このルールは検出結果の VPRAESCES のスコアに影響を与えません。

許容ルールの例

自己署名 SSL 証明書を使用している同じ内部サーバーで、プラグイン 51192 の検出結果を非表示にするとします。その場合、脆弱性の深刻度を低くする代わりに、次のルールを作成します。

  • アクション — 許容

  • 名前 — 許容 - プラグイン ID: 51192

  • 基準 — プラグイン ID は 51192 と等しい

  • 有効期限 - なし

変更ルールと許容ルールはどちらも例外を管理できますが、Tenable Vulnerability Management 内の脆弱性メトリクスとレポートに与える影響はそれぞれ異なります。次の表は、変更ルールと許容ルールの影響を比較したものです。

機能 変更ルール 許容ルール
プライマリ機能 調整されたリスクレベルを反映するために、検出結果の表示される CVSS ベースの深刻度を変更します (例: [重大] から [低])。 検出結果をアクティブビューから非表示にし、永続的または一時的な許容リスク状態に移動します。
脆弱性数 検出結果は引き続き脆弱性の合計数にカウントされますが、新しい深刻度レベルが付されます。 デフォルトでは、検出結果は、アクティブな脆弱性の合計、ダッシュボード、レポートにカウントされません。
リスクスコアへの影響 VPR (脆弱性優先度格付け) は影響を受けず、元の値を保持します。ただし、深刻度の変更は脆弱性密度のカウントに影響を与え、それが資産の AES (資産のエクスポージャースコア) や CES (サイバーエクスポージャースコア) の計算に影響します。 許容された検出結果の VPR、AES、CES のスコアは変わりません。許容されても、検出結果の根底にあるリスクは依然として残ります。
可視性 検出結果は、ダッシュボードとワークベンチに引き続き表示されます。標準レポートには、変更された深刻度ラベルが付されて表示されます。 デフォルトでは、検出結果はすべてのワークベンチとダッシュボードで非表示になります。標準レポートにも表示されません (フィルターを掛けて許容された検出結果を表示しない限り)。
修正ワークフロー 優先順位が変わります。検出結果はアクティブキューに残りますが、新しい深刻度レベルによって修正計画の優先順位が変わり、チームはその緊急度を上げたり下げたりできるようになります。 リスク許容。検出結果は、許容されたビジネスリスクとして明示的にマークされ、緊急の修正が計画されていない、または必要とされていないことを示します。
監査証跡に残るか はい。ルール作成、適用、元のデータ (深刻度と VPR) がアクティビティログに表示されます。

はい。ルールの作成、適用 (正当性と有効期限を含む)、および元の検出結果データはアクティビティログに保存されます。
重要: 変更および許容がスコアリングに与える影響

  • VPR は変更不可: VPR (脆弱性優先度格付け) は、Tenable によって脆弱性そのものに対して算出される動的なスコアです。変更ルールや許容ルールを適用しても変更されることはありません。

  • AES と脆弱性密度への影響: 検出結果を変更すると、その項目の有効な深刻度が変わり、資産のエクスポージャースコア (AES) の算出に使用される深刻度ごとの脆弱性数 (脆弱性密度) に影響を与えます。たとえば、資産に密度の高い脆弱性 (例: 20 件を超える検出結果) がある場合、1 件だけ検出結果を変更しても、全体の AES スコアに与える影響はごくわずかです。許容ルールによって AES スコアが変更されることはありません。

  • CES への影響: CES (サイバーエクスポージャースコア) は、組織全体を対象にした集約スコアです。変更により個々の資産の AES は調整されますが、少数の変更ルールによって CES 全体が顕著に変化することはあまりありません。可能性は低いです。許容ルールによって CES スコアが変更されることはありません。