ハードウェア脆弱性アセスメントの信頼スコア計算
部分的に一致したアセスメント、脆弱性一致アイテム (VIT)、および無視されたアセスメントの信頼スコアが表示されます。
信頼スコアの計算について
HVA は、信頼スコアと呼ばれる採点メカニズムを使用して、OT デバイスの CPE でマッピングされた正規化されたコンテンツに一致する CVE データの精度を示します。信頼スコアは、 HVA のマッチングアルゴリズムによって作成されたマッチングスコアの集計計算です。
信頼スコアは、次のアセスメントによって異なります。
- 完全に一致したアセスメント:CVE 情報のすべてのパラメーターが OT デバイスで利用可能なデバイスディスカバリーモデル値と一致するため、完全なアセスメントの信頼スコアは 1 です。
- 部分的に一致したアセスメント:CPE 情報のすべてのパラメーターが OT デバイスで利用可能なデバイスディスカバリーモデル値と一致しないため、部分的なアセスメントの信頼スコアは 1 未満です。
OT デバイスで利用可能な共通プラットフォーム一覧 (CPE) 情報から信頼スコアを計算する例を次に示します。
脆弱性アセスメントレコード CVE-2019-13946 のサンプルを次に示します。
OT デバイスにマッピングされた CPE ファームウェアで利用可能な情報のサンプルを次に示します OT_device_demo_internal_963。
OT デバイスのディスカバリーモデルで利用可能な情報のサンプルを次に示します OT_device_demo_internal_963。
信頼スコアの計算方法
OT デバイスにマッピングされた CPE ファームウェアのサンプルと OT デバイスのディスカバリーモデルを比較すると、次のことがわかります。
信頼スコアの範囲は 0 ~ 1 です。信頼スコアは、CPE 情報に基づいて次の式で計算されます。- モデル情報の部分的な一致のみがあります。部分一致により、モデルスコアには値 20 が割り当てられます。
- バージョン情報が一致しないため、バージョンスコアに値 0 が割り当てられます。
((BASE SCORE) + (publisher score) + (model score) + (version score)) / 100((25) + (25) + (20) + (0)) / 10070 / 100.70注:
信頼スコアの計算に使用される値を参照するには、「ハードウェア脆弱性アセスメントの信頼スコア参照テーブル」を参照してください。