脆弱性

脆弱性タブについて

脆弱性タブでは、グループ内で検知された脆弱性の一覧が表示されます。
トリアージ(対応判断)を行う際に参照する重要な項目を抽出し、表形式で表示します。
ソートやフィルタ機能を活用して、高リスクの脆弱性をタスク登録したり、低リスクの脆弱性を非表示にしたりできます。
また、画面上で複数の脆弱性を選択し、一括でタスクを更新することが可能な画面構成とすることで、効率的なトリアージ作業を支援します。

脆弱性一覧

脆弱性一覧では、検知された脆弱性を一覧でみることができます。 image.png

項目 詳細 更新のタイミング
脆弱性優先度 脆弱性の優先度が表示される スキャン時 / 脆弱性優先度更新
警戒情報 CISA KEV、VulnCheck KEV、JPCERT/CC-Alerts、US-CERT-Alertsから警戒情報が公開されているかどうか
ランサムキャンペーンで悪用:ランサムウェアキャンペーンで悪用されている情報が CISA KEV・VulnCheck KEV に登録されている
致命的:上記以外で、CISA KEV・VulnCheck KEVに該当する
注意:JPCERT/CC-Alerts、US-CERT-Alertsに警戒情報がある
DB情報変化時
Immediateな未対応タスク数 脆弱性に紐づいているタスクのうち、「SSVC PriorityがImmediate」かつ「ステータスNEW」かつ「非表示設定でない」タスクの数 スキャン時
Out of Cycleな未対応タスク数 脆弱性に紐づいているタスクのうち、「SSVC PriorityがOut Of Cycle」かつ「ステータスNEW」かつ「非表示設定でない」タスクの数 スキャン時
SSVC最高優先度 脆弱性に紐づいているタスクのSSVC Priorityで優先度がもっとも高いもの スキャン時
Exploit信頼度 KEV情報や、攻撃コード・PoCが公開されているかどうか
High(Active・metasploitあり):SSVC Exploitation が Active または metasploit framework に攻撃コードあり(信頼に足るExploit情報がある)
Low(PoC):SSVC Exploitation が PoC
-:SSVC Exploitation が None
DB情報変化時
サマリ 脆弱性のサマリ
言語設定が ja の場合は、JVNのサマリが優先的に表示される
DB情報変化時
深刻度 脆弱性の深刻度
CVSS v3の値を元に、 Critical High Low None で表示される
DB情報変化時
脆弱性優先度変更元 脆弱性優先度の設定場所 脆弱性優先度更新
Red Hatの深刻度 Red Hatが評価した脆弱性の深刻度を示す指標 DB情報変化時
Ubuntuの深刻度 Canonical(Ubuntuの開発元)が評価した脆弱性の深刻度を示す指標 DB情報変化時
CVSS v3 CVSSv3のスコアの中で最大のものが表示される DB情報変化時
CVSS v2 CVSSv2のスコアの中で最大のものが表示される DB情報変化時
Red Hat Red Hat v3のスコアが表示される DB情報変化時
JVN JVN v3のスコアが表示される DB情報変化時
NVD NVD v3のスコアが表示される DB情報変化時
Microsoft Microsoft v3のスコアが表示される DB情報変化時
パッチ提供 関連する脆弱なソフトウェアに、パッチが提供されているかどうか

:関連するすべてのソフトウェアに、有効なパッチが公開されている
:関連するすべてのソフトウェアに、現時点ではパッチが提供されていない
:関連するソフトウェアのうち、パッチ提供済みと未提供が混在している
:関連するソフトウェアのうち、パッチ提供が不明なものが存在する
-:関連するすべてのソフトウェアにパッチが適用され脆弱性が解決済み
DB情報変化時
プロセス実行中 関連するプロセスがサーバ上で起動中、ポートを開いてListenしているかどうか

