本付録の利用により、ニーズに合った内蔵レポート・テンプレートの選択が容易になります。また、レポート・テンプレートを構成する個々のセクションまたはデータフィールドについて学ぶことができますので、カスタム・テンプレートの作成に役立ちます。
本付録には以下の情報が記載されています:
カスタム文書テンプレートの作成により、レポートに含める情報を必要に応じて増減できるようになります。例えば、リスクレベル別に分類されたすべてのアセットのみをリストするレポートが必要な場合は、カスタム・レポートが最適なソリューションであるといえます。このテンプレートにはセクションのみが含まれます。または、脆弱性のみをリストするレポートを希望する場合は、当該セクションを持つテンプレートを作成します。
文書レポート・テンプレートの設定の際には、当該テンプレートに含めるセクションを選択します。以下のセクションの各レポート・テンプレートには、各文書レポート・テンプレートで利用可能なすべてのセクションがリストされています。上記には、内蔵レポート・テンプレートに表示されるもの、およびカスタム・テンプレートに含めることが可能なものも含まれています。内蔵テンプレートの中に特定レポートに必要なすべてのセクションが含まれていれば、カスタム・テンプレートを作成することは不要となります。内蔵レポートおよびセクションは以下のとおりです:
アセットレポート形式(ARF)XMLは、SCAP 1.2コンプライアンスのため米国政府宛てにポリシーおよびベンチマーク・スキャン結果を提出するためのデータを整理します。
ビルトインテンプレートの中で最も包括的な範囲を持つのが、監査レポートです。環境内の詳細なセキュリティ状況の確認に利用可能です。
また多数の脆弱性情報も提供します:
また監査レポート・テンプレートには、発見された脆弱性および深刻度レベルについての一般的統計のチャートも含まれています。
*この「深遠な」情報を収集するためには、本アプリケーションはターゲットアセットのログオン認証資格情報(credentials)を持っていなければなりません。認証されていないスキャンに基づく監査レポートには、この情報は含まれていません。またスキャンテンプレート設定内でポリシーテストが有効化されていることが必須です。
監査レポート・テンプレートはPCI監査テンプレートとは異なることに注意してください。PCI監査(レガシー)をご参照ください。
監査レポート・テンプレートには以下のセクションが含まれます:
ベースライン比較を利用して、セキュリティ関連のトレンドを観察できます。または以下の例のように、ベースラインとして使用する以前のスキャン結果と比較してスキャンの結果を評価できます。
トレンド情報には、以下のようなスキャン中に発見された変化が示されています:
トレンド情報は、改善作業の進行度を計る、または経時的な環境の変化を観察するために有用です。トレンドを正確かつ意味のあるものとするために、比較するスキャンが同一条件の下で行われたことを確認します:
ベースライン比較レポート・テンプレートには以下のセクションが含まれます:
概要テンプレートを利用して、高レベルのセキュリティデータのスナップショットを提供可能です。これには、発見された脆弱性およびアセットに関連する一般的要旨および統計データのチャートが含まれます。
概要テンプレートは、PCI概要とは異なることに注意してください。PCI概要(レガシー)をご参照ください。
概要テンプレートには以下のセクションが含まれます:
最も高リスクな脆弱性テンプレートには、リスクレベルに従い、発見された脆弱性のトップ10がリストされます。このテンプレートは、改善の優先度として、セキュリティにとって最大の脅威にターゲットを絞るために有用です。
各脆弱性はリスクおよびCVSSスコア付きでリストされており、重要情報ソースの参照およびリンクも付記されています。
最も高リスクな脆弱性レポート・テンプレートには以下のセクションが含まれます:
本テンプレートでは、指定期間内のスキャンで発見されたアセットを表示できます。アセット目録への変更を追跡するのに役立ちます。レポートには各アセットの一般情報ばかりでなく、リスク・スコアがリストされ、アセットにエクスプロイトやマルウェア・キットに関連する脆弱性があるかどうかが示されます。
これは、PCIにより義務付けられた3つのレポート・テンプレートの1つで、2010年9月1日以降PCIスキャンのためにASVにより使用されています。
コンプライアンスのPCI認証は、全PCIレポート・セットの表紙として機能する単一ページです。
ページの左上のエリアは、顧客の連絡情報を入力するためのフォームとなっています。ASVがスキャンデータの基点であるサイト設定内にスキャン顧客組織情報を追加した場合、その情報が当該フォームに自動投入されます。ユーザーガイドまたはヘルプのサイトに組織情報を含めるをご参照ください。フォームの右上のエリアは、ASVの情報が自動投入されるフィールドを備えたフォームとなっています。
