Tenable Lumin のメトリクス

Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP 製品を参照してください。

スタンドアロン Tenable Lumin SKU は、2025 年 3 月 31 日をもって販売終了 (EOS) となります。現在 Tenable Lumin および Tenable Lumin Connector を使用しているお客様は、新規購入の場合でも更新購入の場合でも Tenable One Platform にアップグレードされます。この日以前に移行し、Tenable One のすべての機能を利用する場合は、CSM にお問い合わせください。詳細については、Tenable Lumin の販売終了のお知らせをご覧ください。

TenableTenable Lumin では、リスクの評価に役立つ複数のメトリクスを使用します。

Cyber Exposure Score (CES)
Vulnerability Priority Rating (VPR)
ACR (資産重大度の格付け) (ACR)
資産のエクスポージャースコア (AES)
評価成熟度グレード
修正成熟度グレード

Tenable Lumin のメトリクスの精度を改善して脆弱性管理全体の健全性を向上させる方法に関する詳細は、Tenable Lumin メトリクスを改善するを参照してください。

重要: 非公開の検出結果は、Tenable Lumin 内のすべてのスコアから除外されます。詳細は、検出結果を参照してください。

Cyber Exposure Score (CES)

Tenable は、直近の 90 日間にスキャンされた資産の AES (資産のエクスポージャースコア) に基づいて、リスクを 0 から 1000 の整数として表す、動的な CES を計算します。CES 値が高いほど、リスクは高くなります。

次のような異なる資産のグループに対しての CESを表示できます。

企業全体の総合的な CES ([Cyber Exposure Score] ウィジェットに表示される CES など)
特定の事業の文脈の資産のタグレベルの CES ([事業の文脈タグによる Cyber Exposure Score] ウィジェットで表示される CES など)。

CES カテゴリ	CES 範囲
高	650～1000
中	350～649
低	0～349

企業全体の、または資産グループの CES を表示するには、「Tenable Luminダッシュボードを表示する」でウィジェットを表示します。

Tenable Vulnerability Management が CES を計算または再計算するのにかかる時間の詳細は、「Tenable Lumin のデータのタイミング」を参照してください。

Vulnerability Priority Rating (VPR)

Tenable は、ほとんどの脆弱性について動的な VPR を計算します。Tenable が VPR を更新して現在の脅威の状況を反映させるため、VPR は脆弱性のCVSSスコアが示すデータに、動的に追従します。VPR の値の範囲は 0.1 から 10.0 で、値が大きいほど悪用の可能性が高くなります。

VPR カテゴリ	VPR 範囲
緊急	9.0～10.0
重要	7.0～8.9
警告	4.0～6.9
注意	0.1～3.9

注意: CVE がない脆弱性 (深刻度が情報である多くの脆弱性など) に対しては、VPR は付けられません。Tenable では、CVSS に基づく深刻度に応じてこれらの脆弱性を修復することを推奨します。

注意: VPR 値は編集できません。

Tenable Vulnerability Management は、ネットワーク上で最初に脆弱性をスキャンするときに VPR 値を提供します。その後 Tenable Vulnerability Management は、毎日自動的に新規または更新された VPR 値を提供します。

Tenable では、ACR 値が最大の資産上にある、VPR が最大の脆弱性を優先するよう推奨します。

特定の脆弱性の VPRを表示するには、「検出結果」の説明に従って脆弱性を表示します。

VPR 主な要因

Tenable は脆弱性の VPRの計算に、次の主な要因を使用します。

注意: Tenable は、これらの値を特定の企業向けにカスタマイズしません。VPR の主な要因は、脆弱性のグローバルな脅威の状況を反映します。

主な要因	説明
Age of Vuln	National Vulnerability Database (NVD) が脆弱性を公開してからの経過日数です。
CVSSv3 影響スコア	脆弱性に関する NVD 提供の CVSSv3 影響スコア。NVD がスコアを提供しなかった場合、Tenable Vulnerability Management では Tenableが予測したスコアが表示されます。
エクスプロイトコード成熟度	内部および外部ソース (Reversinglabs、Exploit-db、Metasploit など) の悪用インテリジェンスの存在、巧妙さ、流行に基づく、実行可能な脆弱性の悪用方法の相対的な成熟度です。可能な値 (高、機能的、概念実証、未実証) はそれぞれ、CVSS の攻撃される可能性のカテゴリに相当します。
製品影響範囲	脆弱性の影響を受ける固有の製品の相対的な数 (注意、警告、重要、または最高) です。
脅威のソース	この脆弱性に関連する脅威イベントが発生したすべてのソース (ソーシャルメディアチャネル、ダークウェブなど) のリストです。システムが過去 28 日に関連する脅威イベントを確認しなかった場合は、[イベント記録なし] が表示されます。
脅威の深刻度	この脆弱性に関連する、最近確認された脅威イベントの数と頻度に基づく相対的な強度 (最低、注意、警告、重要、または最高) です。
脅威の最新度	脆弱性の脅威イベントが発生してからの経過日数 (0～180)。