一時停止のアイコン:プロセス停止中
再生のアイコン:プロセス実行中、かつListenしているポートがない
電波のアイコン:プロセス実行中、かつListenしているポートがある
スキャン時
担当タスク状況 タスクの主担当者、または副担当者がログインユーザと一致しているかどうか スキャン時 / タスク更新
未対応タスク 脆弱性に紐づいているタスクのうち、「ステータスNEW」かつ「非表示設定でない」タスクの数 スキャン時 / タスク更新
対応中タスク 脆弱性に紐づいているタスクのうち、「ステータスINVESTIGATINGまたはONGOINGまたはDEFER」かつ「非表示設定でない」タスクの数 スキャン時 / タスク更新
対応済タスク 脆弱性に紐づいているタスクのうち、「ステータスNEWまたはINVESTIGATINGまたはONGOINGまたはDEFERでない」または「非表示設定である」タスクの数 スキャン時 / タスク更新
全タスク数 脆弱性に紐づくタスクの総数 スキャン時
NWから攻撃可能(RedHat) CVSS基本評価基準の各項目のうち、AV(Attack Vector)がNetworkであるかどうか DB情報変化時
権限なしで攻撃可能(RedHat) CVSS基本評価基準の各項目のうち、Au(Access Complexity)か、PR(Privileges Required)が不要であるかどうか DB情報変化時
OWASP TOP10か OWASP TOP10に該当する脆弱性かどうか DB情報変化時
CVE ID 検知された脆弱性のCVE ID スキャン時
アドバイザリ名 CVE IDに紐づいているアドバイザリ名が表示される DB情報変化時
EPSS Score 今後30日間でその脆弱性が悪用される確率を表す
値が大きいほど悪用される確率が高く、脅威のある脆弱性となる
DB情報変化時
EPSS Percentile EPSS Scoreが対象のそれより低い脆弱性の割合を表す
値が大きいほどこの脆弱性が上位の脅威度を持つことを意味する
EPSSの概要
DB情報変化時
Cloud Oneステータス CloudOne連携のステータス スキャン時
緩和策/回避策 Red Hat,Microsoftのデータソースに緩和策、回避策があるかどうか DB情報変化時
外部スキャン 外部に露出している脆弱性があるかどうか 外部スキャン結果追加、更新
対応期限(スペシャル警戒タグ) スペシャル警戒タグの対応期限での設定が表示される スキャン時
最新検知日時 該当グループ内でそのCVEが検知された最新の日付 スキャン時
ベクター・スコア更新日時 CVSSベクターかスコアが更新された日時、またはその脆弱性が初めて検知された日時 スキャン時
トピックカウント 脆弱性に登録されているトピックの数 トピック更新
トピック最新更新日時 そのCVEに対するトピックが登録・更新された最新の日時 トピック更新
優先度更新日時 脆弱性優先度が最後に更新された日時 スキャン時 / 脆弱性優先度更新
初回検知日時 該当グループ内でそのCVEが初めて検知された日時 スキャン時

サブタブ

脆弱性一覧では、関連するタスクのステータスごとに表示を切り替えるタブが用意されています。

image.png

  • SSVC高優先度
    • 関連するタスクのSSVC最高優先度が Immediate または OutOfCycle である脆弱性
    • グループセット(CSIRTプラン)にのみ表示
  • 重要な未対応
  • その他の未対応
  • 対応中
    • すべての関連するタスクのステータスが ONGOING または INVESTIGATING である脆弱性
  • 保留中
    • すべての関連するタスクのステータスが DEFER である脆弱性
  • 対応済み
    • すべての関連するタスクが 非表示 に設定された脆弱性
    • すべての関連するタスクのステータスが WORKAROUNDNOT_AFFECTEDRISK_ACCEPTEDPATCH_APPLIED である脆弱性
  • すべて
    • 検知されたすべての脆弱性を表示

脆弱性に関連するタスクを非表示

チェックボックスで選択した脆弱性に関連するすべてのサーバのタスクを、一括で非表示にできます。

image.png

脆弱性に関連するタスクを更新

チェックボックスで選択した脆弱性に関連するすべてのサーバのタスクを、一括で更新できます。

image.png

「重要な未対応」の条件

リスクが高いと判断する脆弱性の条件を事前に設定し、条件に該当する脆弱性が新たに検知された際に、「重要な未対応」タブに振り分けることで優先的に対応できるようになります。 「重要な未対応」の条件確認ボタンから設定されている条件を確認できます。

