FutureVuls > マニュアル > 脆弱性

脆弱性

脆弱性タブについて

脆弱性タブではグループ内で検知した脆弱性の一覧が表示されます。対応判断（トリアージ）にてよく参照する項目を抽出し表形式で表示し、ソートやフィルタ機能を用いて高リスクな脆弱性をタスク登録したり、低リスクな脆弱性を非表示にしたりできます。画面上で複数選択し、選択したタスクを一括で更新できるような画面構成のため、効率的にトリアージ作業が行えます。

脆弱性は手動での登録はできません。 サーバをスキャンして検知された脆弱性のみがFutureVulsで表示されます。

脆弱性一覧

脆弱性一覧では、検知された脆弱性を一覧でみることができます。

一覧の列の順番と、列の表示・非表示設定はカスタマイズできます。

項目	詳細	更新のタイミング
CVE ID	検知された脆弱性のCVE ID。	スキャン時
深刻度	脆弱性の深刻度。CVSS v3の値を元に、 `Critical` `High` `Low` `None` で表示。	DB情報変化時
サマリ	脆弱性のサマリ。言語設定が `ja` の場合は、JVNのサマリが優先的に表示される。	DB情報変化時
CVSS v2	CVSSv2のスコアの中で最大のもの。	DB情報変化時
CVSS v3	CVSSv3のスコアの中で最大のもの。	DB情報変化時
NVD	NVD v3のスコアが表示される。	DB情報変化時
JVN	JVN v3のスコアが表示される。	DB情報変化時
Red Hat	Red Hat v3のスコアが表示される。	DB情報変化時
Microsoft	Microsoft v3のスコアが表示される。	DB情報変化時
アドバイザリID	CVE IDに紐づいているアドバイザリIDが表示される。 (Windowsの場合はKBID)	DB情報変化時
NWから攻撃可能	CVSSメトリックのうち、AV(Attack Vector)がNetworkであるかどうか。	DB情報変化時
権限なしで攻撃可能	CVSSメトリックのうち、Au(Access Complexity)か、PR(Privileges Required)が不要であるかどうか。	DB情報変化時
攻撃コードあり	攻撃コードやPoCが公開されているかどうか。	DB情報変化時
Danger	脆弱性にDangerフラグが設定されているか表示。	Dangerフラグ更新時
プロセス実行中	関連するプロセスがサーバ上で起動中、ポートを開いてListenしているかどうか。	スキャン時
緩和策/回避策	Red Hat,Microsoftのデータソースに緩和策、回避策があるかどうか。	DB情報変化時
警戒情報	CISA-KEV、JPCERT/CC-Alerts、US-CERT-Alertsから警戒情報が公開されているかどうか。 CISA-KEVに該当する：`警戒情報あり（致命的）` JPCERT/CC-Alerts、US-CERT-Alertsに警戒情報がある：`警戒情報あり（注意）`	DB情報変化時
パッチ提供	パッケージのパッチがすべて提供されているかどうか。すべてのパッケージにパッチが提供済み：〇、いくつかのパッケージのみパッチ提供済み：△、パッチ提供がない：✖	DB情報変化時
OWASP TOP10か	OWASP TOP10に該当する脆弱性かどうか。	DB情報変化時
全タスク数	脆弱性に紐づくタスクの総数。	スキャン時
未対応タスク数	脆弱性に紐づいているタスクのうち、スタータスが「NEW」かつ、非表示設定がないものの数。	スキャン時、タスク更新時
対応中タスク数	脆弱性に紐づいているタスクのうち、スタータスが「INVESTIGATING」「ONGOING」かつ、非表示設定がないものの数。	スキャン時、タスク更新時
対応済タスク数	脆弱性に紐づいているタスクのうち、スタータスが「NEW」「INVESTIGATING」「ONGOING」でないもの、もしくは非表示設定のものの数。	スキャン時、タスク更新時
CloudOneステータス	CloudOne連携のステータス。	スキャン時
警戒タグ	脆弱性に登録されているスペシャル警戒タグ。	警戒タグ更新時
トピックカウント	脆弱性に登録されているトピックの数。	トピック更新時
初回検知日時	該当グループ内でそのCVEが初めて検知された日時。	スキャン時
最新検知日時	該当グループ内でそのCVEが検知された最新の日付。	スキャン時
ベクター・スコア更新日時	CVSSベクターかスコアが更新された日時、またはその脆弱性が初めて検知された日時。	スキャン時
トピック最新更新日時	そのCVEに対するトピックが登録・更新された最新の日次。	トピック更新時