スキャン ステータスセクションには、スキャンの高レベルなスキャン要旨がリストされます。これには、総合的結果が合格/不合格であるかどうか、スキャンで見つかった内容に関する統計の一部、スキャンが完了した日付、およびスキャンの期限日(当該結果が有効でなくなる日付)が含まれています。
本セクションおいてASVは、スキャンの範囲から外れたコンポーネントの数に注意しなければなりません。
2つの別個の文が下部に表示されます。最初の文は、スキャンの範囲が適正であったこと、および当該スキャン結果がPCIデータセキュリティ基準(DSS)の外部脆弱性スキャン要件にのみ適用されることを、顧客に認証してもらうためのものです。これには認証日、および顧客名を記入する指示エリアが含まれています。
2番目の文は、スキャンが適正に行われ、QA試験され、レビューされたことを、ASVに認証してもらうためのものです。以下の自動投入情報が含まれます:
これらのフィールド*の自動投入をサポートするには、oem.xml設定ファイル内に適切な設定を入力・作成しなければなりません。ASVガイド(技術サポートにリクエスト可能)をご参照ください。
監査レポート・テンプレートには以下のセクションが含まれます:
これは、2010年9月1日以降ASVによりPCIスキャンで使用されなくなった2つのレポートのうちの1つです。詳細なスキャン結果、共通脆弱性評価システム(CVSS)ランキングに従って発見された脆弱性の各ランキングが提供されます。
PCI監査テンプレートは監査レポート・テンプレートとは異なることに注意してください。監査レポートをご参照ください。
PCI監査(レガシー)レポート・テンプレートには以下のセクションが含まれます:
これは、2010年9月1日以降ASVによりPCIスキャンで使用されなくなった2つのレポートのうちの1つです。高レベルのスキャン情報が提供されます。
PCI概要は、PCIエクゼクティブサマリーとは異なることに注意してください。PCIエクゼクティブサマリーをご参照ください。
PCI概要(レガシー)レポート・テンプレートには以下のセクションが含まれます:
これは、PCIにより義務付けられた3つのレポート・テンプレートの1つで、2010年9月1日以降PCIスキャンのためにASVにより使用されています。
PCIエクゼクティブサマリーは、スキャン情報セクションで始まります。これには、スキャンが完了した日付およびスキャンの期限が切れる日付が記載されています。本セクションには自動投入されたASV名と、顧客の会社名を記入するエリアが含まれています。ASVがスキャンデータの基点であるサイト設定内にスキャン顧客組織情報を追加した場合、顧客の会社名が自動投入されます。利用を開始する:情報&セキュリティ。
コンポーネントコンプライアンス要旨セクションには、スキャンされたIPアドレスがそれぞれ合格または不合格の結果付きでリストされます。
アセットおよび脆弱性コンプライアンス概要セクションには、セクション統計が一目で分かるチャートが記載されています。
各IPアドレスについて指摘された脆弱性セクションには、PCI深刻度、CVSSスコア、脆弱性がスキャンに合格/不合格したかを含む一連の属性が付記されている発見された脆弱性が、それぞれリストされた表が記載されています。アセットはIPアドレス別に分類されています。ASVが本アプリケーション内で脆弱性を例外としてマークした場合、その例外がここに表示されます。例外、誤検知とラベル付けされたコラム、またはPCIエクゼクティブサマリーレポートの補完コントロールフィールドには、任意の脆弱性を除外した個人のユーザー名が自動投入されます。
最終セクション、特記でASVは、エクスプロイト脆弱性というよりはセキュアでない実装が原因のリスクがもたらされる可能性がある、ソフトウェアの存在を開示しなければなりません。この特記には以下の情報を含めるものとします:
遠隔アクセスソフトウェアまたはディレクトリ参照のインスタンスは自動的に指摘されます。ASVは、POSターミナルおよびロードバランス間の同期欠如に関連する情報を追加しなければなりません。ASVはコンプライアンスの認証を公式にリリースする前に、顧客の宣言または各特記の処置実行の説明を取得・挿入しなければなりません。
PCI概要レポート・テンプレートには以下のセクションが含まれます:
このテンプレートにより、PCIスキャンによりカバーされる各アセットまたはホストについての詳細で分類されたスキャン情報が提供されます。この視点により、スキャンを行った商業者はアセットごとに、すべてのPCI関連の問題を吸収、理解、対処できるようになります。例えば、非PCI準拠アセットは特にそのオペレーティング・システムやそこで実行される特定ネットワーク通信サービスに関連する多数の脆弱性を持つ場合があると指摘することは、有用である場合があります。
PCIホスト詳細レポート・テンプレートには以下のセクションが含まれます:
