APIは、プログラムの呼び出しを利用して別のソフトウェアとの統合ができる、デベロッパー向けの機能です。また、用語APIは2セットあるXML API、すなわち API v1.1と拡張版API v1.2の1つを意味し、それぞれに独自の組み込み操作があります。各APIについて学ぶには、API文書をご参照ください。同文書はサポート:技術サポートおよびカスタマーケアのサポートページからダウンロード可能です。
アプライアンスは、専用のハードウェア/ソフトウェア・ユニットとして同梱されている、一連のNexposeのコンポーネントです。アプライアンス設定には、セキュリティ・コンソール/スキャン・エンジンの組合わせおよびスキャン・エンジンのみのバージョンがあります。
アセットは、スキャン中にアプリケーションにより発見される、ネットワーク上の単一デバイスです。ウェブ・インターフェースおよびAPIでは、アセットはデバイスとも呼ばれます。
アセット・グループは管理されたアセットの論理的集合体であり、レポートの作成・表示や改善チケットの追跡を行うためのアクセス権が特定のメンバーに与えられます。アセット・グループには、複数のサイトまたはその他のアセット・グループに属するアセットが含まれる場合があります。アセット・グループには、静的なものと動的なものがあります。アセット・グループはサイトではありません。
アセット所有者はプリセット・ロールの1つです。このロールを持つユーザーは、発見されたアセットについてのデータの表示、手動スキャンの実行、アクセス可能なサイトおよびアセット・グループでのレポートの作成・実行ができます。
アセットレポート形式はXMLベースのレポート・テンプレートで、接続タイプ、ホスト名、IPアドレスに基づく情報を提供します。本テンプレートは、ポリシースキャン結果のレポートを米国政府に送信しSCAP認証を得るために必要です。
アセット検索フィルターは、動的アセット・グループに含めるアセットの検索を絞り込むことができる、一連の基準です。アセット検索フィルターは、
認証は、アクセスを得ようと試みるクライアントまたはユーザーのログオン認証資格情報(credentials)を検証する、セキュリティアプリケーションのプロセスです。デフォルトでは、本アプリケーションは内部プロセスによりユーザーを認証しますが、外部LDAPまたはケルベロス・ソースによりユーザ認証するように設定することが可能です。
平均リスクは、リスク傾向レポート設定内の設定です。レポート日範囲のアセットのリスク・スコアの計算に基づいています。例えば、平均リスクが高い/低い/変更なしであるかにより、エクスプロイトに対するアセットの脆弱度の概要が得られます。一部のアセットのリスク・スコアは、その他のものより高くなっています。平均スコアの計算により、エクスプロイトに対するアセットの脆弱度を高いレベルで見渡すことができます。
FDCCポリシーコンプライアンスのスキャンの文脈において、ベンチマークとは、同一のソースデータを共有するポリシーの組み合わせのことです。ポリシー・マネージャー内の各ポリシーには、対応するポリシーに含まれるルールの一部/全部が含まれています。
幅とは、スキャン範囲内のアセットの合計数を指します。
FDCCポリシー・コンプライアンスのスキャンのコンテキストにおいて、カテゴリーとは、スキャンテンプレートのポリシー・マネージャー設定内のポリシーのグループのことです。ポリシーカテゴリーは、そのソース、目的、その他の基準に基づいています。
タイプをチェックは、スキャン中に実行される特殊な種類のチェックです。例:アンセーフ・タイプをチェックには、ターゲットアセットのサービス妨害に繋がる可能性がある積極的脆弱性テスト法などがあります。ポリシー・タイプをチェックは、ポリシーへのコンプライアンスを確認するために使用されます。タイプをチェック設定は、スキャン範囲を絞り込むため、スキャンテンプレート設定内で使用されます。
