信頼度
信頼度とは
信頼度 とは、脆弱性の検知方法の信頼度のことです。
OSS Vuls の Confidence と FutureVuls の信頼度の関係について
FutureVuls では以下のように、 OSS Vuls によって決定される Confidence を元に、信頼度を定義しています。
-
OSS Vuls の処理内で、各検知方法 (
Detection Method) ごとに 1~100 のConfidenceが割り当てられています。- 各
Detection Method/Confidenceについては、OSS Vuls のドキュメント をご確認ください。
- 各
-
脆弱性を検知する際、OSS Vuls は各脆弱性に対し
Detection Methodを付与します。 -
FutureVuls では、付与された
Detection Methodに対応するConfidenceの値に応じて信頼度が決定されます。1 < Confidence <= 10の場合: 「信頼度: 低」10 < Confidence <= 100の場合: 「信頼度: 高」
FutureVuls での信頼度の表示方法
タスクタブの 信頼度 カラムでは、信頼度の高低に応じて以下のように表記されます。
- ✓:「信頼度: 高」
- !:「信頼度: 低」
また、タスク詳細表示には、以下の2点が掲載されます。
- 脆弱性に対し OSS Vuls によって付与された検知方法と、 検知方法に対応する
Confidenceの値 - 誤検知のアラート (信頼度が低いと判定された場合のみ)
信頼度が高い/低いと判定される具体的な検知方法
OSS Vuls のドキュメント を元に、信頼度が低いと判定される検知方法と、高いと判定される検知方法について、それぞれ具体的に記します。
信頼度が低いとされる検知方法
「信頼度が低い」と判定される具体的な検知方法は以下の3つで、いずれも CPE スキャンで用いられる検知方法です。
-
NvdVendorProductMatch- CPEのバージョン情報がない状態で、NVD を元に脆弱性が検知された時の検知方法です。
cpe:/a:microsoft:edgeのように、バージョンを指定せずに登録した CPE に対して脆弱性が検知された場合、NvdVendorProductMatchが検知方法として付与されます。
-
FortinetVendorProductMatch- CPE のバージョン情報がない状態で、Fortinet のデータソースを元に脆弱性が検知された時の検知方法です。
-
JvnVendorProductMatch- CPE の脆弱性が NVD 及び Fortinet のデータソースに存在せず、JVN のみで検知された時の検知方法です。JVNの検知処理はでバージョン情報のレンジ比較が出来ないため、定義されたCPEの
Part,Vendor,Productに該当する全件が検知されます。このため、信頼度が低いと判定されます。
- CPE の脆弱性が NVD 及び Fortinet のデータソースに存在せず、JVN のみで検知された時の検知方法です。JVNの検知処理はでバージョン情報のレンジ比較が出来ないため、定義されたCPEの
信頼度が高いとされる検知方法
-
CPE スキャン以外のスキャン方法の場合
- 「信頼度: 高」と判定されます。
-
CPE スキャンの場合
信頼度が低いとされる検知方法の項に記した検知方法以外の方法が付与された場合、「信頼度: 高」と判定されます。- 「信頼度: 高」となる CPE スキャンの検知方法として、例えば
NvdExactVersionMatchが挙げられます。NvdExactVersionMatchは、CPE がセマンティックバージョニング形式で一致、もしくは完全一致する場合に付与される検知方法です。 cpe:2.3:a:microsoft:edge_chromium:118.0.2088.88:*:*:*:*:*:*:*(該当の NVD ページ) のように、バージョンが指定された CPE に対して脆弱性が検知された場合、NvdExactVersionMatchが付与されます。
信頼度が低い脆弱性への対応方法
信頼度が低い場合、誤検知の可能性が高いです。そのため、誤検知かどうかをご確認いただくことを推奨しています。
信頼度の低いタスクが誤検知かどうかを判断するためには、脆弱性詳細の一次情報やディストリビューションサポートページ、Referenceのリンクなどで詳細を確認してください。
もし影響ないことが確認できた場合は、タスクを非表示にしてステータスを「NOT_AFFECTED」に変更するなどで対応してください。