これは、PCIにより義務付けられた3つのレポート・テンプレートの1つで、2010年9月1日以降PCIスキャンのためにASVにより使用されています。
PCI脆弱性詳細レポートは、スキャン情報セクションで始まります。これには、スキャンが完了した日付およびスキャンの期限が切れる日付が記載されています。本セクションには自動投入されたASV名と、顧客の会社名を記入するエリアが含まれています。
注意: PCI脆弱性詳細レポートは、承認された脆弱性の例外を考慮に入れて、各脆弱性インスタンスのコンプライアンスステータスを決定します。
脆弱性詳細セクションには、影響を受けたIPアドレス、共通脆弱性一覧(CVE)識別子、CVSSスコア、PCI深刻度、および脆弱性がスキャンに合格/不合格したかを含む、各発見された脆弱性に関する統計および説明が記載されています。脆弱性は深刻度レベル別にグループ化されており、グループ内ではCVSSスコアに従い脆弱性がリストされています。
PCI脆弱性詳細レポート・テンプレートには以下のセクションが含まれます:
ポリシー評価には、スキャン中に実行されたポリシー評価の結果が表示されます。
本アプリケーションは、サイト設定における適切なログオン認証資格情報(credentials)と、スキャンテンプレート設定における有効化されたポリシーテストを有していなければなりません。管理者ガイドのスキャン認証資格情報(credentials)を確立するおよびスキャンテンプレートを修正・作成するをご参照ください。
このテンプレートは、監査レポート・テンプレートの情報のサブセットを提供するということに留意してください。
ポリシー評価レポート・テンプレートには以下のセクションが含まれます:
改善プラン・テンプレートは、各発見された脆弱性についての詳細な改善指示を提供します。当該レポートは、影響を受けたターゲットアセットに特定的に適用されるソリューションに加えて、多数のシナリオのソリューションを提供する場合があることに留意してください。
改善プラン・レポート・テンプレートには以下のセクションが含まれます:
レポートカード・テンプレートは、脆弱性が確認されたかどうか、およびその方法を見つけ出すのに有用です。このテンプレートには、Nexposeが各アセット上の各脆弱性について実行した、テストに関する情報がリストされています。考えられるテスト結果は以下の通りです:
レポートから除外されている脆弱性がある場合は、テスト結果は許容可能なリスクといった除外の理由になります。
また、本テンプレートには各脆弱性についての詳細な情報が含まれています。
レポートカード・レポート・テンプレートには以下のセクションが含まれます:
注意: 脆弱性リスク別のトップ10アセットと脆弱性レポート・テンプレート別のトップ10アセットには、カスタム・レポート・テンプレート適用可能な個別のセクションは含まれません。
脆弱性リスク別のトップ10アセットには、リスク・スコアの上位に位置する10のアセットがリストされます。ランキングの情報については、1ページのアクティブな脆弱性を表示するアクティブな脆弱性を表示するをご参照ください。
本レポートは、改善チームに多大なリスクをもたらす環境内のアセットの概要を提供して、改善作業の優先順位付けをするのに有用です。
脆弱性別のトップ10アセット・レポートには、脆弱性を最も多く有する組織内の10のアセットがリストされています。本レポートでは、累積リスクは説明されていません。
本レポートを使用して最も脆弱なサービスを表示し、サービスをオフにしてリスクを削減すべきかどうか判断することが可能です。本レポートはまた、最も脆弱なサービスを持つアセットをリストアップして、改善作業を優先順次付けするのに有用です。
トップの改善策テンプレートでは、最も効果的な改善ソリューションを判定するための高レベルな情報が提供されます。本テンプレートには、解決された脆弱性合計の割合、マルウェア・キットを持つ脆弱性の割合、既知のエクスプロイトを持つ脆弱性の割合、トップ改善ソリューションが適用されたときに影響を受けたアセットの数が含まれています。
トップの改善テンプレートには、以下のエリアの情報が含まれます:
詳細なトップの改善策テンプレートは、改善ソリューションおよび実装ステップを評価するための、拡張された情報を提供します。本テンプレートには、解決された脆弱性合計の割合および改善ソリューションが適用されたときに影響を受けたアセットの数が含まれます。
詳細なトップの改善策には、以下のエリアの情報を持つトップの改善策テンプレートからの情報が含まれます:
脆弱性トレンド・テンプレートは、環境内の脆弱性がどのように変化したか、改善作業が成功したか、アセットが経時的に変化したか、アセット・グループがその他のアセット・グループと比較されたときにどのように影響を受けたか、およびアセットスキャンプロセスがどれだけ効果的であるかについての情報を、提供します。レポートの可読性およびサイズを管理するには、日付範囲を設定するときに、データポイント・チャート上に含めることが可能なデータポイントを15までに制限します。例えば、データ範囲を2カ月間週に1度の間隔として設定した場合、レポートには8つのデータポイントが生じます。レポートの時間範囲を設定して、セキュリティ状況が改善されているかどうか、およびどの点を改善可能であるかを確認できます。