インターネット・セキュリティ・センター(CIS)は、公的/民間部門の橋渡しのため、価値および信頼の高い環境を提供してグローバルセキュリティ状況を改善している、非営利組織です。CISは、主要セキュリティポリシー策定および国内・海外レベルでの決定において、リーダーシップ的な役割を果たしています。ポリシー・マネージャーは、ネットワークデバイス、オペレーティング・システム、ミドルウェアおよびソフトウェア・アプリケーションの堅牢化のための技術制御ルールおよび価値を含む、CISベンチマーク準拠のためのチェックを提供しています。これらのチェックを実行するには、ポリシー・マネージャー機能およびCISスキャンを有効化するライセンスが必要です。
コマンド・コンソールは、特定のオペレーション実行のためのコマンドを入力する、セキュリティ・コンソール・ウェブ・インターフェース内のページです。本ツールを利用すると、リアルタイムの診断およびセキュリティ・コンソールのバックグラウンドでの活動を見ることができます。コマンド・コンソール・ページにアクセスするには、管理 ページの トラブルシューティング 項目の横にある セキュリティ・コンソール・コマンドを実行 リンクをクリックします。
共通セキュリティ設定一覧(CCE)は、CCEと呼ばれる固有の識別子を設定制御に割り当てて、異なる環境内でのこれらの制御の一貫した識別を可能とするための規格です。CCEは、認証を受けていないスキャン製品のSCAP基準へのコンプライアンスの一部として実装されます。
共通プラットフォーム一覧(CPE)はをオペレーティング・システムおよびソフトウェア・アプリケーションを識別するための方法です。その命名スキームは、ユニフォームリソース識別子(URI)の一般シンタックスに基づいています。CCEは、認証を受けていないスキャン製品のSCAP基準へのコンプライアンスの一部として実装されます。
共通脆弱性識別子(CVE)規格は、アプリケーションによる脆弱性識別方法を規定しています。同規格により、セキュリティ製品間での脆弱性データのやりとりが容易となっています。CVEは、認証を受けていないスキャン製品のSCAP基準へのコンプライアンスの一部として実装されます。
共通脆弱性評価システム(CVSS)は、脆弱性リスク・スコアを計算するためのオープンフレームワークです。CVSSは、認証を受けていないスキャン製品のSCAP基準へのコンプライアンスの一部として実装されます。
コンプライアンスとは、政府または規制業界団体により指定された規格を満たしている状態のことです。本アプリケーションは、いくつもの異なるセキュリティ規格へのコンプライアンスについて、アセットをテストします。例としては、ペイメントカード業界(PCI)により義務付けられている規格、および米国国立標準技術研究所(NIST)により米国政府デスクトップ基準(あるいは連邦政府デスクトップ基準(FDCC))向けに定義された規格などがあります。
連続スキャンは、スケジュール化された時間枠内で、サイトアセットの範囲が完了すると最初から新たに開始されます。これはサイト設定の設定です。
範囲とは、脆弱性のチェックの範囲を指します。リリースを伝えるニュースページにリストされる範囲改善点に、脆弱性のチェックが追加されたこと、または既存のチェックが精度またはその他の基準について改善されたことが表示されます。
致命度は、RealContextタグを持つアセットに適用して、そのビジネスに対する重要性を示すことができる値です。致命度のレベルは、非常に低いから非常に高いの範囲となっています。適用された致命度のレベルを利用して、アセットのリスク・スコアを変更可能です。致命度調整リスクをご参照ください。
または
致命度調整リスクは、数値を致命度レベルに割り当て、これらの数値を利用してリスク・スコアを乗算するためのプロセスです。
カスタムタグにより、ビジネス上意義のあるあらゆる基準に従ってアセットを識別することが可能です。
深さにより、スキャンがどれだけ綿密または包括的であるかが示されます。深さとは、本アプリケーションが個別のアセットに対してシステム情報や脆弱性について精査を行うレベルを指します。
発見はスキャンの最初のフェーズであり、本アプリケーションによりネットワーク上の潜在的なスキャン対象が特定されます。スキャンフェーズとしての発見は、
