アセット上で脆弱性が発見され、古い脆弱性は改善またレポートから除外されるため、リスクは時間とともに変化します。システム設定が変更されるに従い、追加/削除されたアセットまたはサイトもリスクに経時的に影響を与えます。脆弱性はアセットの侵害に繋がる場合があり、組織の財務、プライバシー、政府機関へのコンプライアンス・ステータス、および風評に影響が出る可能性があります。リスク傾向を追跡すると、これらの分野での組織の立ち位置に対する脅威の評価に役立ちます。また、脆弱性管理作業が許容可能なレベルで十分に維持されているか、リスクを経時的に削減しているかの判定に役立ちます。
リスク傾向は、アセットの侵害の潜在的影響の長期的見解として定義可能であり、時期が変わると変化する場合があります。利用中の戦略に応じて、平均リスクまたは総合リスクに基づく傾向のデータ値を指定することが出来ます。平均リスクは、レポート日範囲のアセットのリスク・スコアの計算に基づいています。例えば、平均リスクが高い/低い/変更なしであるかにより、エクスプロイトに対するアセットの脆弱度の概要が得られます。総合リスクは、特定期間のアセットについての集約された脆弱性スコアです。リスク戦略の詳細については、リスクスコアにより優先順位付けするをご参照ください。
組織のアセット内で追跡されている経時的脆弱性は、レポート内で反映されているリスクを示します。レポート内のリスク傾向を使用することは、改善/除外された脆弱性が組織に与える影響度の理解に役立ちます。リスク傾向は、レポート期間中にリスクがどのように変化したかを図示する、色分けされた折れ線グラフのセットとして、概要またはカスタムレポートに表示されます。
概要レポートにリスク傾向を含めることに関する情報については、レポートに含めるリスク傾向を選択するをご参照ください。
アセット内での変更は、リスク傾向に影響を与えます。例えば、グループに追加されたアセットは、可能な脆弱性の数を増加させます。なぜなら、各アセットに説明/改善されていないエクスプロイト可能な脆弱性があるかもしれないからです。例えば、リスク傾向を利用して、アセットの追加により全体的なリスク傾向が急上昇したにも関わらず、アセットごとのリスクレベルに、大きく変化なしである理由を実証することが出来ます。アセットを追加した日付において、これらのアセットに関連する脆弱性が改善されるまでは、リスクの上昇が見られます。脆弱性が改善またはスキャンから除外されると、リスクのグラフで、データに下降傾向が見られるようになります。
リスク戦略を変更すると、リスク傾向レポートに影響が出ます。一部のリスク戦略は、リスクデータの決定に時間の経過を組み込んでいます。これらの時間ベースの戦略は、任意期間に新規スキャンやアセット/脆弱性が追加されなかったとしても、リスクを実証します。詳細については、レポートに含めるリスク傾向を選択するをご参照ください。
リスク傾向を表示するようレポートを設定し、必要なデータを示すことができます。高レベルリスク傾向レポート全体についてレポート範囲内のすべてのアセットを選択して、組織のエクスプロイト可能な脆弱性における傾向を示します。未知のエクスプロイト可能な脆弱性であっても、特定の低リスクと計算されます。最も高リスクなグラフには、サイト、グループ、アセットレベルでのリスクに大きな影響を与える要因が示されています。これらのグラフは、リスクデータを非集約し、レポートの範囲に含まれる多様なアセット収集方法で最も高リスクな要因を取り出します。
注意: レポート設定パネルの詳細プロパティページ内のリスク傾向設定は、選択したテンプレートが「概要」セクションまたは「リスク傾向」セクションを含んでいない場合は、表示されません。
レポート設定パネルの範囲ページおよび詳細プロパティページで、レポート設定を指定可能です。レポート設定の範囲ページで、リスク傾向グラフを含めるようアセットを設定可能です。詳細プロパティページで、リスク傾向グラフにレポートの範囲内のどのアセット収集を含めるかを、指定可能です。レポートの範囲内のすべてのアセットについてリスクがどのように経時的に変化するかを表す、グラフを生成可能です。このグラフを生成する場合、すべてのアセットについてリスクが経時的にどのように変化したか、レポート内のアセットの範囲が経時的にどのように変化したか、または両方を表示することを選択可能です。これらのトレンドは2つのy軸にプロットされます。レポート範囲がレポート期間中にどのように変化したかを見るには、レポート期間中のアセットの数、またはレポート範囲内のすべてのアセットの平均リスク・スコアの傾向を分析します。レポート範囲内のすべてのアセットのトレンドを表示するよう選択する場合、2つのトレンドのいずれかまたは両方を選択しなければなりません。