注意: 本レポート・テンプレートは大量のデータを集約しますので、必ず実行に適した時間にスケジュールを組んでください。各データポイントは、完全なレポートと同等です。完了まで長時間かかる場合があります。
脆弱性トレンド・テンプレートは、以下のエリアのチャートおよび詳細を提供します:
脆弱性トレンド・テンプレートは、スキャンに含まれるアセットの数、およびその中で除外されたものがあるか、例外とされた、または期限が切れた脆弱性があるか、および本アプリケーションに追加された新規脆弱性の定義についての情報を提供して、改善作業を向上させるために役立ちます。脆弱性トレンド調査テンプレートは、セキュリティ状況および改善作業がもたらすより深遠な分析に関する情報を提供するという点で、ベースラインレポートの脆弱性トレンド・セクションとは異なります。
以下の文書レポート・セクションの一部には、脆弱性フィルターが適用されている場合があります。これは、特定の脆弱性をレポート範囲設定を基にして、これらのセクション内に含める/から除外することが可能であることを意味します。レポートが生成されると、フィルターされた脆弱性を持つセクションがそのように識別されます。これらのセクションを含まない文書レポート・テンプレートは、フィルターされた脆弱性データを含みません。文書レポート・セクションは以下にリストされています:
ペイメントカード業界(PCI)コンポーネントコンプライアンス要旨
各IPアドレスについて指摘されたペイメントカード業界(PCI)脆弱性
本セクションには、コンプライアンス統計が一目で分かるチャートが含まれています。
本セクションは、ベースライン・レポート・テンプレートを選択すると表示されます。以下の変化を列記する、一番最近のスキャンとベースラインとの間のデータの比較が提供されます:
また本セクションでは、2つのスキャン間でデータの変化がなぜ起こり得るのかについての示唆が提供されます。例えば新規に発見された脆弱性は、ベースラインスキャン後に行われた脆弱なソフトウェアのインストールに起因する場合があります。
本セクションは、生成されたレポート内にトレンド分析のヘッダ付きで表示されます。
表紙には、サイトの名前、スキャンの日付、およびレポートが生成された日付が含まれます。その他の表示オプションには、カスタムタイトルおよび会社ロゴが含まれます。
本セクションには、ネットワーク上のデータベースサーバーのスキャンを通じて発見されたすべてのデータベースがリストされています。
本セクションに表示される情報については、レポートの基となるスキャンが以下の条件を満たしていなければなりません:
本セクションには、スキャンされたアセット上で発見されたファイルおよびディレクトリがリストされます。
本セクションに表示される情報については、レポートの基となるスキャンが以下の条件を満たしていなければなりません:
これらの設定の情報については、スキャン認証資格情報(credentials)を設定をご参照ください。
本セクションには、ネットワーク上で実行中のすべてのサービス、各サービスを実行しているアセットのIPアドレス、および各アセット上で発見された脆弱性の数がリストされています。
脆弱性フィルターを適用可能です。
本セクションには、スキャンされたアセットのIPアドレス、エイリアス名、オペレーティング・システム、およびリスク・スコアがリストされています。
本セクションは、スキャン中に各ノード上で発見されたすべてのユーザーおよびグループについての情報を提供します。
注意: 生成されたレポートに、発見された脆弱性セクションが発見された脆弱性および潜在的な脆弱性のヘッダ付きで表示されます。
本セクションには、スキャン中に発見されたすべての脆弱性がリストされており、影響を受けたアセットおよびポートが特定されています。また、利用可能なCVE識別子を持つ各脆弱性の共通脆弱性識別子(CVE)がリストされています。各脆弱性は深刻度別に分類されています。
レポート・テンプレートの中技術詳細レベルを選択した場合、本アプリケーションにより各脆弱性の基本的な説明と関連参照文献のリストが提供されます。技術詳細の高レベルを選択した場合、脆弱性をどのように見つけたかについての注釈および改善オプションが説明に追加されます。本セクションを利用して、脆弱性を理解し修正するために役立ててください。
本セクションは、潜在的な脆弱性と確認済みの脆弱性を区別しません。
脆弱性フィルターを適用可能です。
本セクションは、ネットワーク脆弱性の数およびタイプを含む、スキャンデータの統計および高レベルの要約を提供します。
