Tenable Lumin のメトリクス
Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP 製品を参照してください。
TenableTenable Lumin では、リスクの評価に役立つ複数のメトリクスを使用します。
- Cyber Exposure Score (CES)
- VPR (脆弱性優先度格付け) (VPR)
- 資産重要度の格付け (ACR)
- 資産のエクスポージャースコア (AES)
- 評価成熟度グレード
- 修正成熟度 グレード
Tenable Lumin のメトリクスの精度を改善して脆弱性管理全体の健全性を向上させる方法に関する詳細は、Tenable Lumin メトリクスを改善する を参照してください。
Tenable は、直近の 90 日間にスキャンされたライセンスのある資産の AES (資産のエクスポージャースコア) に基づいて、リスクを 0 から 1000 の整数で表す、動的な CES を計算します。CES 値が高いほど、リスクは高くなります。
ライセンスのある資産のさまざまなグループの CES を表示できます。以下に例を挙げます。
- 組織全体の総合的な CES ([Cyber Exposure Score] ウィジェットに表示される CES など)
- 特定の事業の文脈の資産のタグレベルの CES ([事業の文脈・タグ別の Cyber Exposure Score] ウィジェットで表示される CES など)。
| CES カテゴリ | CES 範囲 |
|---|---|
| 高 | 650~1000 |
| 中 | 350~649 |
| 低 |
0~349 |
企業全体の、または資産グループの CES を表示するには、「Tenable Luminダッシュボードを表示する」でウィジェットを表示します。
Tenable Vulnerability Management が CES を計算または再計算するのにかかる時間の詳細は、「Tenable Lumin のデータのタイミング」を参照してください。
Tenable は、ほとんどの脆弱性について動的な VPR を計算します。Tenable が VPR を更新して現在の脅威の状況を反映させるため、VPR は脆弱性のCVSSスコアが示すデータに、動的に追従します。VPR の値の範囲は 0.1 から 10.0 で、値が大きいほど悪用の可能性が高くなります。
| VPR カテゴリ | VPR 範囲 |
|---|---|
| 重大 |
9.0~10.0 |
| 高 | 7.0~8.9 |
| 中 | 4.0~6.9 |
| 低 |
0.1~3.9 |
注意: CVE がない脆弱性 (深刻度が情報である多くの脆弱性など) に対しては、VPR は付けられません。Tenable では、CVSS に基づく深刻度に応じてこれらの脆弱性を修復することを推奨します。
注意: VPR 値は編集できません。
Tenable Vulnerability Management は、ネットワーク上で最初に脆弱性をスキャンするときに VPR 値を提供します。その後 Tenable Vulnerability Management は、毎日自動的に新規または更新された VPR 値を提供します。
Tenable では、ACR 値が最大の資産上にある、VPR が最大の脆弱性を優先するよう推奨します。
特定の脆弱性の VPRを表示するには、「検出結果」の説明に従って脆弱性を表示します。
Tenable は脆弱性の VPRの計算に、次の主な要因を使用します。
注意: Tenable は、これらの値を特定の企業向けにカスタマイズしません。VPR の主な要因は、脆弱性のグローバルな脅威の状況を反映します。
|
主な要因 |
説明 |
|---|---|
| Age of Vuln |
National Vulnerability Database (NVD) が脆弱性を公開してからの経過日数です。 |
| CVSSv3 影響スコア |
脆弱性に関する NVD 提供の CVSSv3 影響スコア。NVD がスコアを提供しなかった場合、Tenable Vulnerability Management では Tenableが予測したスコアが表示されます。 |
| エクスプロイトコード成熟度 |
内部および外部ソース (Reversinglabs、Exploit-db、Metasploit など) の悪用インテリジェンスの存在、巧妙さ、流行に基づく、実行可能な脆弱性の悪用方法の相対的な成熟度です。可能な値 (高、機能的、概念実証、未実証) はそれぞれ、CVSS の攻撃される可能性のカテゴリに相当します。 |
| 製品影響範囲 |
脆弱性の影響を受ける固有の製品の相対的な数 (注意、警告、重要、または 最高) です。 |
| 脅威のソース |
この脆弱性に関連する脅威イベントが発生したすべてのソース (ソーシャルメディアチャネル、ダークウェブなど) のリストです。システムが過去 28 日に関連する脅威イベントを確認しなかった場合は、[イベント記録なし] が表示されます。 |
| 脅威の深刻度 |
この脆弱性に関連する、最近確認された脅威イベントの数と頻度に基づく相対的な強度 (最低、注意、警告、重要、または 最高) です。 |
