Tenable Web App Scanning ダッシュボード
デフォルトの Web Application Scanning ダッシュボードには Tenable Web App Scanning が収集したデータが表示されます。
必要な Tenable Web App Scanning ユーザーロール: 基本、スキャンオペレーター、標準、スキャンマネージャー、管理者のいずれか
Tenable Web App Scanning では、リスクの評価に役立つ複数のメトリクスを使用します。
Tenable Web App Scanning グローバルアプリケーションの健全性
次の表では、Web Application Scanning ダッシュボードの [グローバルアプリケーションの健全性] セクションに表示されるセクションとウィジェットについて説明します。ウィジェットをクリックすると、データに関する詳細をウィジェットに表示できます。左側のパネルの [グローバルアプリケーションの健全性] ウィジェットには、アプリの合計、脆弱性、未スキャンのアプリケーションの情報が表示されます。
ダッシュボードのリングチャートの外周の円は、4 つのスキャン対象アプリケーションと、残りのアプリケーションが含まれる小さな [その他] のセグメントの 資産のエクスポージャースコア (AES) を追跡します。このセグメントをクリックすると、次の 4 つのアプリケーションとそれらに関連する詳細を表示できます。各セグメントの色は、現在の AES スコアに合わせて変化します。ダッシュボードのリングチャートの中央には、全体的な Cyber Exposure Score (CES) のスコアが表示され、色が現在の CES グレードとともに変化します。アプリケーションの詳細については、検出結果を参照してください。
Tenable による CES の計算方法のデモについては、次の動画をご覧ください。
|
ウィジェット |
説明 |
|---|---|
|
総合スコア |
Tenable Web App Scanning が検出した検出結果の数。Tenable Web App Scanning は、検出結果を深刻度 (重大と高) 別に分類します。 Tenable でリスク分析に使用する脆弱性の格付けと深刻度のメトリクスについては、Tenable Vulnerability Managementユーザーガイドの深刻度と VPR を参照してください。 |
| スキャンされたウェブアプリケーション | 経時的にスキャンされたアプリケーションの数。 |
| 不完全なスキャン | 過去 90 日間の不完全なスキャンの数。 |
| 非認証スキャン | 過去 90 日間の認証されていないスキャンの数。 |
Tenable Web App Scanning は、ネットワーク上の各アプリケーションの動的な AES を計算します。これは、アプリケーションの相対的なサイバーエクスポージャーを 0~1000 の整数で表したものです。AES が高くなるほど、高いサイバーエクスポージャーを示しています。
Tenable Web App Scanning は、現在の ACR(Tenable が提供する) と、アプリケーションに関連付けられている VPR に基づいて AES を計算します。
| AES カテゴリ | AES 範囲 |
|---|---|
| 高 | 650~1000 |
| 中 | 350~649 |
| 低 |
0~349 |
注意: 資産のエクスポージャースコア (AES) は、有効な Lumin ライセンスを持つお客様だけが、Tenable Web App Scanning で参照できます。
ユーザーインターフェースの右側にある上位の要因のリストは、お使いの Tenable Web App Scanning インスタンスに存在するスキャンされたアプリケーションの深刻度分類を示しています。これらの項目が総合スコアを高める要因になっています。次のことを調べて対処すると、スコアを下げることができます。
- % のアプリケーションに、重大、高、中、低のいずれかのリスクがあります
- % のアプリケーションに、重大、高、中、低のいずれかのリスクがあります
- (xyz 個) のアプリケーションの脆弱性があります
- アプリケーションあたり、平均で (xyz 個) の脆弱性があります
注意: Tenable Web App Scanning はこのリストに 4 つの項目だけを表示します。最初の 2 つの項目は常に、存在するリスクの深刻度が最も高いアプリケーション 2 つを表示します。最後の 2 つの要因項目は、必ずダッシュボードにあるものです。
アプリケーションサイバーエクスポージャーの管理
修正メトリクスは、すべてのウェブアプリケーションで、重大な脆弱性と未認証のスキャンに対処し、解決するのに役立ちます。
|
ウィジェット |
説明 |
|---|---|
|
重大な脆弱性を修正する |
Tenable Web App Scanning が検出した検出結果の数。Tenable Web App Scanning は、検出結果を深刻度 (重大と高) 別に分類します。 Tenable でリスク分析に使用する脆弱性の格付けと深刻度のメトリクスについては、Tenable Vulnerability Managementユーザーガイドの深刻度と VPR を参照してください。 |
| 不完全なスキャンに対処する |
過去 90 日間の認証されていないスキャンの数。 注意: 不完全なスキャンとは、ステータスが「中止」、「キャンセル」、「部分的なエラー」のいずれかのスキャンです。 |
| 認証されていないスキャンに対処する | 過去 90 日間の認証されていないスキャンの数。 |
| OWASP Top 10 の脆弱性を修正する | 過去 90 日間の認証されていないスキャンの数。 |
防止メトリクスは、未スキャンのアプリケーションとスキャン済みのアプリケーションでのすべての検出結果の中から潜在的な脆弱性を早期に特定し、緩和するのに役立ちます。
|
ウィジェット |
説明 |
|---|---|
| 未スキャンのウェブアプリケーションをスキャンする | 過去 90 日間の不完全なスキャンの数。 |
| 検出結果をすべて調べる | 経時的にスキャンされたアプリケーションの数 |
Tenable Web App Scanning 統計
次の表では、Web Application Scanning ダッシュボードの [統計] セクションに表示されるウィジェットについて説明します。ウィジェットをクリックすると、データに関する詳細をウィジェットに表示できます。
|
ウィジェット |
説明 |
|---|---|
|
検出結果 |
Tenable Web App Scanning が検出した検出結果の数。Tenable Web App Scanning は、検出結果を深刻度 (重大と高) 別に分類します。 Tenable でリスク分析に使用する脆弱性の格付けと深刻度のメトリクスについては、Tenable Vulnerability Management ユーザーガイドの深刻度と VPR を参照してください。 |
| スキャンされたウェブ資産 | 経時的にスキャンされた資産の数。 |
| 不完全なスキャン | 過去 90 日間の不完全なスキャンの数。 |
| 認証されていないスキャン | 過去 90 日間の認証されていないスキャンの数。 |
OWASP Top 10
このチャートには、最新の OWASP (Open Web Application Security Project) の Top 10 Most Critical Web Application Security Risks (上位 10 個の最も重大なウェブアプリケーションセキュリティリスク) ドキュメントに記載されているものの中で、Tenable Web App Scanning が検出した脆弱性が表示されます。
次のステップ
特定のアプリケーションのスコアと詳細を表示するには、以下のページを参照してください。