本セクションには最も高いリスク脆弱性がリストされており、それらのカテゴリ、リスク・スコア、共通脆弱性評価システム(CVSS)バージョン2スコアが含まれています。また本セクションは、各脆弱性についてより多くの情報を入手するための参照先を提供します。
本セクションには、各発見された脆弱性についての以下の情報が含まれています:
本セクションは、生成されたレポート内に脆弱性の詳細のヘッダ付きで表示されます。
脆弱性フィルターを適用可能です。
本セクションには、スキャンされたIPアドレスがそれぞれ合格または不合格の結果付きでリストされます。
本セクションには、一連のアセットが全体としてPCIセキュリティ規格の準拠に合格/不合格したかについての文が含まれています。またスキャンされたアセットがリストされており、そのアセットが当該規格に合格/不合格したかが示されています。
本セクションには、ホスト・オペレーティング・システム、名前、PCIコンプライアンス・ステータス、およびPCIスキャン向けにカスタマイズされた細密な脆弱性情報を含む、各スキャンされたアセットについての情報がリストされています。
本セクションには、スキャン顧客および認定済みのスキャンベンダー(ASV)のための名前フィールドが含まれています。顧客の名前は手動で入力しなければなりません。名前フィールドに自動投入されるようASVがoem.xmlファイルを設定済みである場合、ASVの名前が含まれるようになります。設定を行っていない場合、ASVの名前も手動で入力してください。詳細については、ASVガイドをご参照ください(技術サポートにリクエスト可能)。
また本セクションにはスキャンが完了した日付と、PCIの見解によりスキャン結果が有効である最後の日付であるスキャン有効期限日が含まれています。
本セクションには、スキャンされたアセットの範囲がリストされています。
注意: 遠隔アクセスソフトウェアまたはディレクトリ参照のインスタンスは自動的に指摘されます。
このPCIレポート・セクションには、エクスプロイト脆弱性というよりはセキュアでない実装が原因のリスクがもたらされる可能性がある、スキャンされたソフトウェアに関する注記をASVが手動で入力します。この特記には以下の情報を含めるものとします:
本セクションには、PCI深刻度、CVSSスコア、脆弱性がスキャンに合格/不合格したかを含む一連の属性が付記されている発見された脆弱性が、それぞれリストされた表が記載されています。アセットはIPアドレス別に分類されています。ASVが脆弱性を例外としてマークした場合、その例外がここに表示されます。例外、誤検知とラベル付けされたコラム、またはPCIエクゼクティブサマリーレポートの補完コントロールフィールドには、任意の脆弱性を除外した個人のユーザー名が自動投入されます。
注意: PCI脆弱性詳細レポートは、承認された脆弱性の例外を考慮に入れて、各脆弱性インスタンスのコンプライアンスステータスを決定します。
本セクションには、PCI監査レポートに含まれる各脆弱性についての深遠な情報が含まれています。脆弱性の深刻度レベルおよびその共通脆弱性評価システム(CVSS)バージョン2評価に従い、脆弱性を定量化します。
後者の数値は、脆弱性が疑われるアセットがPCIセキュリティ規格に準拠しているかどうか、CVSS v2評価基準に従い判定するために使用されます。可能なスコアの範囲は、1.0~10.0です。4.0以上のスコアは非準拠であることを示します(一部例外あり)。CVSSスコアのさらなる情報については、FIRSTウェブサイト(http://www.first.org/cvss/cvss-guide.html)をご参照ください。
本セクションには、クライアント・アプリケーションやサーバーシアド・ソフトウェアのタイプといったカテゴリ別に、脆弱性がリストされています。
本セクションには、スキャンシステム上でMicrosoftセキュリティテンプレートが実施されているかどうかといった、ポリシー評価の結果がリストされています。セクションコンテンツには、システム設定、レジストリ設定、レジストリACL、ファイルACL、グループメンバーシップ、アカウント権限などがあります。
本セクションはすべての脆弱性についての情報を統合し、改善の計画を提供します。パッチやフィックスについての情報が、脆弱性のデータベースから改善プランセクションへとフィードされます。されには、それらをダウンロードできるウェブリンクも含まれます。各改善策にかかる推定時間が、データベースにより提供されます。本セクションを使用して、フィックス、パッチ、ワークアラウンド、その他の改善策を検索できます。
脆弱性フィルターを適用可能です。
本セクションには、各ノード(アセット)がリスク・インデックス・スコア別にランクされており、アセットがネットワークセキュリティにもたらすリスクが示されています。アセットの確認された/されていない脆弱性は、そのリスク・スコアに影響を与えます。