| 脅威の最新度 |
脆弱性の脅威イベントが発生してからの経過日数 (0~180)。 |
一般的な脅威イベントには次のようなものがあります。
- 脆弱性の悪用
- 公開リポジトリにおける脆弱性の悪用コードの投稿
- メインストリームメディアにおける脆弱性のディスカッション
- 脆弱性に関するセキュリティリサーチ
- ソーシャルメディアチャネルにおける脆弱性のディスカッション
- ダークウェブとアンダーグラウンドにおける脆弱性のディスカッション
- ハッカーフォーラムにおける脆弱性のディスカッション
Tenable は、ACR をネットワーク上の各資産に割り当て、資産の相対重要度を 1~10 の整数として表します。 ACR が高いほど重要度も高くなります。
| ACR カテゴリ | ACR 範囲 |
|---|---|
| 緊急 |
9~10 |
| 高 | 7~8 |
| 中 | 4~6 |
| 低 |
1~3 |
Tenable Vulnerability Management は 24 時間ごとに ACR 値を計算するため、ネットワーク上の資産をスキャンした後に ACR を表示するには最大 24 時間待つ必要があります。
注意: Tenable では必要に応じて、Tenable が提供する ACR 値を確認して上書きすることを推奨しています。ACR を編集するまたはの説明のように、ACR 値をカスタマイズして、企業固有のインフラやニーズを反映させることができます。
資産が複数の ACR 値を持つ場合、Tenable Vulnerability Management は次の順番で値に優先順位を付けます。
- 設定されている場合は、手動でオーバーライドされた ACR 値。
- Tenable が提供する ACR 値。
特定の資産の ACRを確認するには、「資産の詳細の表示」の説明に従って資産の詳細を表示します。
Tenable は次の主な要因を使用して、資産の Tenable 標準提供の ACR を計算します。
注意: 非認証スキャンを実行すると、ACR の主な要因が限定的あるいは不完全になる可能性があります。
主な要因のタイプ
| 主な要因 | 説明 |
|---|---|
| device_type |
デバイスのタイプ例
|
| device_capability |
デバイスのビジネス目的例
|
| internet_exposure |
デバイスのネットワーク上の場所とインターネットとの近接度例
|
ACR デバイス機能
ACR デバイス機能の一部は、ターゲットホストにインストールされているソフトウェアによって決まります。
| 機能 | 説明 | ソフトウェアまたはサービス |
|---|---|---|
| accounting_system |
会計ソリューションがターゲット資産にインストールされています。 |
Intuit Quickbooks |
| backup_agent |
バックアップソリューションエージェントがターゲット資産にインストールされています。 |
Amanda バックアップ (エージェント) |
| analytics_system |
データ分析とレポート作成のためのソフトウェアソリューションがターゲットホストにインストールされています。 |
QlikView |
| TIBCO Spotfire | ||
| IBM SPSS | ||
| SharePoint 2013 | ||
| SOLR | ||
| Elasticsearch | ||
| Enterprise Search | ||
| Google Search Appliance | ||
| Lucene | ||
| SQL Server Reporting Services | ||
| Oracle BI Publisher | ||
| SAP Business Object | ||
| backup_server | エンタープライズバックアップソリューションがターゲットホストにインストールされているか、実行されています。 | Acronis Backup |
| Quest NetVault | ||
| Unitrends Enterprise Backup | ||
| Veritas Backup Exec | ||
| Spectrum Protect (旧 Tivoli Storage Manager) | ||
| crm_system | 顧客関係管理 (CRM) ソリューションが、ターゲットホストにインストールされているか、実行されています。 | SugarCRM |
| Bitrix24 CRM | ||
| Siebel CRM | ||
| database_server | ターゲットホストにデータベースシステムがインストールされているか、ターゲットホストでデータベースサーバーが実行されています。 | PostgreSQL |
| Microsoft SQL Server | ||
| MongoDB | ||
| Oracle Database | ||
| Db2 Hosted | ||
| Percona XtraDB Cluster | ||