脅威イベントの例

一般的な脅威イベントには次のようなものがあります。

脆弱性の悪用
公開リポジトリにおける脆弱性の悪用コードの投稿
メインストリームメディアにおける脆弱性のディスカッション
脆弱性に関するセキュリティリサーチ
ソーシャルメディアチャネルにおける脆弱性のディスカッション
ダークウェブとアンダーグラウンドにおける脆弱性のディスカッション
ハッカーフォーラムにおける脆弱性のディスカッション

ACR (資産重大度の格付け) (ACR)

Tenable は、ACR をネットワーク上の各資産に割り当て、資産の相対重要度を 1～10 の整数として表します。 ACR が高いほど重要度も高くなります。

ACR カテゴリ	ACR 範囲
緊急	9～10
高	7～8
中	4～6
低	1～3

Tenable Vulnerability Management は 24 時間ごとに ACR 値を計算するため、ネットワーク上の資産をスキャンした後に ACR を表示するには最大 24 時間待つ必要があります。

注意: Tenable では必要に応じて、Tenable が提供する ACR 値を確認して上書きすることを推奨しています。ACR を編集するまたはの説明のように、ACR 値をカスタマイズして、企業固有のインフラやニーズを反映させることができます。

資産が複数の ACR 値を持つ場合、Tenable Vulnerability Management は次の順番で値に優先順位を付けます。

設定されている場合は、手動でオーバーライドされた ACR 値。
Tenable が提供する ACR 値。

特定の資産の ACRを確認するには、「資産の詳細の表示」の説明に従って資産の詳細を表示します。

ACR 主な要因

Tenable は次の主な要因を使用して、資産の Tenable標準提供の ACR を計算します。

注意: Tenable は、これらの値を特定の企業向けにカスタマイズしません。ACR の主な要因は、資産の特性に関連するグローバルな脅威の状況を反映したものです。

注意: 非認証スキャンを実行すると、ACR の主な要因が限定的あるいは不完全になる可能性があります。

主な要因のタイプ

主な要因	説明
device_type	デバイスのタイプ例 hypervisor - デバイスは、仮想マシンをホストするタイプ1のハイパーバイザーです。(Microsoft Hyper-V、VMware ESX/ESXi、Xen など) printer - デバイスは、ネットワークに接続されたプリンターまたは印刷サーバーです。
device_capability	デバイスのビジネス目的例 file_server - デバイスは、ファイル共有サービスを提供するサーバーです。(FTP、SMB、NFS、NAS サーバーなど) mail_server - デバイスは、メールの送受信用に指定されたサーバーです。
internet_exposure	デバイスのネットワーク上の場所とインターネットとの近接度例 internal - デバイスは、ローカルエリアネットワーク (LAN) 内にあり、おそらくはファイヤーウォールの背後にあります。 external - デバイスは、LAN 外にあり、ファイヤーウォールの背後にありません。

