リスク免除

Digital Risk Analyzerでは、リスク免除機能を使用して、選択したサードパーティのリスクがドメインのセキュリティスコアに影響を与えないように、一時的または永続的に除外することが可能です。
これは、特定のリスクを認識しているものの、直ちに対策を講じる必要がない場合に便利です。免除を作成することで、リスクの正当性を示し、有効期間を設定し、セキュリティスコアが対処可能な脆弱性のみを反映するようにすることができます。

ユースケース

• 優先度が低い脆弱性や補償制御がある脆弱性を一時的に延期します。
• 許容されるリスクや無関係なリスクを除外することで、公平なセキュリティスコアを維持します。
• 脆弱性が免除された理由を文書化して、コンプライアンスの正当性を示します。
• 定義された期間後に免除されたリスクを再評価するためのレビューの期限を設定します。
• アーカイブの免除を適用し、以前に除外されていた脆弱性をスコア計算に再び含めます。

リスクを免除する方法

ドメイン内のリスクを免除するには、以下の手順に従ってください。

1. Digital Risk Analyzerにログインします。
2. Risk Waiver > Create Waiverに移動します。
   
   
3. ［Create Risk Waiver］ページで、リスクのリストから免除するリスクを選択します。
4. リスクを選択した後、
   1. リスクを免除する理由について、合理的な根拠を説明してください。
   2. 免除の有効期限となる期日を選択してください。リスクを永久に免除する場合は、空欄のままにしてください。
      
5. Submit Waiveをクリックします。
   • 次回のスキャン後に、免除された脆弱性を反映してセキュリティスコアが再計算されます。
     例えば、SSLハンドシェイクの脆弱性によってスコアが5ポイント低下した場合、該当ドメインのセキュリティスコアは73ですが、免除が適用されると78になります。
6. 免除ステータスは最初は「Pending」としてマークされ、次のスキャン後に「Active」になります。
7. 免除ステータスには次のようなものがあります。
   • Pending：免除が処理中で、セキュリティスコアにまだ影響が出始めていない状態です。
   • Active：免除が現在アクティブであり、セキュリティスコアに影響する状態です。
   • Archived：免除が一時的にアーカイブされている状態です。
   • 期限超過：免除の設定された期限を超過した状態です。
     

     免除されたすべてのリスクは、免除されたリスクという別のセクションに正当な理由とともに詳細レポートに記載されます。

リスク免除にアクセスする

リスク免除オプションは、Digital Risk Analyzer内の次の機能で利用できます。

• ドメインサマリー ：ドメインで利用可能なリスクのリストでは、各リスクの横に「リスク免除」オプションがあります。これを選択すると、リスク免除ページに移動します。
  
  
• スコアプランナー：共同作業者は、コメントセクションの近くにある 「リスク免除」ボタンをクリックしてリスクを免除できます。
  
  

リスク免除を編集、アーカイブ、または削除する方法

状況によって、リスク免除が不要になった場合や一時的に無視する場合は、アーカイブすることができます。免除を編集、アーカイブ、または削除するには、以下の手順に従ってください。

1. リスク免除のページに移動します。
2. 希望する免除の「アクション」フィールド配下のハンバーガーアイコン（）をクリックし、「編集」、「アーカイブ」、または「削除」を選択します。
3. 「編集」を選択すると、「免除の編集」ページに移動し、免除設定に必要な変更を加えることができます。
4. 免除を一時的に無視するには、「アーカイブ」をクリックします。
5. 免除を削除するには、「削除」を選択し、確認ポップアップでもう一度「削除」を選択して削除プロセスを続行します。
6. ステータス、レポート、スコアへの影響の変更を含むすべての免除の変更は、次回のスキャン後にのみ適用されます。
   

   ステータスが「期限超過」に変わったとき、または期限を延長したいときは、免除の期限を変更できます。