文書テンプレートは、アセットと脆弱性の情報が含まれる目視可能なレポート向けに、設計されています。このテンプレートで利用可能な一部の形式(Text、PDF、RTF、HTML)は、情報の共有に便利であり、重役または改善実行を担当するセキュリティチームメンバーといった組織内の利害関係者に読んでもらえます。
動的アセット・グループには、特定の抽出条件(criteria)を満たすスキャンされたアセットが含まれます。IPアドレス範囲またはオペレーティング・システムといった、アセット検索フィルターにより、これらの基準を定義できます。動的グループ内のアセットのリストはスキャンごとに、または脆弱性の例外が作成されたときに変わる場合があります。この点において、動的アセット・グループは静的アセット・グループとは異なります。
動的発見は、アセットを管理するサーバーとの接続を通して、これらのアセットを自動的に発見するプロセスです。アセットの発見基準フィルターにより絞り込み/制限可能です。動的発見は、発見(スキャンフェーズ)とは異なります。
動的発見フィルターは、動的発見の結果を絞り込む/制限する一連の基準です。このタイプのフィルターは、アセット検索フィルター とは異なります。
動的スキャン・プール機能により、スキャン・エンジン・プールを利用してスキャン範囲の一貫性を強化可能です。スキャン・エンジン・プールは共有スキャン・エンジンのグループで、サイトに結び付けることが可能ですので、共有スキャン・エンジン全体にロードを均等に分散できます。スキャン・プールは、拡張版API v1.2を利用して設定可能です。
動的サイトはスキャンの対象であり、vAssetの発見で発見された、アセットの集合体です。動的サイトのアセット・メンバーシップは、発見接続の変更またはアセットの発見のフィルター基準の変更に従い、変わる場合があります。
エクスプロイトとは、セキュリティ上の不備または脆弱性を通して、ネットワークへと侵入あるいはコンピュータへとアクセスしようとする試みのことです。犯意のあるエクスプロイトにより、システム断絶やデータ盗難が起こる場合があります。侵入テスト担当者は、無害なエクスプロイトのみを使用して、脆弱性の存在を確認します。Metasploit製品は、無害なエクスプロイトを実行するためのツールです。
エクスポート・テンプレートは、スキャン情報を外部システムに統合するよう設計されています。このタイプで利用可能な形式には、各種XML形式、データベースエクスポート、およびCSVなどがあります。
露出は脆弱性であり、特にアセットを、マルウェアや既知のエクスプロイト経由の攻撃を受けやすい状態にしてしまうものを指します。
米国国立標準技術研究所(NIST)により定義されている通り、セキュリティ設定チェックリスト記述形式(XCCDF)は、「セキュリティチェックリスト、ベンチマーク、および関連文書を記述するための仕様言語です。XCCDF文書は、あるターゲットシステムの構造化されたセキュリティ設定ルールの集合体として表されます。この仕様は、情報交換、文書作成、組織および状況のカスタマイズ、自動コンプライアンステスト、コンプライアンス評価をサポートするよう設計されています。」 ポリシー・マネージャーは、FDCCポリシーコンプライアンスがこの形式で記述されているかをチェックします。
誤検知とは、存在しない脆弱性に対して本アプリケーションがフラグ付けを行った状態のインスタンスを指します。誤検知(検出漏れ)とは、存在する脆弱性に対して本アプリケーションがフラグ付けに失敗した状態のインスタンスを指します。
米国政府デスクトップ基準(あるいは連邦政府デスクトップ基準(FDCC))は、米国国立標準技術研究所(NIST)により推奨される、米国政府機関のネットワークに直接接続するコンピュータ向けのセキュリティ設定構造のグループです。ポリシー・マネージャーはスキャンテンプレートで、これらのポリシーへのコンプライアンスのためのチェックを提供します。これらのチェックを実行するには、ポリシー・マネージャー機能およびFDCCスキャンを有効化する、ライセンスが必要です。
フィンガープリントは、スキャンターゲットのオペレーティング・システムを識別する、または特定バージョンのアプリケーションを検知する方法です。
