レポートコンテンツを理解する

レポートには、膨大な情報が含まれます。これらを慎重に学び、良く理解することは重要です。それにより、さらなる情報を得てセキュリティ関連の意思決定ができるようになります。

レポート内のデータは、時間内の静的スナップショットです。ウェブ・インターフェース内に表示されるデータは、スキャンの度に変わります。発見されたアセットや脆弱性の数といった2データ間の違いは、最後のレポート以降の環境内の変化に起因する可能性が高いです。

最新データが必要であるにも関わらずウェブ・インターフェースへのアクセス権を持っていない組織内利害関係者のために、より頻繁にレポートを実行してください。または、レポート・スケジュールをスキャン・スケジュールと自動的に同期する、レポート・スケジュール機能を使用してください。

絶えず変化する環境においては、ベースライン比較レポートが非常に有用です。

レポートデータが予測したものとかなり違う場合は、データを歪曲した可能性がある複数の要因を検討してみてください。

スキャン設定によるレポートデータへの影響

スキャン設定は複数の方法でレポートデータに影響を与えます：

• 認証資格情報（credentials）の欠如：発見されたファイル、スパイダーされたウェブサイト、またはポリシー評価といったレポートで特定の情報が欠けている場合、当該スキャンが適切なログオン情報で設定されたかどうかチェックしてください。本アプリケーションは、普通のユーザーが行うのと同様にターゲットシステムにログオンすることができない場合、多数のチェックを実行できません。
• ポリシーチェックが有効化されていない：ポリシー設定がレポートに現れないもう1つの理由は、スキャンテンプレート内でポリシーチェックが有効化されていなかったことが考えられます。
• 発見のみのテンプレート：レポートに脆弱性データが現れない場合、脆弱性のチェックを行わない発見のみのスキャンテンプレートを利用してスキャンが実行されたかどうかを、チェックしてください。
• 特定の脆弱性のチェックが有効化/無効化されている：レポートに予想より多く脆弱性が表示されている場合、どのチェックが有効化/無効化されているかスキャンテンプレートをチェックしてください。
• アンセーフチェックが有効化されていない：CSVレポート内のsd結果コードにより、サービスの否認（DOS）が原因でチェックがスキップされたことが示される場合は、そのスキャンテンプレート内でアンセーフチェックが有効化されていなかったということです。
• 手動スキャン：通常とは異なる条件下で手動スキャンが実行されると、レポートに影響が出る場合があります。例えば、最近のスキャンデータのみを含む自動スケジュール化レポートは、自動スケジュール化されたスキャンを持つ特定の複数のアセットサイトに関連します。単一アセットの手動スキャンを実行してパッチのアップデートを検証します。レポートには1つのアセットのみが表示されたスキャンデータが含まれる可能性があります。なぜなら、それが一番最近のスキャンのものだからです。

異なるレポート形式によるレポートデータへの影響

複数の形式を利用してレポートを伝播する場合、異なる形式によりデータの提示方法ばかりでなくデータの提示内容にも影響が出る、ということに留意してください。 PDFやHTMLといった人間可読な形式は、文書レポート・テンプレートにより編成されたデータを表示することを意図しています。これらのテンプレートは含めるデータについて、より「選択的」です。一方、XML Export、XML Export 2.0、CSV、およびエクスポートテンプレートには、基本的にスキャンからのすべての可能なデータが含まれます。

脆弱性が確信度によりどのように特徴付けられるかを理解する

改善策が確認されている脆弱性はセキュリティ上の優先度が高いため、レポート内で確認済み脆弱性を見つけることが重要です。しかし、潜在的または未確認の脆弱性のリストを消去しないでください。また、これらを誤検知として棄却しないでください。

本アプリケーションは、脆弱性が存在する可能性を示す特定条件を発見すると、その脆弱性をフラグ付けします。脆弱性の存在を完全に確認できない場合、どのような理由であっても、その脆弱性は潜在的または未確認とリストされます。または、スキャンされたオペレーティング・システムやアプリケーションのバージョンが脆弱であることが示される場合があります。

脆弱性が「潜在的」脆弱性であるまたは公式に未確認であるということで、それが存在するという可能性が差し引かれるわけではありませんし、ある関連セキュリティ問題を注視する必要性が低下するわけでもありません。利用可能であれば、エクスプロイトを実行して脆弱性を確認可能です。脆弱性に取り組むをご参照ください。また、潜在的に脆弱なアイテムをフィンガープリントした確信度があるかどうか、スキャンログを調べることも可能です。フィンガープリント確信度が高レベルであるということは、脆弱性の可能性が高いということです。

