ハードウェア脆弱性アセスメントの信頼スコア算出
信頼スコアは、部分的に一致したアセスメント、脆弱性一致アイテム (VIT)、および無視されたアセスメントに表示されます。
信頼スコアの計算について
HVA は、信頼スコアと呼ばれるスコアリングメカニズムを使用して、OT デバイスの CPE マッピングされた正規化されたコンテンツに一致する CVE データの精度を示します。信頼スコアは、 HVAのマッチングアルゴリズムによって作成されたマッチングスコアの集計計算です。
信頼スコアは、次のアセスメントによって異なります。
- 完全に一致したアセスメント:CVE 情報内のすべてのパラメーターが OT デバイスで利用可能なデバイスディスカバリーモデル値と一致するため、完全なアセスメントの場合、信頼スコアは 1 です。
- 部分的に一致するアセスメント:CPE 情報内のすべてのパラメーターが OT デバイスで利用可能なデバイスディスカバリーモデル値と一致しないため、部分的なアセスメントの場合、信頼スコアは 1 未満になります。
OT デバイスで利用可能な共通プラットフォーム一覧 (CPE) 情報から信頼スコアを計算する例を次に示します。
脆弱性アセスメントレコード CVE-2019-13946 のサンプルを次に示します。
次に、OT デバイスにマッピングされた CPE ファームウェアで使用可能な情報 OT_device_demo_internal_963例を示します。
OT デバイスのディスカバリーモデルで利用可能な情報の例を次に示します ( OT_device_demo_internal_963)。
信頼スコアの計算方法
OTデバイスにマップされたCPEファームウェアのサンプルとOTデバイスの検出モデルを比較すると、次のことがわかります:
信頼スコアの範囲は 0 ~ 1 です。信頼スコアは、CPE 情報に基づいて次の式で計算されます。- モデル情報には部分一致のみがあります。部分一致のため、モデルスコアには値 20 が割り当てられます。
- バージョン情報が一致しないため、バージョンスコアには値 0 が割り当てられます。
((BASE SCORE) + (publisher score) + (model score) + (version score)) / 100((25) + (25) + (20) + (0)) / 10070 / 100.70注:
信頼スコアの計算に使用される値を参照するには、「ハードウェア脆弱性アセスメントの信頼スコア参照テーブル」を参照してください。