グローバル管理者は、プリセットロールの1つです。このロールを持つユーザーは、本アプリケーションで利用可能なべての操作を行うことができます。また、すべてのサイトおよびアセット・グループへのアクセス権を有しています。
ホストは、ゲストの仮想マシンにリソースの計算を提供する、物理的サーバーまたは仮想サーバーです。高可用性仮想環境において、ホストはノードとも呼ばれます。用語ノードは、本アプリケーションでは別の文脈を有します。
レイテンシーとは、コンピュータがネットワークを通じてデータを送信する時間と別のコンピュータがデータを受信する時間との間の遅延間隔です。低レイテンシーとは、遅延時間が短いという意味です。
ロケーションタグを利用すると、物理的または地理的ロケーションによりアセットを識別できます。
マルウェアは、ターゲットシステムの操作を妨害・否認する、データを盗み漏洩を引き起こす、許可なしにリソースへとアクセスする、またはその他の同種の不正使用を実行するよう設計されたソフトウェアです。脆弱性によりアセットがマルウェア攻撃を受けやすい状態となっているかどうかを、本アプリケーションにより判定可能です。
エクスプロイト・キットとも呼ばれるマルウェア・キットは、犯意のある人物が脆弱性を通してターゲットシステムを攻撃するにあたり、コードの記述・配備を容易にするソフトウェア・バンドルです。
管理されたアセットとは、スキャン中に発見されサイトのターゲットリストに自動的にまたは手動で追加された、ネットワークデバイスです。管理されたアセットのみが、脆弱性のチェックを受け経時的に追跡可能です。アセットが管理されたアセットになると、ライセンスによりスキャン可能なアセットの最大数に数えらるようになります。
手動スキャンはいつでも開始することができるスキャンであり、その他の時間に自動実行するようスケジュールされていたとしても開始可能です。同義語には、アドホック・スキャンおよび非スケジュール化スキャンなどがあります。
Metasploitは、無害なエクスプロイトを実行して脆弱性を確認する製品です
MITRE Corporationは、セキュリティ関連の概念および言語を一覧化する規格を、セキュリティ開発イニシアチブ向けに定義している団体です。MITRE定義の一覧の例として、共通セキュリティ設定一覧(CCE)、共通通脆弱性一覧(CVE)などが挙げられます。MITRE定義の言語の例として、セキュリティ検査言語(OVAL)が挙げられます。多くのMITRE規格が、特にFDCCコンプライアンスの検証において実装されています。
米国国立標準技術研究所(NIST)は、米商務省に属する非規制政府機関です。。同機関は、セキュリティ設定共通化手順(SCAP)を含む、数々のセキュリティ・イニシアチブを義務化し管理しています。
ノードは、スキャン中にアプリケーションにより発見される、ネットワーク上のデバイスです。本アプリケーションがデータをスキャンデータベースに統合されると、デバイスはサイトおよびアセット・グループにリスト可能なアセットとして認識されます。
セキュリティ検査言語(OVAL)は、FDCCポリシーチェックなどのセキュリティ関連データを収集・共有するための開発規格です。FDCC要件に従い、設定ポリシーチェック中に本アプリケーションがインポートする各OVALファイルは、セキュリティ・コンソール・ウェブ・インターフェースのSCAPページからダウンロード可能です。
オーバーライドは、設定ポリシー・ルールへのコンプライアンスのチェックの結果に対して、ユーザーにより行われる変更です。例えば、ユーザーは不合格結果を合格結果にオーバーライドする場合があります。
ペイメントカード業界(PCI)は、クレジットカード取引を実行するすべての商業者向けに、PCIデータセキュリティ規格を管理・施行する評議会です。本アプリケーションには、スキャンテンプレートおよびレポート・テンプレートが含まれています。これらは、PCIコンプライアンスに関する公式商業者監査で承認されたスキャンベンダー(ASV)により、使用されます。
