企業がCVEにさらされている状況と、世界の平均値との比較を評価します。
トレンドマイクロ では、自社の脆弱性をより適切に判断して対応できるように、特定の指標を互いに補完し合うように設計しました。
悪用可能性の高いCVEの密度と脆弱なエンドポイントの割合を組み合わせることで、脆弱なエンドポイントの脅威への対応を調整できます。 Vulnerable Container
Cluster Percentageは、コンテナ内のCVEへの暴露に関するコンテキストを追加します。
メトリック
|
説明
|
例
|
||
頻繁に悪用されるCVE密度
|
検出された悪用可能性の高いCVEの総数を、脆弱性診断が有効になっているエンドポイントの総数で割った値から計算されます (悪用可能性の高いCVEの総数/脆弱性診断が有効なエンドポイントの総数)
悪用の可能性の高いCVE密度の計算は毎日行われます。週次および月次の平均では、日次の値に基づく単純な平均計算が使用されます。
|
エンドポイントの総数: 3
悪用可能性の高いCVEの密度 (悪用可能性の高いCVEの総数/脆弱性診断が適用されたエンドポイントの総数):
(2+4+0) / 3 = 2.0
|
||
脆弱なエンドポイントの割合
|
高度に悪用されるCVEが検出されたエンドポイントの総数を、脆弱性診断が有効になっているエンドポイントの総数で割った値から計算されます (脆弱性診断が有効になっているエンドポイントの総数
/ 脆弱性診断が行われたエンドポイントの総数 * 100)。
脆弱性エンドポイントの割合は毎日計算されます。週次および月次の平均では、日次の値に基づく単純な平均計算が使用されます。
|
脆弱性エンドポイントの割合 (脆弱性があるエンドポイントの総数 / 脆弱性評価が行われたエンドポイントの総数 * 100):
5 / 25 * 100 = 20%
|
||
脆弱なコンテナクラスタの割合
|
脆弱性診断が有効になっているコンテナクラスタの総数で、脆弱性診断が有効になっているコンテナクラスタの総数で除算して計算されます (脆弱性診断が有効なコンテナクラスタの総数
/ 脆弱性診断が行われたコンテナクラスタの総数 * 100)。
脆弱性コンテナクラスタの割合は毎日計算されます。週次および月次の平均では、日次の値に基づく単純な平均計算が使用されます。
|
脆弱性があるコンテナクラスタの割合 (脆弱性があるコンテナクラスタの総数 / 脆弱性評価があるコンテナクラスタの総数 * 100):
13 / 37 * 100 = 35%
|
||
脆弱なクラウド仮想マシンの割合
|
高度に悪用されるCVEが検出されたクラウド仮想マシンの総数を、脆弱性診断が有効になっているクラウド仮想マシンの総数で割って計算されます (脆弱性診断が有効なクラウド仮想マシンの総数
/ 脆弱性診断が有効なクラウド仮想マシンの総数 * 100)。
Vulnerable Cloud VM Percentageは毎日計算されます。週次および月次の平均では、日次の値に基づく単純な平均計算が使用されます。
|
脆弱性のあるクラウド仮想マシンの割合 (脆弱性があるクラウド仮想マシンの総数 / 脆弱性診断が存在するクラウド仮想マシンの総数 * 100):
20 / 100 * 100 = 20%
|
||
脆弱なイメージの割合
|
高度に悪用可能なCVEが検出されたコンテナイメージの総数を、脆弱性診断が有効になっているコンテナイメージの総数で除算して計算されます (脆弱性診断が有効になっているコンテナイメージの総数
/ 脆弱性診断が行われたコンテナイメージの総数 * 100)。
|
脆弱性イメージの割合 (脆弱性があるコンテナイメージの総数 / 脆弱性診断が含まれるコンテナイメージの総数 * 100):
25 / 100 * 100 = 25%
|
![]() |
重要
|
シナリオの例
A会社
|
B会社
|
|
|
両社のCVE密度の値は同じ (10.2) ですが、リスクプロファイルは大きく異なります。
両方の指標を調べることで、企業はCVEの脆弱性を軽減するための最適な方法を判断できます。
|