image.png

重要フィルタ項目

  • CVSS Score
    • or条件で判断されます。
    • Red HatとMicrosoftはCVSS v2, v3の大きいほうのスコアを採用します。
  • CVSS Vector
    • and条件で判断されます。
    • NVD, OVAL等の各データソースのCVSSv3 の内、1つでも該当すれば採用されます。例えば、ネットワークから攻撃可能かのAVが以下であれば、AV:Nとして判断します。
  • 公開されている攻撃コードの信頼度
  • 公開されている警戒情報の深刻度
    • 脆弱性の警戒情報によって「重要な未対応」タブに振り分けるかを選択します。
    • 選択肢は以下の3つです。
      • CISA-KEVから警戒情報が出ている脆弱性のみ「重要な未対応」タブに振り分ける
      • CISA-KEV, JPCERT/CC-Alerts, US-CERT-Alertsから警戒情報が出ている脆弱性のみ「重要な未対応」タブに振り分ける
      • 未設定(警戒情報の有無に関わらず「重要な未対応」タブに振り分ける)
  • 検出方法の信頼度が低い脆弱性
    • 検出方法の信頼性が低い脆弱性は「特にCPEのバージョン情報なしで検出した脆弱性」を評価の対象外にするフィルターです。
    • WindowsRoughMatchは「Windows、特にEdgeで検出された脆弱性のうち、修正するKBや修正ビルドが不明なもの」を評価の対象外にするフィルターです。
  • SSVC Priority
    • or条件で判断されます。
    • SSVC Priorityによって「重要な未対応」タブに振り分けるかを選択します。
  • 脆弱性優先度
    • or条件で判断されます。
    • 脆弱性優先度 によって「重要な未対応」タブに振り分けるかを選択します。

脆弱性第2ペイン

脆弱性一覧の項目をクリックすると、第2ペインが現れます。

image.png

詳細タブ

詳細タブでは脆弱性の詳細を確認できます。

image.png

脆弱性詳細では、以下の項目が表示されます。

項目 詳細
サマリ NVD,JVN,Redhat,Microsoftなどの脆弱性DBの説明と、スコアを表示
CVSS NVD, OVAL等の脆弱性DBのベクターを分解したCVSS(v2,v3)の基本評価基準を詳細に表示
脆弱性優先度 脆弱性優先度を個別手動設定できる
ただし、スペシャル警戒タグにより設定されたものは、上書きできない
EPSS EPSSのスコア・パーセンタイル、および「CVEdetails」へのリンクを表示
警戒情報 CISA KEV、VulnCheck KEV、JPCERT/CC-Alerts、US-CERT-Alertsの警戒情報が見つかった場合、リンクを表示
攻撃コード 攻撃コードが見つかった場合、リンクと説明を表示
CWE 脆弱性に関するCWEを表示
ディストリビューションサポートページ 各ディストリビューションが出している、公式の脆弱性情報ページを表示
一次情報 各ベンダーのサポートページURLを表示
Reference 脆弱性に関するリファレンスを表示

CVSSスコアの再計算

CVSSの下にある「CVSSスコアの再計算」をクリックすると再計算用のページが開きます。
現状値を評価したスコアと、現状値と環境値を評価したスコアが表示されます。

image.png

また、攻撃コードが公開されている脆弱性の場合は、「現状評価基準」>攻撃される可能性に赤枠でヒントが表示されます。

image.png

EPSS

EPSSはスコア(Score)とパーセンタイル(Percentile)により構成されます。 それぞれの値の意味は以下の通りです。

項目 詳細
スコア 今後30日間でその脆弱性が悪用される確率を表します。値が大きいほど悪用される確率が高く、脅威のある脆弱性となります。
パーセンタイル EPSSスコアが対象のそれより低い脆弱性の割合を表します。値が大きいほどこの脆弱性が上位の脅威度を持つことを意味します。

EPSSの基本的な概念やデータ分布に関する情報については、こちらの「ブログ記事」などをご参照ください。

トピック

FutureVulsでは、各脆弱性にトピックを作成して、グループ内、オーガニゼーション内で調査結果やコメントの共有ができます。

詳細については「トピックによる情報共有・注意喚起」をご覧ください。

タスク×サーバ

選択した脆弱性に関連するタスクとサーバが表示されます。
未対応 または 対応中 のタスクのみ表示され、対応済みや非表示にしたタスクは表示されません。

脆弱なソフトウェア

選択した脆弱性が関連するサーバにインストールされているソフトウェアをすべて表示できます。