許可は、1つ以上の特定操作を実行する能力です。一部の許可は、割り当てられたユーザーがアクセス権を持っているサイトまたはアセット・グループにのみ適用されます。その他は、この種のアクセス権の影響を受けません。
ポリシーは、コンピュータ、オペレーティング・システム、ソフトウェア・アプリケーション、またはデータベースのための、主にセキュリティに関する一連の設定ガイドラインです。本アプリケーションでは、スキャン目的については2種類の一般ポリシー、 ポリシー・マネージャーポリシーおよび標準ポリシーが識別されています。本アプリケーションのポリシー・マネージャー(ライセンス方式の機能)によりアセットをスキャンして、米国政府共通設定基準(USGCB)、米国政府デスクトップ基準(あるいは連邦政府デスクトップ基準(FDCC))、インターネット・セキュリティ・センター(CIS)、および国防情報システム局(DISA)の各規格およびベンチマークに含まれるポリシー、さらにはこれらのポリシーを基にしたユーザー設定のカスタムポリシーへのコンプライアンスを確認できます。
ポリシー・マネージャーはライセンス方式のスキャン機能であり、米国政府デスクトップ基準(あるいは連邦政府デスクトップ基準(FDCC))、米国政府共通設定基準(USGCB)、およびその他の設定ポリシーへのコンプライアンスのチェックを実行します。ポリシー・マネージャーの結果は、ウェブ・インターフェースの ポリシー アイコンをクリックしてアクセス可能な ポリシー ページに表示されます。また、ポリシー・マネージャーのチェックによりスキャンされたアセットのポリシーリスト表にも表示されます。ポリシー・マネージャーのポリシーは、基本のライセンスによりスキャンされる標準ポリシーとは異なります。
FDCCポリシースキャンの文脈では、結果とは、ルールまたはポリシーへのコンプライアンスまたは非コンプライアンスの状態を指します。結果には、合格、不合格、または非該当などがあります。
ルールは一連の特定ガイドラインの1つであり、FDCC設定ポリシーを補完するものです。
潜在的脆弱性は、3種類ある陽性脆弱性チェック結果タイプのうちの1つです。本アプリケーションがスキャン中に潜在的脆弱性をレポートする条件には、2通りあります。 1つ目は、スキャンのテンプレートにおいて潜在的脆弱性チェックが有効化されている場合です。2つ目は、本アプリケーションがターゲットが脆弱なソフトウェアバージョンを実行していると判定したが、パッチまたはその他のタイプの改善策が適用されていることを確認できない場合です。例えば、アセットがバージョン1.1.1のデータベースを実行しているとします。ベンダーは、バージョン1.1.1の脆弱性を示すセキュリティ勧告を公開しています。アセット上にパッチはインストール済みですが、バージョンは1.1.1のままです。この場合、アプリケーションにより潜在的脆弱性のチェックが実行されると、ホストアセットが潜在的に脆弱であるとのフラグ付けのみが可能となります。XMLレポートおよびCSVレポートでの潜在的脆弱性のコードは、vp(vulnerable, potential(脆弱、潜在的))です。その他の陽性結果タイプについては、
本アプリケーションの文脈では、公開されたエクスプロイトとはMetasploitで開発された、またはエクスプロイトデータベースにリストされたエクスプロイトのことです。
RealContextは、ビジネスへの影響の度合いに従い、アセットにタグ付けできる機能です。タグを使用して、クリティカリティ、ロケーション、またはオーナーシップを指定可能です。またカスタムタグを利用して、組織にとって意義のある基準に従いアセットを識別可能です。
リアル・リスクとは、リスクを評価・分析するための内蔵戦略の1つです。またこれは、推奨される戦略でもあります。なぜなら、起こり得る可能性(アクセス・ベクトル、アクセスの複雑さ、および認証要件)およびアセットへの影響度(機密性、完全性、おおよび可用性)に関する固有のエクスプロイトおよびマルウェア露出評価基準を、各共通脆弱性評価システム(CVSS)ベースの評価基準に適用するからです。
各レポートは、製品に同梱のテンプレートまたは組織向けに作成されたカスタムテンプレートのいずれかに、基づいています。
