コンテンツにスキップ

脆弱性一覧#

脆弱性タブでは、グループ内で検知された脆弱性を一覧でみることができます。 トリアージ(対応判断)する際に参照する重要な項目を抽出し、表形式で表示します。 ソートやフィルタ機能を活用して、高リスクの脆弱性をタスク登録したり、低リスクの脆弱性を非表示にしたりできます。 また、画面上で複数の脆弱性を選択し、一括でタスクを更新するなど効率的なトリアージ作業を支援します。

image.png

「脆弱性」タブで表示できるカラム#

「脆弱性」タブで表示できるカラムは、以下の通りです。

項目 詳細 更新のタイミング
脆弱性優先度 脆弱性の優先度が表示される スキャン時 / 脆弱性優先度更新時
警戒情報 CISA KEV、VulnCheck KEV、JPCERT/CC-Alerts、CISA-Alerts から警戒情報が公開されているかどうか
ランサムキャンペーンで悪用:ランサムウェアキャンペーンで悪用されている情報が CISA KEV・VulnCheck KEV に登録されている
致命的:上記以外で、CISA KEV・VulnCheck KEVに該当する
注意:JPCERT/CC-Alerts、CISA-Alerts に警戒情報がある
DB情報変化時
Immediateな未対応タスク数 脆弱性に紐づいているタスクのうち、「SSVC Priorityが Immediate」かつ「ステータスNEW」かつ「非表示設定でない」タスクの数 スキャン時
Out of Cycleな未対応タスク数 脆弱性に紐づいているタスクのうち、「SSVC Priorityが Out Of Cycle」かつ「ステータスNEW」かつ「非表示設定でない」タスクの数 スキャン時
SSVC最高優先度 脆弱性に紐づいているタスクのSSVC Priorityで優先度がもっとも高いもの スキャン時
Exploit信頼度 KEV情報や、攻撃コード・PoCが公開されているかどうか
High(Active・metasploitあり):SSVC Exploitation が Active または metasploit framework に攻撃コードあり(信頼に足るExploit情報がある)
Low(PoC):SSVC Exploitation が PoC
:SSVC Exploitation が None
DB情報変化時
サマリ 脆弱性のサマリ
言語設定が ja の場合は、JVNのサマリが優先的に表示される
DB情報変化時
深刻度 脆弱性の深刻度
CVSS v3の値を元に、 Critical High Medium Low None で表示される
DB情報変化時
脆弱性優先度変更元 脆弱性優先度の設定場所 脆弱性優先度更新時
Red Hatの深刻度 Red Hatが評価した脆弱性の深刻度を示す指標 DB情報変化時
Ubuntuの深刻度 Canonical(Ubuntuの開発元)が評価した脆弱性の深刻度を示す指標 DB情報変化時
CVSS v3 CVSSv3のスコアの中で最大のものが表示される DB情報変化時
CVSS v2 CVSSv2のスコアの中で最大のものが表示される DB情報変化時
Red Hat Red Hat v3のスコアが表示される DB情報変化時
JVN JVN v3のスコアが表示される DB情報変化時
NVD NVD v3のスコアが表示される DB情報変化時
Microsoft Microsoft v3のスコアが表示される DB情報変化時
パッチ提供 関連する脆弱なソフトウェアに、パッチが提供されているかどうか

(entire):関連するすべてのソフトウェアに、有効なパッチが公開されている
(none):関連するすべてのソフトウェアに、現時点ではパッチが提供されていない
(some):関連するソフトウェアのうち、パッチ提供済みと未提供が混在している
(unknown):関連するソフトウェアのうち、パッチ提供が不明なものが存在する
:関連するすべてのソフトウェアにパッチが適用され脆弱性が解決済み
DB情報変化時
プロセス実行中 関連するプロセスがサーバ上で起動中、ポートを開いてListenしているかどうか
スキャン対象がLinux系OSであり、Vulsスキャナを用いてスキャンした場合かつOSパッケージに関連する脆弱性の場合に対象のプロセス実行状態が取得できます。

