脆弱性詳細#
第一ペインの脆弱性一覧の項目をクリックすると、第二ペインの脆弱性詳細が表示されます。
詳細タブ#
詳細タブでは脆弱性の詳細を確認できます。
脆弱性詳細では、以下の項目が表示されます。
| 項目 | 詳細 |
|---|---|
| サマリ | NVD,JVN,Redhat,Microsoftなどの脆弱性DBの説明と、スコアを表示 |
| LLM サマリ | LLM(大規模言語モデル)によって生成された脆弱性サマリを表示(2025年7月14日より) 詳細はLLM による脆弱性サマリを参照 |
| CVSS | NVD, OVAL等の脆弱性DBのベクターを分解したCVSS(v2,v3)の基本評価基準を詳細に表示 |
| 脆弱性優先度 | 脆弱性優先度を個別手動設定できる ただし、スペシャル警戒タグにより設定されたものは、上書きできない |
| EPSS | EPSSのスコア・パーセンタイル、および「CVEdetails」へのリンクを表示 |
| 警戒情報 | CISA KEV、VulnCheck KEV、JPCERT/CC-Alerts、CISA-Alerts の警戒情報が見つかった場合、リンクを表示 |
| 攻撃コード | 攻撃コードが見つかった場合、リンクと説明を表示 |
| 緩和策 | 設定変更による脆弱性のリスク軽減策に関するリンクを表示 |
| CWE | 脆弱性に関するCWEを表示 |
| ディストリビューションサポートページ | 各ディストリビューションが出している、公式の脆弱性情報ページを表示 |
| 一次情報 | 各ベンダーのサポートページURLを表示 |
| Reference | 脆弱性に関するリファレンスを表示 |
CVSSスコアの再計算#
CVSS の下にある「CVSSスコアの再計算」をクリックすると再計算用のページが開きます。 現状値を評価したスコアと、現状値と環境値を評価したスコアが表示されます。
また、攻撃コードが公開されている脆弱性の場合は、「現状評価基準」>攻撃される可能性に赤枠でヒントが表示されます。
EPSS#
EPSS はスコア(Score)とパーセンタイル(Percentile)により構成されます。 それぞれの値の意味は以下の通りです。
| 項目 | 詳細 |
|---|---|
| スコア | 今後30日間でその脆弱性が悪用される確率を表します。値が大きいほど悪用される確率が高く、脅威のある脆弱性となります。 |
| パーセンタイル | EPSSスコアが対象のそれより低い脆弱性の割合を表します。値が大きいほどこの脆弱性が上位の脅威度を持つことを意味します。 |
EPSS の基本的な概念やデータ分布に関する情報については、「用語解説」をご参照ください。
EPSS の扱い
EPSS はあくまで脆弱性の 脅威度 を定量的に示す指標であり、脆弱性による リスク を表しているわけではありません。 (これは CVSS BaseScore が脆弱性の深刻度を表すだけで、実際のリスクは表していないことと同様です。)
EPSSスコアが高くても、影響が深刻でない、または自組織には悪影響がない、といったことがありえます。
LLM による脆弱性サマリ#
新機能(2025年7月14日より)
LLM(大規模言語モデル)によって生成されたサマリを表示する機能が追加されました。
脆弱性詳細画面に、LLM によって生成されたサマリが表示されます。生成されるサマリには以下の2種類があります。
1. 脆弱性サマリ#
FutureVuls が収集している以下のようなデータを入力としてサマリを作成します。
- NVD や各ベンダが公開している概要文
- CVSS、CWE、EPSS 等の値
「脆弱性サマリ」は基本的に全ての CVE に対して作成されます。
2. 脅威情報サマリ#
CVE の悪用事例や対処策をサマライズします。
「脅威情報サマリ」は実際に悪用が確認されている CVE に対してのみ作成されます。 具体的には、SSVC Decision Point の 1 つである「Exploitation」が Active となっている CVE が作成対象です。
この機能により、セキュリティ専門家でなくても脆弱性の概要や重要度を理解しやすくなることを期待しております。
LLM サマリは参考情報として提供されます。対応判断は必ず一次情報や公式の脆弱性情報に基づいて行ってください。
サマリの評価機能#
LLM によって生成されたサマリの品質向上のため、ユーザがサマリを評価できる機能を提供しています。
- 各サマリの下部に「Good」「Bad」の評価ボタンが表示されます
- 評価いただいた内容は、今後のサマリ生成品質の向上に活用されます
- 評価は任意であり、スキップもできます
トピック#
FutureVuls では、各脆弱性にトピックを作成して、グループ内、オーガニゼーション内で調査結果やコメントの共有ができます。
詳細については「トピックによる情報共有・注意喚起」をご覧ください。
タスク×サーバ#
選択した脆弱性に関連するタスクとサーバが表示されます。
未対応 または 対応中 のタスクのみ表示され、対応済みや非表示にしたタスクは表示されません。
脆弱なソフトウェア#
脆弱性に紐づくソフトウェアに対して、そのソフトウェアがインストールされたサーバの一覧を表示します。 一覧の詳細については「ソフトウェア一覧」をご覧ください。