Tenable Lumin のメトリクス

Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP Moderate 製品を参照してください。

TenableTenable Lumin では、リスクの評価に役立つ複数のメトリクスを使用します。

Tenable Lumin のメトリクスの精度を改善して脆弱性管理全体の健全性を向上させる方法に関する詳細は、Tenable Lumin メトリクスを改善する を参照してください。

重要: 非公開の検出結果は、Tenable Lumin 内のすべてのスコアから除外されます。詳細は、検出結果 を参照してください。

Cyber Exposure Score (CES)

Tenable は、直近の 90 日間にスキャンされた資産の AES (資産のエクスポージャースコア) に基づいて、リスクを 0 から 1000 の整数として表す、動的な CES を計算します。CES 値が高いほど、リスクは高くなります。

次のような異なる資産のグループに対しての CESを表示できます。

  • 企業全体の総合的な CES ([Cyber Exposure Score] ウィジェットに表示される CES など)
  • 特定の事業の文脈の資産のタグレベルの CES ([事業の文脈タグによる Cyber Exposure Score] ウィジェットで表示される CES など)。

CES カテゴリ CES 範囲
650~1000
350~649

0~349

企業全体の、または資産グループの CES を表示するには、「Tenable Luminダッシュボードを表示する」でウィジェットを表示します。

Tenable Vulnerability ManagementCES を計算または再計算するのにかかる時間の詳細は、「Tenable Lumin のデータのタイミング」を参照してください。

Vulnerability Priority Rating (VPR)

Tenable は、ほとんどの脆弱性について動的な VPR を計算します。TenableVPR を更新して現在の脅威の状況を反映させるため、VPR は脆弱性のCVSSスコアが示すデータに、動的に追従します。VPR の値の範囲は 0.1 から 10.0 で、値が大きいほど悪用の可能性が高くなります。

VPR カテゴリ VPR 範囲
緊急

9.0~10.0

7.0~8.9
4.0~6.9

0.1~3.9

注意: CVE がない脆弱性 (深刻度が情報である多くの脆弱性など) に対しては、VPR は付けられません。Tenable では、CVSS に基づく深刻度に応じてこれらの脆弱性を修復することを推奨します。

注意: VPR 値は編集できません。

Tenable Vulnerability Management は、ネットワーク上で最初に脆弱性をスキャンするときに VPR 値を提供します。その後 Tenable Vulnerability Management は、毎日自動的に新規または更新された VPR 値を提供します。

Tenable では、ACR 値が最大の資産上にある、VPR が最大の脆弱性を優先するよう推奨します。

特定の脆弱性の VPRを表示するには、「検出結果」の説明に従って脆弱性を表示します。

VPR 主な要因

Tenable は脆弱性の VPRの計算に、次の主な要因を使用します。

注意: Tenable は、これらの値を特定の企業向けにカスタマイズしません。VPR の主な要因は、脆弱性のグローバルな脅威の状況を反映します。

主な要因

説明
Age of Vuln

National Vulnerability Database (NVD) が脆弱性を公開してからの経過日数です。

CVSSv3 影響スコア

脆弱性に関する NVD 提供の CVSSv3 影響スコア。NVD がスコアを提供しなかった場合、Tenable Vulnerability Management では Tenableが予測したスコアが表示されます。

エクスプロイトコード成熟度

内部および外部ソース (Reversinglabs、Exploit-db、Metasploit など) の悪用インテリジェンスの存在、巧妙さ、流行に基づく、実行可能な脆弱性の悪用方法の相対的な成熟度です。可能な値 (機能的PoC、または 未実証) は CVSS エクスプロイトコード成熟度と同等です。

製品影響範囲

脆弱性の影響を受ける固有の製品の相対的な数 (、または 最高) です。

脅威のソース

この脆弱性に関連する脅威イベントが発生したすべてのソース (ソーシャルメディアチャネル、ダークウェブなど) のリストです。システムが過去 28 日に関連する脅威イベントを確認しなかった場合は、[イベント記録なし]が表示されます。

脅威の深刻度

この脆弱性に関連する、最近確認された脅威イベントの数と頻度に基づく相対的な強度 (最低、または 最高) です。

脅威の最新度

脆弱性の脅威イベントが発生してからの経過日数 (0~180)。

脅威イベントの例

一般的な脅威イベントには次のようなものがあります。

  • 脆弱性の悪用
  • 公開リポジトリにおける脆弱性の悪用コードの投稿
  • メインストリームメディアにおける脆弱性のディスカッション
  • 脆弱性に関するセキュリティリサーチ
  • ソーシャルメディアチャネルにおける脆弱性のディスカッション
  • ダークウェブとアンダーグラウンドにおける脆弱性のディスカッション
  • ハッカーフォーラムにおける脆弱性のディスカッション

ACR (資産重大度の格付け) (ACR)

Tenable は、ACR をネットワーク上の各資産に割り当て、資産の相対重要度を 1~10 の整数として表します。 ACR が高いほど重要度も高くなります。

ACR カテゴリ ACR 範囲
緊急

9~10

7~8
4~6

1~3

Tenable Vulnerability Management は 24 時間ごとに ACR 値を計算するため、ネットワーク上の資産をスキャンした後に ACR を表示するには最大 24 時間待つ必要があります。