:プロセスの実行状態が不明
再生のアイコン:プロセス実行中、かつListenしているポートがない
電波のアイコン:プロセス実行中、かつListenしているポートがある
スキャン時
担当タスク状況 タスクの主担当者、または副担当者がログインユーザと一致しているかどうか スキャン時 / タスク更新
未対応タスク 脆弱性に紐づいているタスクのうち、「ステータスNEW」かつ「非表示設定でない」タスクの数 スキャン時 / タスク更新
対応中タスク 脆弱性に紐づいているタスクのうち、「ステータスINVESTIGATING または ONGOING または DEFER」かつ「非表示設定でない」タスクの数 スキャン時 / タスク更新
対応済タスク 脆弱性に紐づいているタスクのうち、「ステータスNEW または INVESTIGATING または ONGOING または DEFER でない」または「非表示設定である」タスクの数 スキャン時 / タスク更新
全タスク数 脆弱性に紐づくタスクの総数 スキャン時
NWから攻撃可能(RedHat) CVSS基本評価基準の各項目のうち、AV(Attack Vector)がNetworkであるかどうか DB情報変化時
権限なしで攻撃可能(RedHat) CVSS基本評価基準の各項目のうち、Au(Access Complexity)か、PR(Privileges Required)が不要であるかどうか DB情報変化時
OWASP TOP10か OWASP TOP10に該当する脆弱性かどうか DB情報変化時
CVE ID 検知された脆弱性の識別子 スキャン時
アドバイザリ名 CVE IDに紐づいているアドバイザリ名が表示される DB情報変化時
EPSS Score 今後30日間でその脆弱性が悪用される確率を表す。値が大きいほど悪用される確率が高く、脅威のある脆弱性となる(EPSSについて DB情報変化時
EPSS Percentile EPSS Scoreが対象のそれより低い脆弱性の割合を表す。値が大きいほどこの脆弱性が上位の脅威度を持つことを意味する(EPSSについて DB情報変化時
Cloud Oneステータス CloudOne連携のステータス スキャン時
緩和策/回避策 Red Hat,Microsoftのデータソースに緩和策、回避策があるかどうか DB情報変化時
外部スキャン 外部に露出している脆弱性があるかどうか 外部スキャン結果追加、更新
対応期限(スペシャル警戒タグ) スペシャル警戒タグの対応期限での設定が表示される スキャン時
最新検知日時 該当グループ内でそのCVEが検知された最新の日時 スキャン時
ベクター・スコア更新日時 CVSSベクターかスコアが更新された日時、またはその脆弱性が初めて検知された日時 スキャン時
トピックカウント 脆弱性に登録されているトピックの数 トピック更新
トピック最新更新日時 そのCVEに対するトピックが登録・更新された最新の日時 トピック更新
優先度更新日時 脆弱性優先度が最後に更新された日時 スキャン時 / 脆弱性優先度更新時
初回検知日時 該当グループ内でそのCVEが初めて検知された日時 スキャン時

CVE ID#

FutureVuls では、原則として検知された脆弱性の CVE ID を表示しています。しかしながら、脆弱性の中には CVE ID が採番されていない脆弱性もあります。例えば、CVE ID が採番される前の段階のものや、各ベンダやセキュリティ機関が独自に管理・公開しているものの中には、 CVE ID が採番されていないものも存在します。

FutureVuls は、より網羅的かつ迅速な脆弱性管理を実現するため、主要な脆弱性データベースに加え、各ベンダやソフトウェア開発コミュニティなどが公開する多様なセキュリティアドバイザリ情報を収集しています。その過程で、CVE ID がまだ割り当てられていない脆弱性や、CVE の採番対象外である脆弱性を検知した場合、それぞれの情報ソースが発行している独自のアドバイザリ ID や管理番号を「CVE ID」の欄に表示する仕様となっています。

CVE ID に表示される識別子の例#

CVE-○○○○-○○○○ の形式以外に、CVE ID カラムに表示される識別子の例を以下に示します。

  • ADV[数字]: Microsoft 社が発行するセキュリティアドバイザリ番号です。複数の CVE ID を包括するような場合や、特定のパッチに限定されない広範なセキュリティ上の脅威に対する注意喚起などを行う際に発行されます。各アドバイザリ情報については、 「MSRC が提供しているアドバイザリ情報ページ」よりご確認ください。
  • GHSA-xxxx-xxxx-xxxx: GitHub Security Advisory (GHSA) の ID です。GHSA について、詳しくは「GitHub のドキュメント」をご確認ください。
  • pyup.io-[数字]: Python の依存関係ライブラリの脆弱性を検知するサービスによって、各脆弱性に付与される ID です。また、Python の他にも、各依存ライブラリの CVE が採番されていない脆弱性に対し、独自の脆弱性データベースに基づく脆弱性識別子が割り当てられることがあります。
  • TEMP-[英数字]: 主に(Red Hat 社や Debian コミュニティなど) などが、CVE ID が発行されていない脆弱性に対して使用する、一時的な識別子です。

サブタブ#

脆弱性一覧では、関連するタスクのステータスごとに表示を切り替えるタブが用意されています。

image.png

カテゴリ 説明
SSVC高優先度 関連するタスクのSSVC最高優先度が Immediate または OutOfCycle である脆弱性(グループセット(CSIRTプラン)にのみ表示)
重要な未対応 未対応なタスクを含む脆弱性のうち、設定した「重要な未対応」の条件に合致するものを表示
その他の未対応 未対応なタスクを含む脆弱性のうち、「重要な未対応」の条件に合致しなかったものを表示
対応中 すべての関連するタスクのステータスが ONGOING または INVESTIGATING である脆弱性
保留中 すべての関連するタスクのステータスが DEFER である脆弱性
対応済み ・すべての関連するタスクが 非表示 に設定された脆弱性
・すべての関連するタスクのステータスが WORKAROUND, NOT_AFFECTED, RISK_ACCEPTED, PATCH_APPLIED である脆弱性
すべて 検知されたすべての脆弱性を表示

関連するタスクを非表示#

チェックボックスで選択した脆弱性に関連するすべてのサーバのタスクを、一括で非表示にできます。

image.png

関連するタスクを更新#

チェックボックスで選択した脆弱性に関連するすべてのサーバのタスクを、一括で更新できます。

image.png