本セクションを利用して、要旨のレポート内にリスク傾向を図示するグラフを作成可能です。当該レポートに、リスクの高いサイト、アセット・グループ、アセットの上位5つを含めることができます。または、レポート範囲内のすべてのアセットを含めることができます。
本セクションには、スキャンされたアセットのリストが含まれています。IPアドレスが連続している場合、コンソールには範囲のリストが表示されます。
本セクションには、レポートのコンテンツがリストされています。
本セクションは、ベースライン・レポート・テンプレートを選択すると表示されます。スキャン内で発見された脆弱性を、ベースラインスキャン内で発見された脆弱性に対して比較します。本セクションを利用して、脆弱性削減とネットワークセキュリティ改善の進行度を計ることができます。
本セクションはPCI監査レポートに表示され、各脆弱性がPCIコンプライアンス基準を満たす上で合格/不合格であるかどうかがリストされます。また本セクションには、改善情報が含まれています。
脆弱性詳細セクションには、影響を受けたIPアドレス、共通脆弱性一覧(CVE)識別子、CVSSスコア、PCI深刻度、および脆弱性がスキャンに合格/不合格したかを含む、各発見された脆弱性に関する統計および説明が記載されています。脆弱性は深刻度レベル別にグループ化されており、グループ内ではCVSSスコアに従い脆弱性がリストされています。
本テンプレートを利用して、指定の期間内に適用された、またはリクエストされたすべての脆弱性の例外を表示できます。レポートには、関与した当事者、ステータス、例外の理由を含む、各例外または例外リクエストに関する情報が記載されます。この情報は組織の脆弱性管理慣行の検証に役立ちます。
本セクションには、レポートから除外された各脆弱性および各除外の理由がリストされています。特定の脆弱性を、改善の対象である脆弱性といった他のものと一緒に閲覧することはないかもしれませんが、除外した脆弱性を除外済みであることを示す目的でのみリストするよう、ビジネスポリシーにより定められている場合があります。典型的な例は、PCI監査レポートです。特定の深刻度レベルの脆弱性は、監査不合格に繋がる場合があります。これらは特定の理由で除外される場合がありますが、その除外を指摘しなければなりません。
除外された脆弱性と無効化された脆弱性チェックを混同しないでください。除外された脆弱性は本アプリケーションにより発見されており、すなわちチェックが有効化されていたことを意味します。
脆弱性フィルターを適用可能です。
本セクションには、ネットワーク内の各ノード(アセット)の脆弱性テストの結果がリストされています。本セクションを利用して、各アセットの脆弱性を評価できます。
脆弱性フィルターを適用可能です。
本セクションにはすべてのテストされた脆弱性がリストされており、本アプリケーションが脆弱性の確認を試行した場合にネットワーク内の各ノード(アセット)がどのように応答したかが示されています。本セクションを、ネットワークが各脆弱性に対して感染しやすいかに関する概要として利用してください。
脆弱性フィルターを適用可能です。
本セクションには、予期せぬ障害により確認が行われなかった脆弱性が表示されます。本セクションを利用して、システムエラーを予測・防止できます。また、スキャンパラメータが適切に設定されていることを確認できます。
脆弱性フィルターを適用可能です。
カスタム・エクスポート・テンプレートを作成する場合、脆弱性データ属性の全セットから選択可能です。以下の表には、含めることが可能な各属性の名前および説明がリストされています。
| 属性名 | 説明 |
|---|---|
| Asset Alternate IPv4 Addresses | スキャンされたアセットの代替IPv4アドレス一式です。 |
| Asset Alternate IPv6 Addresses | スキャンされたアセットの代替IPv6アドレス一式です。 |
| Asset IP Address | スキャンされたアセットのIPアドレスです。 |
| Asset MAC Addresses | スキャンされたアセットのMACアドレスです。マルチホームのアセットの場合、複数のMACアドレスはカンマで区切られます。例:00:50:56:39:06:F5, 00:50:56:39:06:F6 |
| Asset Names | スキャンされたアセットのホスト名です。アセット・ページでは、アセットの名前はエイリアスと呼ばれる場合があります。 |
| Asset OS Family | スキャンされたアセットのフィンガープリント済みオペレーティングシステムのファミリーです。最高の確信度フィンガープリントを持つファミリーのみがリストされます。例:Linux、Windows |
| Asset OS Name | スキャンされたアセットのフィンガープリント済みオペレーティングシステムです。最高の確信度フィンガープリントを持つオペレーティング・システムのみがリストされます。 |