注意: Tenable では必要に応じて、Tenable が提供する ACR 値を確認して上書きすることを推奨しています。ACR を編集するまたはの説明のように、ACR 値をカスタマイズして、企業固有のインフラやニーズを反映させることができます。

資産が複数の ACR 値を持つ場合、Tenable Vulnerability Management は次の順番で値に優先順位を付けます。

  1. 設定されている場合は、手動でオーバーライドされた ACR 値。
  2. Tenable が提供する ACR 値。

特定の資産の ACRを確認するには、「資産の詳細の表示」の説明に従って資産の詳細を表示します。

ACR 主な要因

Tenable は次の主な要因を使用して、資産の Tenable標準提供の ACR を計算します。

注意: Tenable は、これらの値を特定の企業向けにカスタマイズしません。ACR の主な要因は、資産の特性に関連するグローバルな脅威の状況を反映したものです。

注意: 非認証スキャンを実行すると、ACR の主な要因が限定的あるいは不完全になる可能性があります。

資産のエクスポージャースコア (AES)

Tenable は、ネットワーク上の各資産について、資産の相対的暴露を表す動的な AESを 0~1000 の整数として計算します。AES が高くなるほど、高いサイバーエクスポージャーを示しています。

Tenable は、現在の ACR(Tenable が提供する、またはカスタム) と、資産に関連付けられている VPR に基づいて AES を計算します。

AES カテゴリ AES 範囲
650~1000
350~649

0~349

特定の資産の AES を表示するには、「資産」を参照してください。

評価成熟度グレード

重要: Tenable Lumin 内のデータ移行およびアルゴリズムの変更により、最近評価成熟度および修正成熟度のスコアが変更された可能性があります。これは想定された動作です。詳細については、Tenable の担当者までお問い合わせください。

評価成熟度 は、ライセンスのある資産の脆弱性をどれだけ効果的にスキャンしているかについて大まかなまとめを提供します。Tenable では、評価スキャンの健全性を A から F までの文字グレードで表す、動的な 評価成熟度 グレードを計算します。A グレードは、資産を高い頻度で徹底的に評価していることを示します。

Tenable は、初めてスキャンしたときに評価成熟度グレードを提示します。その後、Tenable Vulnerability Management は毎日自動的に更新された評価成熟度グレードを提供します。

評価成熟度文字グレード 数値の範囲
A 75~100
B 55~74
C 30~54
D 15~29
F 0~14

評価成熟度の計算方法

スキャンの深度スコア

深度が高いグレードは、これらの資産で認証スキャンを実行していることを示します。

深度グレードの文字グレード 数値の範囲
A 75~100
B 55~74
C 30~54
D 15~29
F 0~14

スキャン頻度スコア

Tenable は、どのくらい頻繁にネットワーク上の資産をスキャンしているかに基づいて、頻度グレードを計算します。 頻度グレードが高い場合、資産を頻繁にスキャンしていることを示します。

頻度グレードの文字グレード 数値の範囲
A 75~100
B 55~74
C 30~54
D 15~29
F 0~14

評価成熟度 グレード、深度グレード、および頻度グレードを表示するには、評価成熟度詳細を表示するを参照してください。

Tenable Vulnerability Management評価成熟度 グレードを計算または再計算するのにかかる時間の詳細は、Tenable Lumin のデータのタイミング を参照してください。

修正成熟度 グレード

重要: Tenable Lumin 内のデータ移行およびアルゴリズムの変更により、最近評価成熟度および修正成熟度のスコアが変更された可能性があります。これは想定された動作です。詳細については、Tenable の担当者までお問い合わせください。

修正成熟度 は、ライセンスのある資産の脆弱性をどれだけ効果的に修正しているかについて大まかなまとめを提供します。Tenable では、修正の健全性を A から F までの文字グレードで表す、動的な 修正成熟度 グレードを計算します。A グレードは、資産の脆弱性を迅速かつ徹底的に修正していることを表します。

修正成熟度 文字グレード 数値の範囲
A 75~100
B 55~74
C 30~54
D 15~29
F 0~14

修正成熟度 グレードは、修正成熟度修正応答性グレードと、修正成熟度修正範囲グレードを結合したものです。

Tenable は、最初に脆弱性を修正したタイミングで 修正成熟度 グレードを提示します。その後、Tenable Luminは毎日自動的に更新された 修正成熟度 グレードを提供します。

修正応答性グレード

Tenable は、脆弱性が最初に検出された日 (初回確認日) から修正までに要した時間に基づいて、修正応答性グレードを計算します。

修正応答性グレードが高い場合、資産の脆弱性を迅速に修正していることを表します。

修正応答性の文字グレード 数値の範囲
A 75~100
B 55~74
C 30~54
D 15~29
F 0~14

修正範囲グレード

Tenable は、資産の脆弱性の修正割合に基づいて修正範囲グレードを計算します。

修正範囲グレードが高い場合、資産の脆弱性の修正割合が高いことを表します。

修正範囲の文字グレード 数値の範囲
A 75~100
B 55~74
C 30~54
D 15~29
F 0~14

修正成熟度 グレード、修正応答性グレード、修正範囲グレードを表示するには、修正成熟度 詳細を表示するを参照してください。

Tenable Lumin修正成熟度 グレードを計算または再計算するのにかかる時間の詳細は、Tenable Lumin のデータのタイミングを参照してください。