| IBM Informix | ||
| PostgreSQL | ||
| Percona Server | ||
| MariaDB Cluster | ||
| MySQL | ||
| Microsoft SQL Server | ||
| SAP Adaptive Server Enterprise (ASE) | ||
| MariaDB Server | ||
| SQLite | ||
| Apache Derby Network Server | ||
| SAP DB | ||
| Cogent Datahub Server | ||
| directory_server | ターゲット資産は認証サーバーです。 | McAfee Stonegate Authentication Server |
| Kerberos Ticketing Server | ||
| LDAP プロトコル | ||
| IBM Tivoli | ||
| Stonegate Auth Server | ||
| dns_server | DNS サーバーがターゲット資産で実行されています。 | ポート 53 の DNS サービス |
| erp_system | Enterprise Resource Planning Suite サーバーがターゲット資産で実行されているかインストールされています。 | Microsoft Dynamics AX |
| Oracle E-Business Suite | ||
| SAP ERP | ||
| Microsoft Dynamics GP | ||
| SAP DB | ||
| SAPControl | ||
| SAP RMI-P4 プロトコルサービス | ||
| SAP Host Control | ||
| Apache OFBiz | ||
| erp_system_client | ERP システムにアクセスするためのクライアントソフトウェアが、ターゲット資産にインストールされています。 | SAP GUI |
| file_server | ターゲット資産は、ファイル共有の目的で使用されています。ここでのファイル共有は狭義です。SMB サーバーは、この分類ではファイルサーバーとは見なされません。 | WebCenter |
| ownCloud | ||
| Sharepoint | ||
| Oracle WebCenter Content | ||
| Sharepoint | ||
| FTP サービス | ||
| Apple File Protocol (AFP) サービス | ||
| Network File System (NFS) Server Detection | ||
| helpdesk_system | ヘルプデスクチケットサーバーが、ターゲットの資産にインストールされているか実行されています。 | SugarCRM |
| Track-It! | ||
| ServiceDesk Plus | ||
| OTRS | ||
| ManageEngine Service Desk | ||
| it_management_system | ターゲット資産は、ある種の IT 管理機能を実行しています。IT インフラ管理 (単一またはグループのデバイスやサービスの管理など)、または IT サービス管理 (ソフトウェアプロビジョニング、デバイス、ソフトウェアリポジトリ管理など) である可能性があります。 | Application Insight |
| Solarwinds Server & Application Monitor | ||
| ManageEngine Application Performance Monitoring | ||
| System Center Operations Manager | ||
| Applications Manager - ManageEngine | ||
| ManageEngine Desktop Central | ||
| Ghost Solution Suite | ||
| ZENworks - Configuration Management | ||
| IBM BigFix | ||
| System Center Configuration Manager | ||
| CA Unified Infrastructure Management | ||
| Centreon | ||
| VMware vRealize Operations | ||
| OpManager | ||
| Nagios XI | ||
| SCOM | ||
| PRTG Network Monitor | ||
| Zabbix | ||
| SolarWinds Storage Resource Monitor | ||
| GroundWork Monitor | ||
| Pandora FMS | ||
| Tivoli Monitoring | ||
| OP5 Monitor | ||
| NetFlow Traffic Analyzer | ||
