対象プラン 
自動診断の発見課題である「深刻度 緊急/高/中/低のCVEのパッチ適用頻度」において、数年前に公開された古いCVEが、直近改めて検出されるケースがございます。
本記事はその理由についてご説明します。
1. 「数年前の古いCVEの発見」について
自動診断の発見課題「深刻度 緊急/高/中/低のCVEのパッチ適用頻度」は、「CVEが見つかってからパッチが適用されるまでの期間」を評価しています。そのため、一定期間内にCVEのパッチ適用していない場合は、その後に対策を行った場合でも解決申請は承諾されず、一定の間検出事項として残り続ける課題です。
本課題において、以下の例の様に、数年前の古いCVEが最近になって改めて検出されるケースがあります。
Tips
「深刻度 緊急/高/中/低のCVEのパッチ適用頻度」について、解決申請が却下される場合はこちらの記事をご覧ください。
2. 検出理由
古いCVE(脆弱性)が新たに発見される理由として、以下の2つが考えられます。
1.スキャン機能の性能向上による影響
・スキャン技術の改善
SecurityScorecard社のスキャン機能は、より高速かつ安定して動作するよう日々改善されているため、過去に検出されなかった脆弱性を新たに発見できる場合があります。
・検出項目の更新
スキャン機能は外部公開されるCPE情報(ソフトウェアやハードウェアの識別情報)を取り込み、検出項目を日々追加・更新しています。このような改善により、新しい視点から脆弱性が検出されるケースがあります。
2.評価対象システムや設定の変動による影響
・評価対象の変動
資産対象(IP/Domain)や検出対象(対象ポート,値)は、設定の変更や追加/削除の影響、また動的な資産の変更等により変動する可能性がございます。そのため、スキャンのタイミングによっては、診断結果が異なることがございます。
・システム構成の変更
対象となる資産が設置されているシステム構成の変更(特に対象システム前段にセキュリティ機器が存在するか否か)により、スキャン自体による検出が有効に働かず、検出結果と実際のシステム状況に差異が生じる場合がございます。そのため、脆弱性の検出有無や検出タイミングが変わる可能性がございます。
注意
自動診断機能は、自社をサイバー攻撃者の視点から見た場合に、他社と比べてどのような状態にあるかを評価し、スコア化するための分析・レポートツールです。この機能は、脆弱性診断やプラットフォーム・アプリ診断の「代替」ではなく、それらを補完する形で利用するものです。