ACR デバイス機能

機能	説明	ソフトウェアまたはサービス
accounting_system	会計ソリューションがターゲット資産にインストールされています。	Intuit Quickbooks
backup_agent	バックアップソリューションエージェントがターゲット資産にインストールされています。	Amanda バックアップ (エージェント)
analytics_system	データ分析とレポート作成のためのソフトウェアソリューションがターゲットホストにインストールされています。	QlikView
TIBCO Spotfire
IBM SPSS
SharePoint 2013
SOLR
Elasticsearch
Enterprise Search
Google Search Appliance
Lucene
SQL Server Reporting Services
Oracle BI Publisher
SAP Business Object
backup_server	エンタープライズバックアップソリューションがターゲットホストにインストールされているか、実行されています。	Acronis Backup
Quest NetVault
Unitrends Enterprise Backup
Veritas Backup Exec
Spectrum Protect (旧 Tivoli Storage Manager)
crm_system	顧客関係管理 (CRM) ソリューションが、ターゲットホストにインストールされているか、実行されています。	SugarCRM
Bitrix24 CRM
Siebel CRM
database_server	ターゲットホストにデータベースシステムがインストールされているか、ターゲットホストでデータベースサーバーが実行されています。	PostgreSQL
Microsoft SQL Server
MongoDB
Oracle Database
Db2 Hosted
Percona XtraDB Cluster
IBM Informix
PostgreSQL
Percona Server
MariaDB Cluster
MySQL
Microsoft SQL Server
SAP Adaptive Server Enterprise (ASE)
MariaDB Server
SQLite
Apache Derby Network Server
SAP DB
Cogent Datahub Server
directory_server	ターゲット資産は認証サーバーです。	McAfee Stonegate Authentication Server
Kerberos Ticketing Server
LDAP プロトコル
IBM Tivoli
Stonegate Auth Server
dns_server	DNS サーバーがターゲット資産で実行されています。	ポート 53 の DNS サービス
erp_system	Enterprise Resource Planning Suite サーバーがターゲット資産で実行されているかインストールされています。	Microsoft Dynamics AX
Oracle E-Business Suite
SAP ERP
Microsoft Dynamics GP
SAP DB
SAPControl
SAP RMI-P4 プロトコルサービス
SAP Host Control
Apache OFBiz
erp_system_client	ERP システムにアクセスするためのクライアントソフトウェアが、ターゲット資産にインストールされています。	SAP GUI
file_server	ターゲット資産は、ファイル共有の目的で使用されています。ここでのファイル共有は狭義です。SMB サーバーは、この分類ではファイルサーバーとは見なされません。	WebCenter
ownCloud
Sharepoint
Oracle WebCenter Content
Sharepoint
FTP サービス
Apple File Protocol (AFP) サービス
Network File System (NFS) Server Detection
helpdesk_system	ヘルプデスクチケットサーバーが、ターゲットの資産にインストールされているか実行されています。	SugarCRM
Track-It!
ServiceDesk Plus
OTRS
ManageEngine Service Desk
it_management_system	ターゲット資産は、ある種の IT 管理機能を実行しています。IT インフラ管理 (単一またはグループのデバイスやサービスの管理など)、または IT サービス管理 (ソフトウェアプロビジョニング、デバイス、ソフトウェアリポジトリ管理など) である可能性があります。	Application Insight
Solarwinds Server & Application Monitor
ManageEngine Application Performance Monitoring
System Center Operations Manager
Applications Manager - ManageEngine
ManageEngine Desktop Central
Ghost Solution Suite
ZENworks - Configuration Management
IBM BigFix
System Center Configuration Manager
CA Unified Infrastructure Management
Centreon
VMware vRealize Operations
OpManager
Nagios XI
SCOM
PRTG Network Monitor
Zabbix
SolarWinds Storage Resource Monitor
GroundWork Monitor
Pandora FMS
Tivoli Monitoring
OP5 Monitor
NetFlow Traffic Analyzer
PRTG Network Monitor
Cisco Prime Infrastructure
H3C Intelligent Management Center
ZENworks Asset Management
ManageEngine Desktop Central
Unified Endpoint Manager
Google Analytics
Cisco Prime Infrastructure
H3C Intelligent Management Center
HP 3PAR Management Server
Ghost Solution Suite
Fortigate Firewall Management Console
Barracuda Spam & Virus Firewall Management Web Console
mail_server	ターゲット資産はメールサーバーです。	IBM Domino
IMAP Service Detection
CCProxy SMTP Server Detection
SMTP Service Detection
POP Service Detection
PCI	ターゲット資産には PCI の機密情報があります。	PCI Plugin Fired
pci-target	ターゲット資産は PCI スキャンのターゲットです。	スキャン名に「pci」キーワードが見つかりました
proxy_server	ターゲット資産はプロキシサーバーです。	Oracle iPlanet Web Proxy Server
HTTP proxy Detected in Service Banner
McAfee Email Gateway
reverse_proxy_server	ターゲット資産は、外部クライアントのリクエストを内部サーバーに転送するリバースプロキシです。リバースプロキシは、ADC またはロードバランサーである可能性があります。	NetApp SANtricity Web Services Proxy
Foreman Smart-Proxy TFTP
rnd_software	ターゲット資産には製品開発ソフトウェアがインストールされているため、開発目的です。	Red Hat Mobile Application Platform
Application Testing Suite
Windows Visual Studio
AutoCAD
MAC OS Xcode IDE
Autodesk DWG TrueView Detection
SCADA	ターゲット資産に、産業プロセスの管理に使用されるソフトウェアシステムがインストールされているか実行されています。	AVEVA InduSoft Web Studio / InTouch Edge HMI TCP/IP Server
Trihedral VTScada Detection
upnp	ターゲット資産は UPnP をサポートしています。アプライアンスである可能性が高いです。	UPnP service detection
web_application_server	ターゲット資産で実行中またはインストールされているウェブアプリケーションサーバーがあります。ターゲット資産でウェブアプリケーションサーバーが実行されていても、必ずしもその重大度を示唆するわけではありません。ただし、一部のプロパティと併用されている場合、重大度を示唆している可能性があります (例: ウェブアプリケーションサーバー + 外部 + サーバーデバイスタイプ = 重大度高)。	Geronimo
Resin
Tuxedo
Tomcat
Jetty
Red Hat OpenShift
Microsoft .NET Platform
Red Hat Jboss EAP
WebLogic Server
Magento
WebSphere Commerce
Cobalt
DNN Platform
Umbraco
Oracle WebCenter Sites
Glassfish
nginx
Microsoft IIS