脆弱性の確信度の特徴を見つける方法

さまざまなエリアで、レポートされた脆弱性の確信度レベルを見つけることが可能です：

• PCI監査レポートには、各脆弱性のステータスをリストする表が含まれています。ステータスとは、エクスプロイト済み、潜在的、脆弱バージョンといった確信度の特徴を指します。
• 「レポートカード」レポートの表の1つに類似のステータスコラムが含まれており、ここにも、各アセット上の各脆弱性に関して本アプリケーションが実施したテストについての情報がリストされています。
• XML ExportおよびXML Export 2.0レポートには、テスト・ステータスと呼ばれる属性が含まれており、そこには脆弱-エクスプロイト、および非脆弱といった確信度の特徴が含まれています。
• CSVレポートには、確信度の特徴に関連する結果コードが含まれています。
• ウェブ・インターフェースへのアクセス権がない場合、脆弱性についての詳細をリストするページ上で、脆弱性の確信度の特徴を表示可能です。

監査レポートに表示される「発見された脆弱性および潜在的な脆弱性」セクションでは、潜在的脆弱性と確認済み脆弱性は区別されていないことに注意してください。

脆弱性の先を見る

レポートをレビューする場合、ネットワークをリスクにさらす可能性があるその他の兆候がないか、脆弱性の先を見るようにしてください。例えば、本アプリケーションはtelnetサービスを発見してレポートにリストします。telnetサービスは脆弱性ではありません。しかし、telnetは暗号化されていないプロトコルです。ネットワーク上のサーバーがこのプロトコルを使用して遠隔コンピュータと情報を交換している場合、招かれざる者による送信のモニタリングが容易になります。代わりに、SSHを使用することを検討してみてください。

別の例では、ウェブリクエストがHTTPSサーバーにリダイレクトされるのではなく、HTTPサーバーへと送信することを許可する、Ciscoデバイスが発見される場合があります。これも技術的には脆弱性ではありませんが、この慣行により慎重に扱うべきデータが露呈する可能性があります。

研究により、リスクを積極的に管理するために役立つ報告がなされています。

レポートデータを利用して改善策を優先順位付けする

レポート内の長い脆弱性のリストには読むことが大変で、最初にどの問題に対処すべきか悩むことがあるかもしれません。脆弱性データベースには、12,000を超える脆弱性のチェックが含まれており、スキャンにより修正に使える時間を超える数の脆弱性が見つかるかも知れません。

脆弱性を優先順位付けする効果的な方法の1つは、どれに本物のエクスプロイトが関連付けられているかに注目することです。既知のエクスプロイトを持つ脆弱性は、非常に明確なリスクをネットワークにもたらします。Exploit ExposureTMの機能は、既知のエクスプロイトを持つ脆弱性をフラグ付けし、Metasploitモジュールおよびエクスプロイトデータベースにエクスプロイト情報のリンクを提供します。また、Metasploitチームからのエクスプロイト・ランキングデータを利用して、任意エクスプロイトに必要なスキルレベルをランクします。この情報はセキュリティ・コンソール・ウェブ・インターフェース内の脆弱性リストに表示されますので、すぐに閲覧可能です。

攻撃者のスキルレベルを予測できないため、エクスプロイトに必要なスキルレベルまたは既知のエクスプロイトの数に関わらず、LIVEエクスプロイトを持つ脆弱性についてはどれも即座に改善するという、ベストプラクティスを強く推奨します。

レポート作成設定によるレポートデータへの影響

レポート設定によりさまざまな形でレポートデータに影響が出る可能性があります：

• 一番最近のスキャンデータを使用する：もはや使用されていない古いアセットがレポートに現れる場合、かつそれが望ましくない場合、最後のスキャンデータのみを使用とラベル付けされたチェックボックスを必ず有効化します。
• レポートスケジュールがスキャンスケジュールに同期していない：最後のレポートが生成されてから相当な改善策を実施したにも関わらず脆弱性の数の変化がレポート上に見られない場合、スキャンスケジュールに対するレポートスケジュールをチェックしてください。パッチ検証の表示を目的としている場合、スキャンの後にレポートが自動的に生成されるようにしてください。
• アセットが含まれていない：予測されたアセットデータがレポートに表示されていない場合、レポート設定をチェックしてどのサイトおよびアセットが含まれている/省略されているか確認してください。
• 脆弱性が含まれていない：予測された脆弱性がレポートに表示されていない場合、レポート設定をチェックしてレポートからフィルターされた脆弱性を確認してください。レポートを作成パネルの範囲セクションで、脆弱性に基づきレポート範囲をフィルターをクリックして必要なカテゴリおよび深刻度レベルを含めるようフィルターが適切に設定されていることを確認します。

リスクスコアにより優先順位付けする

脆弱性を優先順位付けするもう1つの方法は、それらのリスク・スコアに従うことです。スコアが高いほど、優先度が高くなります。

本アプリケーションは、スキャン中に発見された各アセットおよび脆弱性のリスク・スコアを計算します。本スコアは、エクスプロイトの影響および可能性に基づき脆弱性がネットワークおよびビジネスセキュリティにもたらし得る潜在的な危険を示すものです。

リスク・スコアは異なるリスク戦略に従い計算されます。リスク戦略に取り組み脅威を分析するをご参照ください。