パッチ適用頻度の解決申請ができない
対象プラン 
Q. 自動診断機能で発見された「深刻度 緊急/高/中/低のCVEのパッチ適用頻度」、「CVSS v3.0の深刻度 緊急/高/中/低の脆弱性のパッチ適用頻度」について、解決申請ができません。どうすればよいでしょうか?
A. 発見課題である「CVEのパッチ適用頻度」、「脆弱性のパッチ適用頻度」につきましては他の発見課題とは異なり、「CVEや脆弱性が見つかってからパッチが適用されるまでの期間」を評価しております。
課題の解決にはパッチ適応から一定期間が経過し、その間に同じ問題が再発していないことの確認が必要となるため課題解決申請は出せないようになっております。
- 「深刻度緊急」のCVE/脆弱性の場合は、発見されてから「30日」以内に対策を行わなかった場合、対策を実施後に「150日間」表示が継続されます。
- 「深刻度高」のCVE/脆弱性の場合は、発見されてから「45日」以内に対策を行わなかった場合、対策を実施後に「120日間」表示が継続されます。
- 「深刻度中」のCVE/脆弱性の場合は、発見されてから「90日」以内に対策を行わなかった場合、対策を実施後に「90日間」表示が継続されます。
- 「深刻度低」のCVE/脆弱性の場合は、発見されてから「120日」以内に対策を行わなかった場合、対策を実施後に「60日間」表示が継続されます。
※画像は「深刻度高のCVEのパッチ適用頻度」
詳しくはSecurityScorecard社の記事をご参照ください。