パッチ適用頻度の解決申請が却下される

対象プラン　 PREMIUMプラン

Q.　自動診断機能で発見された「深刻度高/中/低のCVEのパッチ適用頻度」について、解決申請が却下されてしまいます。どうすればよいでしょうか？

A.　発見課題である「CVEのパッチ適用頻度」につきましては他の発見課題とは異なり、「CVEが見つかってからパッチが適用されるまでの期間」を評価しております。

そのため、一定期間内にCVEのパッチ適用していない場合は、その後に対策を行った場合でも、発見課題として一定期間表示が継続されます。

「深刻度高」のCVEの場合は、CVEが発見されてから「45日」以内に対策を行わなかった場合、対策を実施後に「120日間」表示が継続されます。
「深刻度中」のCVEの場合は、CVEが発見されてから「90日」以内に対策を行わなかった場合、対策を実施後に「90日間」表示が継続されます。
「深刻度低」のCVEの場合は、CVEが発見されてから「120日」以内に対策を行わなかった場合、対策を実施後に「60日間」表示が継続されます。

パッチ適用頻度の解決申請が却下される_001

※画像は「深刻度高のCVEのパッチ適用頻度」

詳しくはSecurityScorecard社の記事をご参照ください。