資産のエクスポージャースコア (AES)

Tenable は、ネットワーク上の各資産について、資産の相対的暴露を表す動的な AESを 0～1000 の整数として計算します。AES が高くなるほど、高いサイバーエクスポージャーを示しています。

Tenable は、現在の ACR(Tenable が提供する、またはカスタム) と、資産に関連付けられている VPR に基づいて AES を計算します。

AES カテゴリ	AES 範囲
高	650～1000
中	350～649
低	0～349

特定の資産の AES を表示するには、「資産」を参照してください。

評価成熟度グレード

重要: Tenable Lumin 内のデータ移行およびアルゴリズムの変更により、最近評価成熟度および修正成熟度のスコアが変更された可能性があります。これは想定された動作です。詳細については、Tenable の担当者までお問い合わせください。

評価成熟度は、ライセンスのある資産の脆弱性をどれだけ効果的にスキャンしているかについて大まかなまとめを提供します。Tenable では、評価スキャンの健全性を A から F までの文字グレードで表す、動的な評価成熟度グレードを計算します。A グレードは、資産を高い頻度で徹底的に評価していることを示します。

Tenable は、初めてスキャンしたときに評価成熟度グレードを提示します。その後、Tenable Vulnerability Management は毎日自動的に更新された評価成熟度グレードを提供します。

評価成熟度文字グレード	数値の範囲
A	75～100
B	55～74
C	30～54
D	15～29
F	0～14

評価成熟度の計算方法

資産スコアの場合
- スキャン頻度スコア - 過去 90 日間に資産がスキャンされた頻度
- スキャンの深度スコア - 資産が過去 90 日間に認証スキャンされたかどうか
- 評価成熟度スコア - (スキャン頻度スコア + スキャンの深度スコア)/2 の計算
コンテナ/事業の文脈スコアの場合
- スキャン頻度スコア - 資産のスキャン頻度スコアの平均
- スキャンの深度スコア - 資産のスキャン深度スコアの平均
- 評価成熟度スコア - 資産の評価成熟度スコアの平均

スキャンの深度スコア

深度が高いグレードは、これらの資産で認証スキャンを実行していることを示します。

深度グレードの文字グレード	数値の範囲
A	75～100
B	55～74
C	30～54
D	15～29
F	0～14

スキャン頻度スコア

Tenable は、どのくらい頻繁にネットワーク上の資産をスキャンしているかに基づいて、頻度グレードを計算します。頻度グレードが高い場合、資産を頻繁にスキャンしていることを示します。

頻度グレードの文字グレード	数値の範囲
A	75～100
B	55～74
C	30～54
D	15～29
F	0～14

評価成熟度グレード、深度グレード、および頻度グレードを表示するには、評価成熟度詳細を表示するを参照してください。

Tenable Vulnerability Management が評価成熟度グレードを計算または再計算するのにかかる時間の詳細は、Tenable Lumin のデータのタイミングを参照してください。

修正成熟度グレード

修正成熟度は、ライセンスのある資産の脆弱性をどれだけ効果的に修正しているかについて大まかなまとめを提供します。Tenable では、修正の健全性を A から F までの文字グレードで表す、動的な修正成熟度グレードを計算します。A グレードは、資産の脆弱性を迅速かつ徹底的に修正していることを表します。

修正成熟度文字グレード	数値の範囲
A	75～100
B	55～74
C	30～54
D	15～29
F	0～14

修正成熟度グレードは、修正成熟度修正応答性グレードと、修正成熟度修正範囲グレードを結合したものです。

Tenable は、最初に脆弱性を修正したタイミングで修正成熟度グレードを提示します。その後、Tenable Luminは毎日自動的に更新された修正成熟度グレードを提供します。

修正応答性グレード

Tenable は、脆弱性が最初に検出された日 (初回確認日) から修正までに要した時間に基づいて、修正応答性グレードを計算します。

修正応答性グレードが高い場合、資産の脆弱性を迅速に修正していることを表します。

修正応答性の文字グレード	数値の範囲
A	75～100
B	55～74
C	30～54
D	15～29
F	0～14

修正範囲グレード

Tenable は、資産の脆弱性の修正割合に基づいて修正範囲グレードを計算します。

修正範囲グレードが高い場合、資産の脆弱性の修正割合が高いことを表します。

修正範囲の文字グレード	数値の範囲
A	75～100
B	55～74
C	30～54
D	15～29
F	0～14

修正成熟度グレード、修正応答性グレード、修正範囲グレードを表示するには、修正成熟度詳細を表示するを参照してください。

Tenable Lumin が修正成熟度グレードを計算または再計算するのにかかる時間の詳細は、Tenable Lumin のデータのタイミングを参照してください。