CVSS スコアとVPR

Tenable は、脆弱性のリスクと緊急性を定量化するために、CVSS スコアと動的な Tenable で計算された Vulnerability Priority Rating (VPR) を使用しています。

CVSS

Tenable は脆弱性に関連するリスクの説明に、サードパーティーが National Vulnerability Database (NVD) から入手した共通脆弱性評価システム (CVSS) の値を使用・表示しています。CVSS スコアは脆弱性の深刻度リスクファクターの値を基に採点されます。

注意: 脆弱性の関連プラグインに CVSS 攻撃区分がある場合、リスクファクターはその CVSSv2 攻撃区分に基づいて計算され、CVSSv2 スコアの深刻度に等しくなります。プラグインに CVSS ベクトルがない場合、Tenableリスク要因を単独で計算します。

CVSS ベースの深刻度

Tenable は、すべての脆弱性に静的 CVSS スコア (CVSS のバージョンは設定により異なります) に基づく深刻度 ([Info] (情報)、[Low] (低)、[Medium] (中)、[High] (高)、[Critical] (重大)) を割り当てます。詳しくは、深刻度の設定を参照してください。

Tenable Nessus の分析ページには、次のCVSSカテゴリに基づく脆弱性に関する概要情報が表示されます。

深刻度

 CVSSv2 の範囲 CVSSv3 の範囲
緊急

プラグインの最高脆弱性 CVSSv2 スコアは 10.0 です。

プラグインの最高脆弱性 CVSSv3 スコアは 9.0~10.0 です。
プラグインの最高脆弱性 CVSSv2 スコアは 7.0~9.9 です。 プラグインの最高脆弱性 CVSSv3 スコアは 7.0~8.9 です。
プラグインの最高脆弱性 CVSSv2 スコアは 4.0~6.9 です。 プラグインの最高脆弱性 CVSSv3 スコアは 4.0~6.9 です。

プラグインの最高脆弱性 CVSSv2 スコアは 0.1~3.9 です。

プラグインの最高脆弱性 CVSSv3 スコアは 0.1~3.9 です。
情報

プラグインの最高脆弱性 CVSSv2 スコアは 0 です。

-または-

プラグインは脆弱性の検索を行いません。

プラグインの最高脆弱性 CVSSv3 スコアは 0 です。

-または-

プラグインは脆弱性の検索を行いません。

CVSS ベースのリスク要因

各プラグインについて、Tenable はプラグインに関連した脆弱性の CVSS スコアを考慮し、プラグインに対して全体的なリスク要因 ([Low] (低)、[Medium] (中)、[High] (高)、または[Critical] (重大)) を割り当てます。[Vulnerability Details] (脆弱性の詳細) ページでは、脆弱性が関連付けられているすべてのプラグインについて、最も高いリスク要因の値を表示します。

注意: 検出 (非脆弱性) プラグインおよび一部の自動化された脆弱性プラグインには、CVSS スコアが付きません。このような場合、Tenable はベンダーのアドバイザリに基づいてリスク要因を判断します。

ヒント: [Info] (情報) プラグインのリスク要因は [None] (なし) になります。CVSS スコアが付いていないその他のプラグインについては、関連するセキュリティアドバイザリで提供される情報に基づいて、カスタマイズされたリスク要因が付与されます。

Vulnerability Priority Rating

Tenable は、ほとんどの脆弱性について動的な VPR を計算します。TenableVPR を更新して現在の脅威の状況を反映させるため、VPR は脆弱性のCVSSスコアが示すデータに、動的に追従します。VPR の値の範囲は 0.1 から 10.0 で、値が大きいほど悪用の可能性が高くなります。

VPR カテゴリ VPR 範囲
緊急

9.0~10.0
7.0~8.9
4.0~6.9

0.1~3.9

注意: National Vulnerability Database (NVD) にある CVE がない脆弱性 (深刻度が情報である多くの脆弱性など) に対しては、VPR は付けられません。Tenable では、CVSS に基づく深刻度に応じてこれらの脆弱性を修復することを推奨します。

注意: VPR 値は編集できません。

注意: Nessus に表示される VPR スコアは静的であり、動的に更新されません。最新の最も正確な VPR スコアを表示するには、再スキャンする必要があります。

Tenable Nessus は、ネットワーク上で最初に脆弱性をスキャンするときに VPR値を提供します。

Tenable では、VPR が最も高い脆弱性から解決することをお勧めします。VPR スコアと概要データは次の場所に表示されます。

  • VPR トップの脅威を表示するに記載されている、個別のスキャンの VPRトップの脅威です。
  • 個別のスキャンのトップ 10 の脆弱性レポート。レポートの作成については、スキャンレポートを作成するを参照してください。

VPR 主な要因

脆弱性の VPR を説明する、次の主な要因を表示することができます。

注意: Tenable は、これらの値を特定の企業向けにカスタマイズしません。VPR の主な要因は、脆弱性のグローバルな脅威の状況を反映します。

主な要因

 説明
Age of Vuln

National Vulnerability Database (NVD) が脆弱性を公開してからの経過日数です。
CVSSv3 影響スコア

脆弱性に関する NVD 提供の CVSSv3 影響スコア。NVD がスコアを提供しなかった場合、Tenable Nessus では Tenableが予測したスコアが表示されます。
エクスプロイトコード成熟度

内部および外部ソース (Reversinglabs、Exploit-db、Metasploit など) の悪用インテリジェンスの存在、巧妙さ、流行に基づく、実行可能な脆弱性の悪用方法の相対的な成熟度です。可能な値 (動作可能PoC、または 未実証) は CVSS エクスプロイトコード成熟度と同等です。
製品影響範囲

脆弱性の影響を受ける固有の製品の相対的な数 (、または 最高) です。
脅威のソース

この脆弱性に関連する脅威イベントが発生したすべてのソース (ソーシャルメディアチャネル、ダークウェブなど) のリストです。システムが過去 28 日に関連する脅威イベントを確認しなかった場合は、[No recorded events] (記録されたイベントなし) が表示されます。
脅威の深刻度

この脆弱性に関連する、最近確認された脅威イベントの数と頻度に基づく相対的な強度 (最低、または 最高) です。
脅威の最新度

脆弱性の脅威イベントが発生してからの経過日数 (0~180)。

脅威イベントの例

一般的な脅威イベントには次のようなものがあります。

  • 脆弱性の悪用
  • 公開リポジトリにおける脆弱性の悪用コードの投稿
  • メインストリームメディアにおける脆弱性のディスカッション
  • 脆弱性に関するセキュリティリサーチ
  • ソーシャルメディアチャネルにおける脆弱性のディスカッション
  • ダークウェブとアンダーグラウンドにおける脆弱性のディスカッション
  • ハッカーフォーラムにおける脆弱性のディスカッション