「Asset Risk Score」(ARS)の計算には、「Asset Criticality」、「Qualys Detection Score」(QDS)、「Qualys Vulnerability Score」(QVS)などのさまざまなパラメータが使用されます。この項では、これらのさまざまなパラメータを使用した ARS の計算について説明します。
これは、Asset Criticality Scores(ACS)が定義されたアセットに割り当てられた複数のタグに基づいて計算されます。 複数のタグがアセットに割り当てられている場合は、ACS の最も高いスコアが採用されます。
例えば、アセットに 6 つのタグが割り当てられている場合、ARS の計算には、1 ~ 5 の間の最高値を持つタグが因子とみなされます。
タグの設定の詳細については、「タグの設定」を参照してください。
Qualys Detection Score(QDS)は、Qualys が検出した脆弱性に割り当てられます。QDS の範囲は、1 ~ 100 までで、4 つの重大度に分かれています。
- Critical: 90 ~ 100
- High: 70 ~ 89
- Medium: 40 ~69
- Low: 1 ~ 39
QDS は、次の因子から取得されます。
a)脆弱性の技術的情報(CVSS スコア): CVE の最も高い「Qualys Vulnerability Score」(QVS)が QID に関連付けられます。
b)脆弱性の現在の情報: 脆弱性の外部の脅威インテリジェンス情報を監視し、攻撃の可能性、マルウェア、アクティブな脅威アクターなどのデータ、さらに脅威がトレンドになっているかといったデータを収集します。
c)脆弱性の改善情報(CID): 脆弱性のリスクを軽減するための対策を適用します。Qualys コンプライアンスモジュールを使用して軽減策を適用した脆弱性のリスクスコアが軽減します。
注記: 複数の CVE が QID の因子となっている場合、最も高いスコアを持つ CVE が QDS の計算に採用されます。
Qualys Vulnerability Score(QVS)は、CVE に関連付けられた複数の因子に基づいて Qualys が割り当てた脆弱性スコアです。因子には、CVSS や外部脅威インジケータ(アクティブな悪用、攻撃の可能性など)があります。
Qualys は、CVS に適用されるさまざまな軽減策(CID)を提供します。すべての CID を QID に適用すると、QVS が低下します。CID が適用されない場合、QVS は QDS と同じになります。
次の公式を使用して、QDS を計算します。
QDS = QVS - CID
Asset Risk Score(ARS)とは、次の因子に基づいて、アセットに割り当てられた総合的なリスクスコアです。
a)Asset Criticality Score(ACS)
b)各 QID レベルの Qualys Detection Score(QDS)のスコア
c)QID の各緊急度に自動的に割り当てられた加重係数
次の公式を使用して、ARS を計算します。
ARS = ACS * {wc(Avg(QDc)) + wh(Avg(QDSh)) + wm(Avg(QDSm)) + wl(Avg(QDSl))}
ここでは、以下とします。
ACS - Asset Criticality Score.
w - QID の各重大度の加重係数 [critical(c)、high(h)、medium(m)、low(l)]
Avg(QDS) - そのアセットにおける QID の各重大度の Qualys リスクスコアの平均
特定のアセットのリスクスコアをクリックすると、詳細な計算内容を表示できます。