脆弱性アセスメントの文脈では、リスクとは、ネットワークまたはコンピュータ環境の感染が起こり得る可能性を反映させたものであり、データの盗難・破損、およびサービスの妨害を含む予測される感染の結果を特徴化したものです。黙示的にリスクには、感染した組織の財務上の健全性や評判に対する潜在的な損害も反映されます。
リスク・スコアは、各アセットおよび脆弱性について本アプリケーションが計算する評価です。同スコアは、犯意のあるエクスプロイトが起こった場合にネットワークおよびビジネスセキュリティが被る潜在的な危険を示します。本アプリケーションを設定して、複数の内蔵リスク戦略の1つに従いリスクを評価可能です。または、カスタム・リスク戦略を作成することもできます。
リスク戦略は、脆弱性リスク・スコアを計算する方法です。各戦略により、特定のリスク要因および視点が強調されます。4つの内蔵戦略を利用可能です:
リスク傾向グラフには、アセットに感染が起こる可能性および潜在的影響についての長期的な見込みが示されており、これらは経時的に変わる可能性があります。リスク傾向は、平均/総合リスク・スコアに基づいている場合があります。レポートでリスクが高いグラフには、サイト、グループ、アセットレベルでのリスクに大きな影響を与える要因が示されています。リスク傾向を追跡すると、これらの分野での組織の立ち位置に対する脅威の評価に役立ちます。また、脆弱性管理作業が許容可能なレベルで十分に維持されているか、リスクを経時的に削減しているかの判定に役立ちます。
ロールとは、一連の許可のことです。5つのプリセット・ロールが用意されています。また手動で許可を選択して、カスタム・ロールを作成可能です。
スキャンとは、本アプリケーションがネットワークアセットを発見しそれらの脆弱性をチェックするプロセスです。
スキャン認証資格情報(credentials)は、本アプリケーションがターゲットアセットへと送信する、ユーザー名およびパスワードです。これらにより、アクセス権を得て詳細なチェックを実行する認証を得ます。広範にわたるプラットフォームの、多数の異なる認証メカニズムがサポートされています。
スキャン・エンジンは、本アプリケーションの2つの主要コンポーネントのうちの1つです。アセットの発見および脆弱性検出操作を実行します。スキャン・エンジンは、さまざまな範囲のファイアウォールの内部または外部に分散させることが可能です。またセキュリティ・コンソールの各インストールにはローカルエンジンが含まれており、コンソールのネットワーク周辺内のスキャンに使用可能です。
スキャンテンプレートは、アセットのスキャン方法を定義する一連のパラメータです。異なるスキャン・シナリオについて、さまざまなプリセット・スキャンテンプレートを利用可能です。また、カスタム・スキャンテンプレートも作成できます。スキャンテンプレートのパラメータには以下が含まれます:
スケジュール化されたスキャンは、事前決定された時間に自動的に開始されます。スキャンのスケジュール化は、サイト設定内の任意設定です。また、いつでも手動でスキャンを開始することもできます。
セキュリティ・コンソールは、本アプリケーションの2つの主要コンポーネントのうちの1つです。スキャン・エンジンを制御し、それらからスキャンデータを検索します。またあらゆる操作を制御し、ウェブベースのユーザー・インターフェースを提供します。
セキュリティ設定共通化手順(SCAP)は、セキュリティデータを表現・操作するための規格の集合体です。これは米国政府により義務付けられており、米国国立標準技術研究所(NIST)により維持されています。本アプリケーションは、未認可のスキャナ製品向けのSCAP基準に準拠しています。
セキュリティ・マネージャーはプリセット・ロールの1つです。このロールを持つユーザーは、スキャンの設定・実行、レポートの作成、およびアクセス可能なサイトとアセット・グループ内のアセットデータの表示を行うことができます。
