脆弱性タブでは、グループ内で検知された脆弱性の一覧が表示されます。
トリアージ(対応判断)を行う際に参照する重要な項目を抽出し、表形式で表示します。
ソートやフィルタ機能を活用して、高リスクの脆弱性をタスク登録したり、低リスクの脆弱性を非表示にしたりできます。
また、画面上で複数の脆弱性を選択し、一括でタスクを更新することが可能な画面構成とすることで、効率的なトリアージ作業を支援します。
脆弱性一覧では、検知された脆弱性を一覧でみることができます。
一覧の列の順番と、列の表示・非表示設定はカスタマイズできます。
項目 | 詳細 | 更新のタイミング |
---|---|---|
脆弱性優先度 | 脆弱性の優先度が表示される | スキャン時 / 脆弱性優先度更新時 |
警戒情報 | CISA KEV、VulnCheck KEV、JPCERT/CC-Alerts、US-CERT-Alertsから警戒情報が公開されているかどうか ランサムキャンペーンで悪用:ランサムウェアキャンペーンで悪用されている情報が CISA KEV・VulnCheck KEV に登録されている 致命的:上記以外で、CISA KEV・VulnCheck KEVに該当する 注意:JPCERT/CC-Alerts、US-CERT-Alertsに警戒情報がある |
DB情報変化時 |
Immediateな未対応タスク数 | 脆弱性に紐づいているタスクのうち、「SSVC PriorityがImmediate 」かつ「ステータスがNEW 」かつ「非表示設定でない」タスクの数 |
スキャン時 |
Out of Cycleな未対応タスク数 | 脆弱性に紐づいているタスクのうち、「SSVC PriorityがOut Of Cycle 」かつ「ステータスがNEW 」かつ「非表示設定でない」タスクの数 |
スキャン時 |
SSVC最高優先度 | 脆弱性に紐づいているタスクのSSVC Priorityで優先度がもっとも高いもの | スキャン時 |
Exploit信頼度 | KEV情報や、攻撃コード・PoCが公開されているかどうか High(Active・metasploitあり):SSVC Exploitation が Active または metasploit framework に攻撃コードあり(信頼に足るExploit情報がある) Low(PoC):SSVC Exploitation が PoC -:SSVC Exploitation が None |
DB情報変化時 |
サマリ | 脆弱性のサマリ言語設定が ja の場合は、JVNのサマリが優先的に表示される |
DB情報変化時 |
深刻度 | 脆弱性の深刻度CVSS v3の値を元に、 Critical High Low None で表示される |
DB情報変化時 |
脆弱性優先度変更元 | 脆弱性優先度の設定場所 | 脆弱性優先度更新時 |
Red Hatの深刻度 | Red Hatが評価した脆弱性の深刻度を示す指標 | DB情報変化時 |
Ubuntuの深刻度 | Canonical(Ubuntuの開発元)が評価した脆弱性の深刻度を示す指標 | DB情報変化時 |
CVSS v3 | CVSSv3のスコアの中で最大のものが表示される | DB情報変化時 |
CVSS v2 | CVSSv2のスコアの中で最大のものが表示される | DB情報変化時 |
Red Hat | Red Hat v3のスコアが表示される | DB情報変化時 |
JVN | JVN v3のスコアが表示される | DB情報変化時 |
NVD | NVD v3のスコアが表示される | DB情報変化時 |
Microsoft | Microsoft v3のスコアが表示される | DB情報変化時 |
パッチ提供 | 関連する脆弱なソフトウェアに、パッチが提供されているかどうか✓:関連するすべてのソフトウェアに、有効なパッチが公開されている☓:関連するすべてのソフトウェアに、現時点ではパッチが提供されていない△:関連するソフトウェアのうち、パッチ提供済みと未提供が混在している❔:関連するソフトウェアのうち、パッチ提供が不明なものが存在する-:関連するすべてのソフトウェアにパッチが適用され脆弱性が解決済み | DB情報変化時 |
プロセス実行中 | 関連するプロセスがサーバ上で起動中、ポートを開いてListenしているかどうか ・一時停止のアイコン:プロセス停止中 ・再生のアイコン:プロセス実行中、かつListenしているポートがない ・電波のアイコン:プロセス実行中、かつListenしているポートがある | スキャン時 |
担当タスク状況 | タスクの主担当者、または副担当者がログインユーザと一致しているかどうか | スキャン時 / タスク更新時 |
未対応タスク | 脆弱性に紐づいているタスクのうち、「ステータスがNEW 」かつ「非表示設定でない」タスクの数 |
スキャン時 / タスク更新時 |
対応中タスク | 脆弱性に紐づいているタスクのうち、「ステータスがINVESTIGATING またはONGOING またはDEFER 」かつ「非表示設定でない」タスクの数 |
スキャン時 / タスク更新時 |
対応済タスク | 脆弱性に紐づいているタスクのうち、「ステータスがNEW またはINVESTIGATING またはONGOING またはDEFER でない」または「非表示設定である」タスクの数 |
スキャン時 / タスク更新時 |
全タスク数 | 脆弱性に紐づくタスクの総数 | スキャン時 |
NWから攻撃可能(RedHat) | CVSS基本評価基準の各項目のうち、AV(Attack Vector)がNetworkであるかどうか | DB情報変化時 |
権限なしで攻撃可能(RedHat) | CVSS基本評価基準の各項目のうち、Au(Access Complexity)か、PR(Privileges Required)が不要であるかどうか | DB情報変化時 |
OWASP TOP10か | OWASP TOP10に該当する脆弱性かどうか | DB情報変化時 |
CVE ID | 検知された脆弱性のCVE ID | スキャン時 |
