脆弱性の優先順位付けを理解する

このドキュメントの内容は次のとおりです。

Vulnerability Management（脆弱性管理）の優先順位を確認する場所
脆弱性の優先順位にどのようなデータが考慮されるか

Vulnerability Management（脆弱性管理）における優先順位の表示

one.newrelic.com > All capabilities > Vulnerability Management > (select vulnerabilities tab)

優先順位は、脆弱性に関するすべての既知のデータに基づいて決定されます。 Reason to prioritize [優先順位を付ける理由]列には、主要な CVSS (共通脆弱性評価システム)、EPSS (エクスプロイト予測評価システム)、IAST で確認された調査結果、および既知のアクティブなランサムウェアデータの概要と重み付けが表示されます。

優先順位に影響を与えるデータ

Severity [重大度は]脆弱性の CVSS スコアに基づきます。オープンな業界標準である CVSS は、複数のアクセスと影響のメトリックの式を使用して脆弱性の重大度を計算します。

この表には、CVSS スコアに対応して割り当てたタグが表示されます。

重大度	CVSS範囲
致命的	9.0～10.0
高	7.0～8.9
ミディアム	4.0 - 6.9
低	0.1～3.9
情報 / なし	0.0

アクティブなランサムウェアは、既知のランサムウェアキャンペーンで使用されている脆弱性です。ランサムウェアインシデントの影響は深刻であるため、これらの脆弱性は優先度の高いものとなっています。

サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA)は、ランサムウェアを「デバイス上のファイルを暗号化し、ファイルやそれに依存するシステムを利用不能にするように設計された、進化し続けるマルウェア」と定義しています。悪意のある攻撃者は、復号化と引き換えに身代金を要求します。ランサムウェアの攻撃者は、身代金が支払われない場合、盗み出したデータや認証情報を売却または漏洩すると脅迫することが多い。」

詳細については、CISA の既知の悪用された脆弱性カタログのページをご覧ください。

悪用確率スコアは、脆弱性が実際に悪用される可能性を評価する EPSS に基づいています。このような場合、脆弱性を利用した攻撃者が存在することが知られています。 EPSS スコアは、文脈を無視すると低く見える場合がありますが、セキュリティ専門家は、悪用確率が 85 パーセンタイルを超えるすべての脆弱性に対して高い優先順位を与えることを推奨しています。これは、その脆弱性が悪用される重大なリスクを示しています。

詳細については、FIRST のEPSS モデルのページをご覧ください。

この表には、エクスプロイトの可能性の各レベルに割り当てたタグが表示されます。

悪用の確率	EPSS パーセンタイル
悪用される可能性が非常に高い	>95%
悪用される可能性が非常に高い	>90%
悪用の可能性	>85%

この機械翻訳は、参考として提供されています。

脆弱性の優先順位付けを理解する

Vulnerability Management（脆弱性管理）における優先順位の表示

優先順位に影響を与えるデータ

重大度データ

アクティブなランサムウェアデータ

エクスプロイト確率 (EPSS) データ

IAST確認データ

ランキングロジックの例

この機械翻訳は、参考として提供されています。

脆弱性の優先順位付けを理解する

Vulnerability Management（脆弱性管理）における優先順位の表示.css-21sua1{background:none;border:none;width:0;padding:0;}

優先順位に影響を与えるデータ

アクティブなランサムウェア データ

エクスプロイト確率 (EPSS) データ

IAST確認データ

ランキングロジックの例

Vulnerability Management（脆弱性管理）における優先順位の表示

アクティブなランサムウェアデータ