| PRTG Network Monitor | ||
| Cisco Prime Infrastructure | ||
| H3C Intelligent Management Center | ||
| ZENworks Asset Management | ||
| ManageEngine Desktop Central | ||
| Unified Endpoint Manager | ||
| Google Analytics | ||
| Cisco Prime Infrastructure | ||
| H3C Intelligent Management Center | ||
| HP 3PAR Management Server | ||
| Ghost Solution Suite | ||
| Fortigate Firewall Management Console | ||
| Barracuda Spam & Virus Firewall Management Web Console | ||
| mail_server | ターゲット資産はメールサーバーです。 | IBM Domino |
| IMAP Service Detection | ||
| CCProxy SMTP Server Detection | ||
| SMTP Service Detection | ||
| POP Service Detection | ||
| PCI | ターゲット資産には PCI の機密情報があります。 | PCI Plugin Fired |
| pci-target | ターゲット資産は PCI スキャンのターゲットです。 | スキャン名に「pci」キーワードが見つかりました |
| proxy_server | ターゲット資産はプロキシサーバーです。 | Oracle iPlanet Web Proxy Server |
| HTTP proxy Detected in Service Banner | ||
| McAfee Email Gateway | ||
| reverse_proxy_server | ターゲット資産は、外部クライアントのリクエストを内部サーバーに転送するリバースプロキシです。リバースプロキシは、ADC またはロードバランサーである可能性があります。 | NetApp SANtricity Web Services Proxy |
| Foreman Smart-Proxy TFTP | ||
| rnd_software | ターゲット資産には製品開発ソフトウェアがインストールされているため、開発目的です。 | Red Hat Mobile Application Platform |
| Application Testing Suite | ||
| Windows Visual Studio | ||
| AutoCAD | ||
| MAC OS Xcode IDE | ||
| Autodesk DWG TrueView Detection | ||
| SCADA | ターゲット資産に、産業プロセスの管理に使用されるソフトウェアシステムがインストールされているか実行されています。 | AVEVA InduSoft Web Studio / InTouch Edge HMI TCP/IP Server |
| Trihedral VTScada Detection | ||
| upnp | ターゲット資産は UPnP をサポートしています。アプライアンスである可能性が高いです。 | UPnP service detection |
| web_application_server | ターゲット資産で実行中またはインストールされているウェブアプリケーションサーバーがあります。ターゲット資産でウェブアプリケーションサーバーが実行されていても、必ずしもその重大度を示唆するわけではありません。ただし、一部のプロパティと併用されている場合、重大度を示唆している可能性があります (例: ウェブアプリケーションサーバー + 外部 + サーバーデバイスタイプ = 重大度高)。 | Geronimo |
| Resin | ||
| Tuxedo | ||
| Tomcat | ||
| Jetty | ||
| Red Hat OpenShift | ||
| Microsoft .NET Platform | ||
| Red Hat Jboss EAP | ||
| WebLogic Server | ||
| Magento | ||
| WebSphere Commerce | ||
| Cobalt | ||
| DNN Platform | ||
| Umbraco | ||
| Oracle WebCenter Sites | ||
| Glassfish | ||
| nginx | ||
| Microsoft IIS |
Tenable は、ネットワーク上の各資産について、資産の相対的暴露を表す動的な AESを 0~1000 の整数として計算します。AES が高くなるほど、高いサイバーエクスポージャーを示しています。