アドバイザリ名 | CVE IDに紐づいているアドバイザリ名が表示される | DB情報変化時 |
EPSS Score | 今後30日間でその脆弱性が悪用される確率を表す値が大きいほど悪用される確率が高く、脅威のある脆弱性となる | DB情報変化時 |
EPSS Percentile | EPSS Scoreが対象のそれより低い脆弱性の割合を表す値が大きいほどこの脆弱性が上位の脅威度を持つことを意味する・EPSSの概要 | DB情報変化時 |
Cloud Oneステータス | CloudOne連携のステータス | スキャン時 |
緩和策/回避策 | Red Hat,Microsoftのデータソースに緩和策、回避策があるかどうか | DB情報変化時 |
外部スキャン | 外部に露出している脆弱性があるかどうか | 外部スキャン結果追加、更新時 |
対応期限(スペシャル警戒タグ) | スペシャル警戒タグの対応期限での設定が表示される | スキャン時 |
最新検知日時 | 該当グループ内でそのCVEが検知された最新の日時 | スキャン時 |
ベクター・スコア更新日時 | CVSSベクターかスコアが更新された日時、またはその脆弱性が初めて検知された日時 | スキャン時 |
トピックカウント | 脆弱性に登録されているトピックの数 | トピック更新時 |
トピック最新更新日時 | そのCVEに対するトピックが登録・更新された最新の日時 | トピック更新時 |
優先度更新日時 | 脆弱性優先度が最後に更新された日時 | スキャン時 / 脆弱性優先度更新時 |
初回検知日時 | 該当グループ内でそのCVEが初めて検知された日時 | スキャン時 |
脆弱性一覧では、関連するタスクのステータスごとに表示を切り替えるタブが用意されています。
Immediate
または OutOfCycle
である脆弱性ONGOING
または INVESTIGATING
である脆弱性DEFER
である脆弱性非表示
に設定された脆弱性WORKAROUND
・ NOT_AFFECTED
・ RISK_ACCEPTED
・PATCH_APPLIED
である脆弱性チェックボックスで選択した脆弱性に関連するすべてのサーバのタスクを、一括で非表示にできます。
チェックボックスで選択した脆弱性に関連するすべてのサーバのタスクを、一括で更新できます。
リスクが高いと判断する脆弱性の条件を事前に設定し、条件に該当する脆弱性が新たに検知された際に、「重要な未対応」タブに振り分けることで優先的に対応できるようになります。 「重要な未対応」の条件確認ボタンから設定されている条件を確認できます。
「重要な未対応」タブに振り分けられる条件はグループ管理者のみ変更できます。
グループ設定の「重要フィルタ」で変更を行えます。
脆弱性一覧の項目をクリックすると、第2ペインが現れます。
詳細タブでは脆弱性の詳細を確認できます。
脆弱性詳細では、以下の項目が表示されます。
項目 | 詳細 |
---|---|
サマリ | NVD,JVN,Redhat,Microsoftなどの脆弱性DBの説明と、スコアを表示 |
CVSS | NVD, OVAL等の脆弱性DBのベクターを分解したCVSS(v2,v3)の基本評価基準を詳細に表示 |
脆弱性優先度 | 脆弱性優先度を個別手動設定できるただし、スペシャル警戒タグにより設定されたものは、上書きできない |
EPSS | EPSSのスコア・パーセンタイル、および「CVEdetails」へのリンクを表示 |
警戒情報 | CISA KEV、VulnCheck KEV、JPCERT/CC-Alerts、US-CERT-Alertsの警戒情報が見つかった場合、リンクを表示 |
攻撃コード | 攻撃コードが見つかった場合、リンクと説明を表示 |
CWE | 脆弱性に関するCWEを表示 |
ディストリビューションサポートページ | 各ディストリビューションが出している、公式の脆弱性情報ページを表示 |
一次情報 | 各ベンダーのサポートページURLを表示 |
Reference | 脆弱性に関するリファレンスを表示 |
CVSSの下にある「CVSSスコアの再計算」をクリックすると再計算用のページが開きます。
現状値を評価したスコアと、現状値と環境値を評価したスコアが表示されます。
また、攻撃コードが公開されている脆弱性の場合は、「現状評価基準」>攻撃される可能性に赤枠でヒントが表示されます。
EPSSはスコア(Score)とパーセンタイル(Percentile)により構成されます。 それぞれの値の意味は以下の通りです。
項目 | 詳細 |
---|---|
スコア | 今後30日間でその脆弱性が悪用される確率を表します。値が大きいほど悪用される確率が高く、脅威のある脆弱性となります。 |
パーセンタイル | EPSSスコアが対象のそれより低い脆弱性の割合を表します。値が大きいほどこの脆弱性が上位の脅威度を持つことを意味します。 |
EPSSの基本的な概念やデータ分布に関する情報については、こちらの「ブログ記事」などをご参照ください。
EPSS はあくまで脆弱性の脅威度を定量的に示す指標であり、脆弱性によるリスクを表しているわけではありません。
(これは CVSS BaseScore が脆弱性の深刻度を表すだけで、実際のリスクは表していないことと同様です。)
リスクについてはこちらの「ブログ記事」をご参照ください。
EPSSスコアが高くても、影響が深刻でない、または自組織には悪影響がない、といったことがありえます。
FutureVulsでは、各脆弱性にトピックを作成して、グループ内、オーガニゼーション内で調査結果やコメントの共有ができます。
詳細については「トピックによる情報共有・注意喚起」をご覧ください。
選択した脆弱性に関連するタスクとサーバが表示されます。
未対応
または 対応中
のタスクのみ表示され、対応済みや非表示にしたタスクは表示されません。
脆弱性に紐づくソフトウェアに対して、そのソフトウェアがインストールされたサーバの一覧を表示します。 一覧の詳細については「ソフトウェア一覧」をご覧ください。