CVSS と VPR

Tenable は、脆弱性のリスクと緊急性を定量化するために、CVSS スコアと動的な Tenable で計算された Vulnerability Priority Rating (VPR) を使用しています。

注意: これらのメトリクスをプラグイン別に整理された分析ページ (たとえば、[プラグイン別脆弱性] ページ) で表示するとき、メトリクスは、プラグインに関連付けられた脆弱性に割り当てられた、または計算された最高値を表します。

VPR およびその他の Tenable Lumin のメトリクスに関する、Tenable Lumin 特有の情報については、Tenable Lumin のメトリクスを参照してください。

CVSS

Tenable は脆弱性に関連するリスクの説明に、サードパーティーが National Vulnerability Database (NVD) から入手した共通脆弱性評価システム (CVSS) の値を使用・表示しています。CVSS スコアは脆弱性の深刻度とリスクファクターの値を基に採点されます。

注意: 脆弱性の関連プラグインに CVSS 攻撃区分がある場合、リスクファクターはその CVSSv2 攻撃区分に基づいて計算され、CVSSv2 スコアの深刻度に等しくなります。プラグインに CVSS 攻撃元区分がない場合、Tenable は独自でリスクファクターを計算します。

Tenable Vulnerability Management は、スキャンで脆弱性が検出されるたびに CVSS スコアをインポートします。

CVSS ベースの深刻度

Tenable は、すべての脆弱性に静的 CVSS スコア (CVSS のバージョンは設定により異なります) に基づく深刻度 (情報、低、中、高、緊急) を割り当てます。詳しくは、深刻度メトリクスの設定を参照してください。

Tenable Vulnerability Management の分析ページには、次の CVSS カテゴリに基づく脆弱性に関する概要情報が表示されます。各深刻度に使用されるアイコンの詳細については、Vulnerability Severity Indicators を参照してください。

深刻度	CVSSv2 の範囲	CVSSv3 の範囲	CVSSv4 の範囲
緊急	プラグインの最高脆弱性 CVSSv2 スコアは 10.0 です。	プラグインの最高脆弱性 CVSSv3 スコアは 9.0～10.0 です。	プラグインの最高脆弱性 CVSSv4 スコアは 9.0～10.0 です。
高	プラグインの最高脆弱性 CVSSv2 スコアは 7.0～9.9 です。	プラグインの最高脆弱性 CVSSv3 スコアは 7.0～8.9 です。	プラグインの最高脆弱性 CVSSv4 スコアは 7.0～8.9 です。
中	プラグインの最高脆弱性 CVSSv2 スコアは 4.0～6.9 です。	プラグインの最高脆弱性 CVSSv3 スコアは 4.0～6.9 です。	プラグインの最高脆弱性 CVSSv4 スコアは 4.0～6.9 です。
低	プラグインの最高脆弱性 CVSSv2 スコアは 0.1～3.9 です。	プラグインの最高脆弱性 CVSSv3 スコアは 0.1～3.9 です。	プラグインの最高脆弱性 CVSSv4 スコアは 0.1～3.9 です。
情報	プラグインの最高脆弱性 CVSSv2 スコアは 0 です。 -または- プラグインは脆弱性の検索を行いません。	プラグインの最高脆弱性 CVSSv3 スコアは 0 です。 -または- プラグインは脆弱性の検索を行いません。	プラグインの最高脆弱性 CVSSv3 スコアは 0 です。 -または- プラグインは脆弱性の検索を行いません。

CVSS ベースのリスクファクター

各プラグインについて、Tenable はプラグインに関連した脆弱性の CVSS スコアを考慮し、プラグインに対して全体的なリスク要因 (低、中、高、または緊急) を割り当てます。[Vulnerability Details] (脆弱性の詳細) ページでは、脆弱性が関連付けられているすべてのプラグインについて、最も高いリスク要因の値を表示します。