Tenable は、現在の ACR(Tenable が提供する、またはカスタム) と、資産に関連付けられている VPR に基づいて AES を計算します。
| AES カテゴリ | AES 範囲 |
|---|---|
| 高 | 650~1000 |
| 中 | 350~649 |
| 低 |
0~349 |
特定の資産の AES を表示するには、「資産」を参照してください。
評価成熟度 は、ライセンスのある資産の脆弱性をどれだけ効果的にスキャンしているかについて大まかなまとめを提供します。Tenable では、評価スキャンの健全性を A から F までの文字グレードで表す、動的な 評価成熟度 グレードを計算します。A グレードは、資産を高い頻度で徹底的に評価していることを示します。
Tenable は、初めてスキャンしたときに評価成熟度グレードを提示します。その後、Tenable Vulnerability Management は毎日自動的に更新された評価成熟度グレードを提供します。
| 評価成熟度文字グレード | 数値の範囲 |
|---|---|
| A | 75~100 |
| B | 55~74 |
| C | 30~54 |
| D | 15~29 |
| F | 0~14 |
評価成熟度の計算方法
-
資産スコアの場合
-
スキャン頻度スコア - 過去 90 日間に資産がスキャンされた頻度
-
スキャンの深度スコア - 資産が過去 90 日間に認証スキャンされたかどうか
-
評価成熟度スコア - (スキャン頻度スコア + スキャンの深度スコア)/2 の計算
-
-
コンテナ/事業の文脈スコアの場合
-
スキャン頻度スコア - 資産のスキャン頻度スコアの平均
-
スキャンの深度スコア - 資産のスキャン深度スコアの平均
-
評価成熟度スコア - 資産の評価成熟度スコアの平均
-
スキャンの深度スコア
深度が高いグレードは、これらの資産で認証スキャンを実行していることを示します。
| 深度グレードの文字グレード | 数値の範囲 |
|---|---|
| A | 75~100 |
| B | 55~74 |
| C | 30~54 |
| D | 15~29 |
| F | 0~14 |
スキャン頻度スコア
Tenable は、どのくらい頻繁にネットワーク上の資産をスキャンしているかに基づいて、頻度グレードを計算します。 頻度グレードが高い場合、資産を頻繁にスキャンしていることを示します。
| 頻度グレードの文字グレード | 数値の範囲 |
|---|---|
| A | 75~100 |
| B | 55~74 |
| C | 30~54 |
| D | 15~29 |
| F | 0~14 |
評価成熟度 グレード、深度グレード、および頻度グレードを表示するには、評価成熟度詳細を表示するを参照してください。
Tenable Vulnerability Management が 評価成熟度 グレードを計算または再計算するのにかかる時間の詳細は、Tenable Lumin のデータのタイミング を参照してください。
修正成熟度 は、ライセンスのある資産の脆弱性をどれだけ効果的に修正しているかについて大まかなまとめを提供します。Tenable では、修正の健全性を A から F までの文字グレードで表す、動的な 修正成熟度 グレードを計算します。A グレードは、資産の脆弱性を迅速かつ徹底的に修正していることを表します。
| 修正成熟度 文字グレード | 数値の範囲 |
|---|---|
| A | 75~100 |
| B | 55~74 |
| C | 30~54 |
| D | 15~29 |
| F | 0~14 |
修正成熟度 グレードは、修正成熟度修正応答性グレードと、修正成熟度修正範囲グレードを結合したものです。
Tenable は、最初に脆弱性を修正したタイミングで 修正成熟度 グレードを提示します。その後、Tenable Luminは毎日自動的に更新された 修正成熟度 グレードを提供します。
修正応答性グレード
Tenable は、脆弱性が最初に検出された日 (初回確認日) から修正までに要した時間に基づいて、修正応答性グレードを計算します。
修正応答性グレードが高い場合、資産の脆弱性を迅速に修正していることを表します。
| 修正応答性の文字グレード | 数値の範囲 |
|---|---|
| A | 75~100 |
| B | 55~74 |
| C | 30~54 |
| D | 15~29 |
| F | 0~14 |
修正範囲グレード
Tenable は、資産の脆弱性の修正割合に基づいて修正範囲グレードを計算します。
修正範囲グレードが高い場合、資産の脆弱性の修正割合が高いことを表します。
| 修正範囲の文字グレード | 数値の範囲 |
|---|---|
| A | 75~100 |
| B | 55~74 |
| C | 30~54 |
| D | 15~29 |
| F | 0~14 |
修正成熟度 グレード、修正応答性グレード、修正範囲グレードを表示するには、修正成熟度 詳細を表示するを参照してください。
Tenable Lumin が 修正成熟度 グレードを計算または再計算するのにかかる時間の詳細は、Tenable Lumin のデータのタイミングを参照してください。