サブタブ

脆弱性一覧では、関連するタスクのステータスごとに表示を切り替えるタブが用意されています。

重要な未対応
- 未対応なタスクを含む脆弱性のうち、設定した「重要な未対応」の条件に合致するものを表示
その他の未対応
- 未対応なタスクを含む脆弱性のうち、「重要な未対応」の条件に合致しなかったものを表示
対応中
- すべての関連するタスクのステータスが ONGOING または INVESTIGATING である脆弱性
対応済み
- すべての関連するタスクが 非表示 に設定された脆弱性
- すべての関連するタスクのステータスが WORKAROUND ・ NOT_AFFECTED ・ RISK_ACCEPTED ・PATCH_APPLIED である脆弱性
すべて
- 検知されたすべての脆弱性を表示

指定した脆弱性に関連するタスクを非表示

複数の脆弱性を選択して、その脆弱性に関連するすべてのサーバのタスクを非表示にできます。

指定した脆弱性に関連するタスクを更新

複数の脆弱性を選択して、その脆弱性に関連するすべてのサーバのタスクを更新できます。

「重要な未対応」の条件

リスクが高いと判断する脆弱性の条件を事前に設定し、条件に該当する脆弱性が新たに検知された際に、「重要な未対応」タブに振り分けることで優先的に対応できるようになります。

「重要な未対応」タブに振り分けられる条件はグループ管理者のみ変更できます。
グループ設定の「重要フィルタ」で変更を行えます。

「重要な未対応」の条件確認ボタンから設定されている条件を確認できます。

重要フィルタ項目

CVSSスコア

or条件で判断されます。
Red HatとMicrosoftはCVSS v2, v3の大きいほうのスコアを採用します。

CVSS Base Metrics

and条件で判断されます。
各データソースのCVSSv3のメトリクスの内、１つでも該当すれば採用されます。例えば、ネットワークから攻撃可能かのAVが以下であれば、AV:Nとして判断します。

公開されている警戒情報の深刻度

脆弱性の警戒情報によって「重要な未対応」タブに振り分けるかを選択します。
選択肢は以下の3つです。
- CISA-KEVから警戒情報が出ている脆弱性のみ「重要な未対応」タブに振り分ける
- CISA-KEV, JPCERT/CC-Alerts, US-CERT-Alertsから警戒情報が出ている脆弱性のみ「重要な未対応」タブに振り分ける
- 未設定（警戒情報の有無に関わらず「重要な未対応」タブに振り分ける）

検出方法の信頼度が低い脆弱性

検出方法の信頼性が低い脆弱性を「重要な未対応」タブに振り分けるかを選択します。

また、Danger指定されている脆弱性は強制的に「重要な未対応」となります。

脆弱性第2ペイン

脆弱性一覧の項目をクリックすると、第2ペインが現れます。

詳細タブ

詳細タブでは脆弱性の詳細を確認できます。

脆弱性詳細では、以下の項目が表示されます。

項目	詳細
サマリ	NVD,JVN,Redhat,Microsoftなどの脆弱性DBの説明と、スコアを表示
CVSS	各脆弱性DBのベクターを分解したCVSS(v2,v3)のメトリクスを詳細に表示
攻撃コード	攻撃コードが見つかった場合、リンクと説明を表示
警戒情報	CISA-KEV、JPCERT/CC-Alerts、US-CERT-Alertsの警戒情報が見つかった場合、リンクを表示
CWE	脆弱性に関するCWEを表示
ディストリビューションサポートページ	各ディストリビューションが出している、公式の脆弱性情報ページを表示
Reference	脆弱性に関するリファレンスを表示

CVSSスコアの再計算

CVSSの下にある「CVSSスコアの再計算」をクリックすると再計算用のページが開きます。
現状値を評価したスコアと、現状値と環境値を評価したスコアが表示されます。

また、攻撃コードが公開されている脆弱性の場合は、「現状評価基準」>攻撃される可能性に赤枠でヒントが表示されます。

トピック

FutureVulsでは、各脆弱性にトピックを作成して、グループ内、オーガニゼーション内で調査結果やコメントの共有ができます。

トピックの詳細についてはこちらをご覧ください。

タスク×サーバ

選択した脆弱性に関連するタスクとサーバが表示されます。
未対応 または 対応中 のタスクのみ表示され、対応済みや非表示にしたタスクは表示されません。

ソフトウェア

選択した脆弱性が関連するサーバにインストールされているソフトウェアをすべて表示できます。