| Asset OS Version | スキャンされたアセットのオペレーティングシステムのフィンガープリント済みバージョン番号です。最高の確信度フィンガープリントを持つバージョンのみがリストされます。 |
| Asset Risk Score | 脆弱性試験実行時にスキャンされたアセットの全般的なリスクスコアです。これは、脆弱性に関連する特定のリスク・スコアである脆弱性リスク・スコアとは異なる、という点に留意してください。 |
| Exploit Count | 脆弱性に関連するエクスプロイトの数です。 |
| Exploit Minimum Skill | 脆弱性をエクスプロイトするのに必要な最低スキルレベルです。 |
| Exploit URLs | MetasploitまたはExploit Databaseで公開されているすべてのエクスプロイトのURLです。 |
| Malware Kit Names | 脆弱性に関連するマルウェアキットの名前です。複数のキットはカンマで区切られます。 |
| Malware Kit Count | 脆弱性に関連するマルウェアキットの数です。 |
| Scan ID | サイトのスキャン履歴に表示されている通り脆弱性試験が行われた時のスキャンのIDです。当該アセットがスキャンされた最後のスキャンです。同一サイト内の異なるアセットは、個別のサイトスキャンの時点で(サイトスキャンとは対照的に)異なるスキャンIDを示す場合があります。 |
| スキャンテンプレート | スキャンされたアセットのサイトに現在適用されているスキャンテンプレートの名前です。これは、脆弱性が発見されたスキャンに使用されたテンプレートである/ではない場合があります。なぜなら、スキャンが最後に実行されてからユーザーによりテンプレートが変更されている可能性があるからです。 |
| Service Name | 脆弱性試験が実施されたポートのフィンガープリント済みサービスタイプです。 例:HTTP、CIFS、SSHオペレーティング・システム・チェックの場合、サービス名はシステムとリストされます。 |
| サービスポート | 脆弱性が見つかったポートです。例えば、HTTP関連のすべての脆弱性は、ウェブサーバーが見つかったポートにマッピングされます。オペレーティング・システム・チェックの場合、ポート番号は0です。 |
| Service Product | これは、脆弱性が見つかったポート上でスキャンされたサービスを実行していた、フィンガープリント製品です。オペレーティング・システム・チェックの場合、このコラムは空白になります。 |
| Service Protocol | スキャンされたポートのネットワークプロトコルです。例:TCP、UDP |
| サイトの重要性 | CSVエクスポート時のサイト設定によるサイトの重要性です。情報&セキュリティサイトを作成・編集する。 |
| サイト名 | スキャンされたアセットが属しているサイトの名前です。 |
| Vulnerability Additional URLs | 脆弱性の参照URLとして引用されたものに加えて、脆弱性についての情報を提供するURLがあります。これらは脆弱性の詳細ページの参照表に、URLとラベル付けされて表示されます。複数のURLはカンマで区切られます。 |
| Vulnerability Age | スキャンされたアセットで脆弱性が最初に発見されてから経った日数です。 |
| Vulnerability CVE IDs | 脆弱性に関連する共通脆弱性識別子(CVE)IDです。脆弱性に複数のCVE IDがある場合、一番最近の10のIDがリストされます。複数の値については、各値がカンマおよびスペースで区切られます。 |
| Vulnerability CVE URLs | 米国標準技術局(NIST)データベース米国脆弱性情報データベース(NVD)におけるCVEのエントリのURLです。複数の値については、各値がカンマおよびスペースで区切られます。 |
| Vulnerability CVSS Score | CVSS 2.0仕様書による脆弱性の共通脆弱性評価システム(CVSS)スコアです。 |
| Vulnerability CVSS Vector | CVSS 2.0仕様書による脆弱性の共通脆弱性評価システム(CVSS)ベクトルです。 |
| Vulnerability Description | 脆弱性詳細ページに表示されている脆弱性についての有益な情報です。説明には相当量のテキストが含まれる場合があります。読みやすくするため、スプレッドシート・プログラムのコラムを拡張する必要があるかもしれません。この値には改行が含まれ、二重引用符で表示される場合があります。 |
| Vulnerability ID | Nexposeにより割り当てられた脆弱性の固有識別子です。 |
