ビュー:

組織のCVEへの露出を評価し、緩和対策を調整するのに役立ててください。

お客様の組織の脆弱性を特定し対応するために、トレンドマイクロ は相互に補完し合う特定の指標を設計しました。
脆弱性の割合とCVE密度のウィジェットは連携して、脆弱性への対応を調整するのに役立ちます。特定の種類のアセットのCVE密度または割合のエントリをクリックすると、影響を受けるアセットのリストが表示されます。
メトリック
説明
CVE密度
検出されたCVEの総数を脆弱性診断を実施した管理アセットの総数で割った値 (総CVE数 / 脆弱性診断を実施した管理アセットの総数) から計算されます
CVE密度の計算は毎日行われます。週次および月次の平均は、日次の値に基づいた単純平均計算を使用します。
アセット総数: 3
  • アセット 1: 2 CVEs
  • アセット 2: 4 CVE
  • アセット 3: 0 CVEs
CVE 密度 (総 CVE 数 / 脆弱性診断を受けた総アセット数):
(2+4+0) / 3 = 2.0
脆弱性の割合
特定のアセットタイプの総数に対する検出されたCVEのあるアセットタイプの総数を、脆弱性診断を受けた特定のアセットタイプの総数で割って算出します (脆弱性のあるアセットの総数 / 脆弱性診断を受けたアセットの総数 * 100)。
注意
注意
脆弱性診断の範囲はサポートされているオペレーティングシステムに限定されます。
利用可能な脆弱性割合計算を含む管理されたアセット:
  • 内部アセット
  • ホスト
  • コンテナクラスタ
  • コンテナイメージ
  • クラウド仮想マシン
  • サーバーレス関数
脆弱性の割合計算は毎日行われます。週次および月次の平均は、日次の値に基づく単純平均計算を使用します。
  • 検出されたCVEを持つアセットの総数: 5
  • 脆弱性診断を実施したアセットの合計: 25
脆弱性の割合 (脆弱性があるアセットの総数 / 脆弱性診断を受けたアセットの総数 * 100):
5 / 25 * 100 = 20%
重要
重要
  • ホストのCVE数には、グローバルなエクスプロイト活動とトレンドマイクロサイバーセキュリティ専門家の評価に基づく高影響および中影響のCVEのみが含まれます。
  • 脆弱性診断は、Windows 10以降のWindowsデスクトッププラットフォームおよび一部のLinuxプラットフォームでのみサポートされています。詳細については、脆弱性診断でサポートされるOSを参照してください。
CVE密度と脆弱性の割合を一緒に使用することで、組織のリスクプロファイルをより正確に把握することができます。

シナリオの例

A会社
B会社
  • CVEの密度: 10.2
  • 脆弱な内部アセットの割合: 5%
  • CVEの密度: 10.2
  • 脆弱な内部アセットの割合: 40%
両社のCVE密度値は同じ (10.2) であるにもかかわらず、リスクプロファイルは非常に異なります。
  • 会社Aは、少数の内部アセットに多数のCVEが存在しており、これは会社が定期的にパッチを適用しており、最新の更新を受けていないエンドポイントが限られていることを示している可能性があります。
  • 会社Bには多数の内部アセットがあり、多数のCVEが存在します。これは、会社がエンドポイントのパッチ適用を遅らせている可能性があり、内部テストの要件が原因である可能性があります。
両方の指標を調べることで、CVE脆弱性を減らすための最適な方法を決定するのに役立ちます。