認証スキャンに使用可能な2タイプの認証資格情報(credentials)のうちの1つです。共有スキャン認証資格情報(credentials)は、グローバル管理者または「サイトを管理」許可を持つユーザーにより作成されます。共有認証資格情報(credentials)は、あらゆる数のサイト内の複数のアセットに適用可能です。
サイトとは、スキャンの対象であるアセットの集合体です。各サイトは、ターゲットアセットのリスト、スキャンテンプレート、1つまたは複数のスキャン・エンジン、およびその他のスキャン関連設定に関連付けられています。
認証スキャンに使用可能な2タイプの認証資格情報(credentials)のうちの1つです。単一インスタンス認証資格情報(credentials)のセットが個々のサイト設定向けに作成され、そのサイト内でのみ使用可能となります。
サイト所有者はプリセット・ロールの1つです。このロールを持つユーザーは、スキャンの設定・実行、レポートの作成、およびアクセス可能なサイトプ内のアセットデータの表示を行うことができます。
標準ポリシーは、ポリシー・マネージャー・ポリシーとは異なり、基本ライセンスを利用して本アプリケーションによりスキャン可能な項目の1つです。標準ポリシー・スキャンは、Oracle、Lotus Domino、AS/400、Unix、およびWindowsの各システム上の特定設定を確認するために利用可能です。標準ポリシーは、スキャン範囲内にポリシーを含む場合、スキャンテンプレートに表示されます。標準ポリシー・スキャン結果は、これらのポリシーへのコンプライアンスによりスキャンされたアセットの詳細ポリシーリスト表に表示されます。
静的アセット・グループには、組織のニーズに従って定義された基準セットを満たすアセットが含まれます。動的アセット・グループとは異なり、静的グループ内のアセットのリストは手動で変更を行わない限り変わりません。
静的サイトは、スキャンの対象であり、手動で選択されたアセットの集合体です。静的サイト内のアセット・メンバーシップは、サイト設定内のアセット・リストをユーザーが変更しない限り変わりません。詳細情報については、
内蔵リスク戦略の1つであり、感染の可能性が時間経過によりどの程度増大するかが示されます。その計算では、起こり得る可能性(アクセス・ベクトル、アクセスの複雑さ、および認証要件)およびアセットへの影響度(機密性、完全性、および可用性)に関するCVSSベースの評価基準の乗数として、開示日を基にした各脆弱性の日齢が適用されます。一時的なリスク・スコアは、一時的プラスのスコアより低くなります。なぜなら、一部影響ベクトルのリスクへの寄与が制限されるからです。
内蔵リスク戦略の1つである一時的プラスなリスク戦略では、脆弱性の影響のより詳細な分析が見られると同時に、感染の可能性が時間経過によりどの程度増大するかが示されます。脆弱性の日齢が、起こり得る可能性(アクセス・ベクトル、アクセスの複雑さ、および認証要件)およびアセットへの影響度(機密性、完全性、および可用性)に関するCVSSベースの評価基準の乗数として、適用されます。一時的プラスのリスク・スコアは、一時的なスコアより高くなります。なぜなら、一部影響ベクトルのリスクへの寄与が拡張されるからです。
総合リスクは、リスク傾向レポート設定内の設定です。特定機関のアセットについての集約された脆弱性スコアです。
米国政府共通設定基準(USGCB)は、米国政府機関に配備されている情報テクノロジー製品向けの、セキュリティ設定ベースライン作成のためのイニシアチブです。USGCBはFDCCが進化したものであり、米国政府内で義務付けられている設定セキュリティとして置き換えられています。ポリシー・マネージャーでは、USGCBベースラインに準拠したMicrosoft Windows 7、Windows 7 Firewall、およびInternet Explorer用のチェックが用意されています。これらのチェックを実行するには、ポリシー・マネージャー機能およびUSGCBスキャンを有効化するライセンスが必要です。
未管理のアセットはスキャン中に発見されたデバイスですが、管理されたアセットに関連付けられておらず、サイトのターゲットリストに追加されていません。本アプリケーションは、未管理のアセットについての十分な情報を提供するよう設計されていますので、それらを管理するかどうかを決定できます。未管理のアセットは、ライセンスによりスキャン可能なアセットの最大数に数えられていません。