| Vulnerability PCI Compliance Status | アセットが脆弱性であると認められた場合のPCIステータスです。アセットが脆弱であると認められない場合はPCI深刻度レベルは計算されず、値は「該当なし」になります。アセットが脆弱であると認めらる場合はPCI深刻度レベルが計算され、値は合格または不合格のいずれかとなります。アセット上の脆弱性インスタンスが除外された場合には、値は合格となります。 |
| Vulnerability Proof | スキャン・エンジンにより報告される場合、脆弱性の有無を証明するために用いられる方法です。証明には相当量のテキストが含まれる場合があります。読みやすくするため、スプレッドシート・プログラムのコラムを拡張する必要があるかもしれません。この値には改行が含まれ、二重引用符で表示される場合があります。 |
| Vulnerability Published Date | 脆弱性についての情報が初めて公にされたときの日付です。 |
| Vulnerability Reference IDs | これらは脆弱性の参照識別子であり、通常ベンダー(Microsoft、Apple、Redhat など)またはセキュリティグループ(Secunia、SysAdmin、Audit、Network、Security (SANS) Institute、Computer Emergency Readiness Team (CERT)、SecurityFocus など)により割り当てられます。 これらは脆弱性の詳細ページの 参照 表に示されます。 この属性の形式は、Source:Identifier(ソース:識別子)です。複数の値はカンマおよびスペースで区切られます。例:BID:4241, CALDERA:CSSA-2002-012.0, CONECTIVA:CLA-2002:467, DEBIAN:DSA-119, MANDRAKE:MDKSA-2002:019, NETBSD:NetBSD-SA2002-004, OSVDB:730, REDHAT:RHSA-2002:043, SANS-02:U3, XF:openssh-channel-error(8383) |
| Vulnerability Reference URLs | 脆弱性の情報についての参照用URLです。これらは脆弱性の詳細ページの参照表に示されます。複数の値はカンマで区切られます。例:http://www.securityfocus.com/bid/29179, http://www.cert.org/advisories/TA08-137A.html, http://www.kb.cert.org/vuls/id/925211, http://www.debian.org/security/DSA-/DSA-1571, http://www.debian.org/security/DSA-/DSA-1576, http://secunia.com/advisories/30136/, http://secunia.com/advisories/30220/ |
| Vulnerability Risk Score | 脆弱性に割り当てられたリスクスコアです。これは、アセットの全体的なリスク・スコアであるアセットのリスク・スコアとは異なる、という点に留意してください。 |
| Vulnerable Since | スキャンされたアセットで脆弱性が初めて発見された日付です。 |
| Vulnerability Solution | 脆弱性を改善するための解決法です。現在、脆弱性テスト結果が陰性であったとしてもソリューションはエクスポートされます。ソリューションには相当量のテキストが含まれる場合があります。読みやすくするため、スプレッドシート・プログラムのコラムを拡張する必要があるかもしれません。この値には改行が含まれ、二重引用符で表示される場合があります。 |
| Vulnerability Tags | Nexposeにより脆弱性に割り当てられたタグです。 |
| Vulnerability Test Result Description | 脆弱性試験結果を説明する単語またはフレーズです。脆弱性の結果コードをご参照ください。 |
| Vulnerability Test Date | 脆弱性試験を実行した日付です。これはアセットが最後にスキャンされた日付と同じです。 形式:mm/dd/YYYY |
| Vulnerability Test Result Code | 脆弱性試験の結果コードです。脆弱性の結果コードをご参照ください。 |
| Vulnerability Severity Level | Nexposeにより割り当てられた脆弱性の数値による深刻度レベルです。スコアの範囲は1~10で、脆弱性ページの脆弱性リスト表内の深刻度ランキングにマッピングされます:1-3=中度、4-7=深刻、および8-10=クリティカル。これはPCI深刻度レベルではありません。 |
| Vulnerability Title | 脆弱性の名前です。 |