脆弱性詳細#
第一ペインの脆弱性一覧の項目をクリックすると、第二ペインの脆弱性詳細が表示されます。
詳細タブ#
詳細タブでは脆弱性の詳細を確認できます。
脆弱性詳細では、以下の項目が表示されます。
| 項目 | 詳細 |
|---|---|
| サマリ | NVD,JVN,Redhat,Microsoftなどの脆弱性DBの説明と、スコアを表示 |
| CVSS | NVD, OVAL等の脆弱性DBのベクターを分解したCVSS(v2,v3)の基本評価基準を詳細に表示 |
| 脆弱性優先度 | 脆弱性優先度を個別手動設定できる ただし、スペシャル警戒タグにより設定されたものは、上書きできない |
| EPSS | EPSSのスコア・パーセンタイル、および「CVEdetails」へのリンクを表示 |
| 警戒情報 | CISA KEV、VulnCheck KEV、JPCERT/CC-Alerts、CISA の警戒情報が見つかった場合、リンクを表示 |
| 攻撃コード | 攻撃コードが見つかった場合、リンクと説明を表示 |
| CWE | 脆弱性に関するCWEを表示 |
| ディストリビューションサポートページ | 各ディストリビューションが出している、公式の脆弱性情報ページを表示 |
| 一次情報 | 各ベンダーのサポートページURLを表示 |
| Reference | 脆弱性に関するリファレンスを表示 |
CVSSスコアの再計算#
CVSSの下にある「CVSSスコアの再計算」をクリックすると再計算用のページが開きます。 現状値を評価したスコアと、現状値と環境値を評価したスコアが表示されます。
また、攻撃コードが公開されている脆弱性の場合は、「現状評価基準」>攻撃される可能性に赤枠でヒントが表示されます。
EPSS#
EPSSはスコア(Score)とパーセンタイル(Percentile)により構成されます。 それぞれの値の意味は以下の通りです。
| 項目 | 詳細 |
|---|---|
| スコア | 今後30日間でその脆弱性が悪用される確率を表します。値が大きいほど悪用される確率が高く、脅威のある脆弱性となります。 |
| パーセンタイル | EPSSスコアが対象のそれより低い脆弱性の割合を表します。値が大きいほどこの脆弱性が上位の脅威度を持つことを意味します。 |
EPSSの基本的な概念やデータ分布に関する情報については、「用語解説」をご参照ください。
EPSSの扱い
EPSS はあくまで脆弱性の脅威度を定量的に示す指標であり、脆弱性によるリスクを表しているわけではありません。 (これは CVSS BaseScore が脆弱性の深刻度を表すだけで、実際のリスクは表していないことと同様です。)
EPSSスコアが高くても、影響が深刻でない、または自組織には悪影響がない、といったことがありえます。
トピック#
FutureVulsでは、各脆弱性にトピックを作成して、グループ内、オーガニゼーション内で調査結果やコメントの共有ができます。
詳細については「トピックによる情報共有・注意喚起」をご覧ください。
タスク×サーバ#
選択した脆弱性に関連するタスクとサーバが表示されます。
未対応 または 対応中 のタスクのみ表示され、対応済みや非表示にしたタスクは表示されません。
脆弱なソフトウェア#
脆弱性に紐づくソフトウェアに対して、そのソフトウェアがインストールされたサーバの一覧を表示します。 一覧の詳細については「ソフトウェア一覧」をご覧ください。