アンセーフチェックは、ターゲットシステム上でサービス妨害を引き起こす可能性がある脆弱性のためのテストです。このチェック自体がサービス妨害を引き起こす可能性があることに注意してください。アンセーフチェックは、生産段階にない試験システム上でのみ実行するをお薦めします。
アップデートは、リリースされた本アプリケーションに対する一連の変更です。デフォルトでは、2タイプのアップデートが自動的にダウンロードされ適用されます:
コンテンツアップデートには、脆弱性の新規チェック、パッチ検証、セキュリティ・ポリシー・コンプライアンスなどが含まれます。コンテンツ・アップデートは利用可能な時に常に自動的に行われます。
製品アップデートには、パフォーマンス改善点、バグフィックス、新規製品機能などが含まれます。コンテンツ・アップデートとは異なり、自動製品アップデートを無効にすること、および手動で製品アップデートを行うことはできません。
ユーザーはプリセット・ロールの1つです。このロールを持つ個人は、アセットデータを表示し、アクセス可能なサイトおよびアセット・グループ内でレポートを実行することができます。
検証された脆弱性は、その存在が統合Metasploitエクスプロイトにより証明された脆弱性です。
脆弱バージョンは、3つの陽性の脆弱性のチェック結果タイプのうちの1つです。ターゲットが脆弱なソフトウェアバージョンを実行しており、パッチまたはその他のタイプの改善策が適用されていないと確認できる場合、本アプリケーションはスキャン中に脆弱バージョンをレポートします。XMLレポートおよびCSVレポート内での脆弱バージョンのコードは、vv(vulnerable, version check(脆弱、バージョンチェック))です。その他の陽性結果タイプについては、
脆弱性は、ネットワークまたはコンピュータ内のセキュリティ不備です。
脆弱性のカテゴリーは、共有基準を持つ一連の脆弱性のチェックです。例えばAdobeカテゴリには、Adobeアプリケーションに影響を与える脆弱性のチェックが含まれます。また、Air、Flash、およびAcrobat/Readerといった特定のAdobe製品向けのカテゴリもあります。脆弱性のチェック・カテゴリは、スキャンテンプレートの範囲を絞り込むために使用されます。脆弱性のチェック結果も、レポート範囲を絞り込むためのカテゴリに従いフィルタリングされます。メーカー名(Microsoftなど)が付けられているカテゴリは、その製品名が付けられているカテゴリのスーパーセットとして機能可能です。例えばMicrosoftカテゴリ別にフィルタリングすると、Microsoft PathおよびMicrosoft Windowsといった、すべてのMicrosoft製品カテゴリが本質的に含まれます。これは、Adobe、Apple、およびMozillaといった、その他の「企業」のカテゴリにも適用されます。
脆弱性のチェックは、ターゲットアセット上にセキュリティ不備が存在するかどうかを決定するために行われる一連の操作です。チェック結果は、陰性(脆弱性未発見)または陽性です。陽性結果は以下の3つのうちの1つに当てはまります:
脆弱性の例外とは、レポートやアセットリスト表から脆弱性を削除することです。また除外された脆弱性は、リスク・スコアの計算の対象外となります。
脆弱性が見つかりましたは、3つの陽性の脆弱性のチェック結果タイプのうちの1つです。本アプリケーションは、エクスプロイトといったアセット特有の脆弱性テストで不備を確認した場合に、スキャン中に脆弱性が見つかりましたとレポートします。XMLレポートおよびCSVレポートでの脆弱性が見つかりましたのコードは、ve(vulnerable, exploited(脆弱、エクスプロイト))です。その他の陽性結果タイプについては、
内蔵リスク戦略の1つである加重なリスク戦略は、主にアセットと脆弱性に基づいており、設定時にサイトに対して割り当てる重要度または加重を考慮に入れます。