注意: 検出 (非脆弱性) プラグインおよび一部の自動化された脆弱性プラグインには、CVSS スコアが付きません。このような場合、Tenable はベンダーのアドバイザリに基づいてリスク要因を判断します。

ヒント: [情報] プラグインのリスク要因はなしになります。CVSS スコアが付いていないその他のプラグインについては、関連するセキュリティアドバイザリで提供される情報に基づいて、カスタマイズされたリスク要因が付与されます。

Vulnerability Priority Rating

Tenable は、ほとんどの脆弱性について動的な VPR を計算します。Tenable が VPR を更新して現在の脅威の状況を反映させるため、VPR は脆弱性のCVSSスコアが示すデータに、動的に追従します。VPR の値の範囲は 0.1 から 10.0 で、値が大きいほど悪用の可能性が高くなります。

VPR カテゴリ	VPR 範囲
緊急	9.0～10.0
高	7.0～8.9
中	4.0～6.9
低	0.1～3.9

注意: National Vulnerability Database (NVD) にある CVE がない脆弱性 (深刻度が情報である多くの脆弱性など) に対しては、VPR は付けられません。Tenable では、CVSS に基づく深刻度に応じてこれらの脆弱性を修復することを推奨します。

注意: VPR 値は編集できません。

Tenable Vulnerability Management は、ネットワーク上で最初に脆弱性をスキャンするときに VPR 値を提供します。その後 Tenable Vulnerability Management は、毎日自動的に新規または更新された VPR 値を提供します。

Tenable では、VPR が最も高い脆弱性から解決することをお勧めします。VPR スコアと概要データは次の場所に表示されます。

Tenable が提供する [脆弱性管理の概要] ダッシュボード
[プラグイン別脆弱性] プレーン
[プラグイン別脆弱性 (従来)] ページ

VPR 主な要因

脆弱性の VPR を説明する、次の主な要因を表示することができます。

注意: Tenable は、これらの値を特定の企業向けにカスタマイズしません。VPR の主な要因は、脆弱性のグローバルな脅威の状況を反映します。

主な要因	説明
Age of Vuln	National Vulnerability Database (NVD) が脆弱性を公開してからの経過日数です。
CVSSv3 影響スコア	脆弱性に関する NVD 提供の CVSSv3 影響スコア。NVD がスコアを提供しなかった場合、Tenable Vulnerability Management では Tenableが予測したスコアが表示されます。
エクスプロイトコード成熟度	内部および外部ソース (Reversinglabs、Exploit-db、Metasploit など) の悪用インテリジェンスの存在、巧妙さ、流行に基づく、実行可能な脆弱性の悪用方法の相対的な成熟度です。可能な値 (高、動作可能、PoC、または未実証) は CVSS エクスプロイトコード成熟度と同等です。
製品影響範囲	脆弱性の影響を受ける固有の製品の相対的な数 (低、中、高、または最高) です。
脅威のソース	この脆弱性に関連する脅威イベントが発生したすべてのソース (ソーシャルメディアチャネル、ダークウェブなど) のリストです。システムが過去 28 日に関連する脅威イベントを確認しなかった場合は、[イベント記録なし]が表示されます。
脅威の深刻度	この脆弱性に関連する、最近確認された脅威イベントの数と頻度に基づく相対的な強度 (最低、低、中、高、または最高) です。
脅威の最新度	脆弱性の脅威イベントが発生してからの経過日数 (0～180)。

脅威イベントの例

一般的な脅威イベントには次のようなものがあります。

脆弱性の悪用
公開リポジトリにおける脆弱性の悪用コードの投稿
メインストリームメディアにおける脆弱性のディスカッション
脆弱性に関するセキュリティリサーチ
ソーシャルメディアチャネルにおける脆弱性のディスカッション
ダークウェブとアンダーグラウンドにおける脆弱性のディスカッション
ハッカーフォーラムにおける脆弱性のディスカッション