また、範囲内の最も高リスクな5サイト、または最も高リスクな5アセット・グループ、または最も高リスクな5アセットについて、リスク傾向グラフを含めるよう選択することも可能です。レポート範囲にサイトまたはアセット・グループが含まれる場合は、それぞれ、サイトまたはアセット・グループのトレンドの表示のみが可能です。これらのグラフにはそれぞれ、各グラフ内の最も高リスクな5つのエンティティを構成する、各アセット、グループ、またはサイトの傾向ラインがプロットされます。サイトおよびグループの傾向グラフについては、各収集におけるすべてのアセットの総合リスク・スコアの観点で、または各収集におけるアセットの平均リスク・スコアの観点で、リスク傾向のラインを表示するよう選択可能です。
レポート範囲内のすべてのアセットが選択でき、さらにグラフ内に平均リスク・スコアまたはアセットの数のどちらかを含めたい場合は、総合リスク・スコアを指定してトレンド範囲を示すことができます。また、希望の詳細レベルやリスク傾向レポートで必要な詳細のレベルに応じて、最も高リスクな5サイト、最も高リスクな5アセット・グループ、最も高リスクな5アセットを含めるよう選択可能です。レポートの日付範囲を設定することにより、レポート内のリスク傾向のレポート期間が確立されます。
ヒント: レポートに最も高リスクな5サイト/アセット/アセット・グループを含めると、改善作業の候補の優先順位付けに役立ちます。
アセット・グループのメンバーシップは時間とともに変化します。特定期間の資産グループのメンバーシップを、基本的なリスクデータとする場合、設定パネルの [詳細プロパティ] ページで過去の資産グループを選び、資産グループのメンバーシップの履歴として、選択することができます。またレポート生成時にアセット・グループ・メンバーシップを選択して、レポート実行時に、選択したグループのメンバーであるアセット上に各リスクデータのポイントを定めることが可能です。これにより、アセット・グループの作成より前のデータ範囲のリスク傾向を追跡できます。
レポートにリスク傾向レポートを含めるには、レポート範囲内でアセットが選択されていることが必要です。詳細については、レポートするアセットを選択するをご参照ください。
(任意)カスタム・レポート・テンプレートを作成して、リスク傾向セクションに含めることも可能です。
過去のアセット・グループ・メンバーシップをレポートに含めるには、レポート設定パネルの範囲ページで少なくとも1つのアセット・グループを選択済みであること、および最も高リスクな5アセット・グループのグラフを選択済みであることを確認します。
(任意)カスタム日付範囲を設定するときに、レポート生成日を終了日として使用を選択可能です。これにより、レポートは静的カスタム開始日を持ちながら、レポート実行の度に一番最近のリスクデータへと、動的にトレンド期間を長くすることが可能となります。
リスク傾向レポートを設定する
リスク傾向は、指定のスケジュールで概要レポートに含まれるようになります。レポート内のリスク傾向の理解に関する情報については、レポートに含めるリスク傾向を選択するをご参照ください。
リスク傾向レポートは、概要レポートの一環として利用可能です。リスク傾向レポートは、組織の範囲により制約されません。あなたにとって最も重要なデータを示すよう、カスタマイズ可能です。組織全体のリスク傾向の高レベルな見解に関する、全般的リスクを表示可能です。または、アセット、サイト、グループのサブセットを選択して、それらのサブセット全体の全般的リスク傾向および当該サブセット内の最も高リスクな要素を表示可能です。
レポート範囲内のすべてのアセットを選択すると表示される全般的リスク傾向グラフにより、レポートの範囲内のすべてのアセットの集約された見解が提供されます。最も高リスクなグラフにより、環境内で最も高リスクな上位5つである、特定のアセット、サイト、またはアセット・グループについての詳細データが提供されます。全般的なリスク傾向レポートにより、環境内のどこにリスクが存在するかが高いレベルで実証されます。最も高リスクなグラフを全般的なリスク傾向レポートと併用することで、脆弱性がどこに存在するか、脆弱性が問題となっている期間、変化が起こった場所、およびこれらの変化が傾向に与える影響度に深度と明瞭さがもたらされます。
例えば、会社Aに6つのアセット、1つのアセット・グループ、および100のサイトがあるとします。全般的なリスク傾向レポートに、3月から9月までの6カ月の日付範囲をカバーする傾向が示されています。全般的な傾向グラフでは3月に急上昇が見られ、その後、残りの期間は横ばいです。全般的なレポートにより、アセット、総合リスク、平均リスク、最も高リスクなサイト、最も高リスクなアセット・グループ、最も高リスクなアセットが特定されます。
グラフ内の急上昇を説明するため、最も高リスクな5アセットのグラフが含まれています。3月にアセットの数が5から6に増加したことが確認できます。脆弱性の数は見たところ増えてはいますが、追加のアセットが急上昇の理由であるといえるでしょう。アセットが追加された後、レポートは予測されたリスク・パターンへと横ばいになっているのが見られます。また平均リスク・スコアを表示して、集約リスクは増加してもレポート範囲内のアセットあたりの平均リスクは事実上同じままであったことを、確認可能です。傾向レポート期間中に起こったアセットの範囲への変化を表示するコンテキストは、グラフ内にデータを表示する方法に影響を与えます。