[アプリケーション脆弱性] フィールド

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:8分

    • 脆弱性は、脆弱性情報データベース (NVD)、共通脆弱性タイプ一覧 (CWE)、またはサードパーティ統合からレコードがダウンロードされると自動的に作成されます。NVD と CWE は、脆弱性対応[ライブラリ] または アプリケーション脆弱性対応[脆弱性] の下に格納されます。

    CWE 脆弱性エントリーフィールド

    次の表のフィールドは読み取り専用です。

    フィールド 説明
    CWE ID この脆弱性エントリーの識別子。この識別子はカテゴリと脆弱性の両方に使用され、2 つのデータセット間で一意です。
    名前 この CWE-ID にアサインされた記述名。
    エクスプロイトの可能性 定性的スケールで脆弱性が利用される可能性。次のいずれかになります。
    • 中程度
    OWASP 上位 10 位 OWASP 上位 10 リストにおけるこの脆弱性の数値的な位置。
    SANS 上位 25 位 SAN 上位 25 リストにおけるこの脆弱性の数値的な位置。
    クラス 脆弱性のタイプ
    ステータス 次のいずれかになります。
    • 未完了
    • ドラフト
    • 安定
    • 不使用
    • 廃止
    • 不安定
    抽象化 次のいずれかになります。
    • バリアント
    • クラス
    • ベース
    • 複合
    更新日時 最後にインスタンスでレコードが更新された日時。
    機能エリア 影響を受ける機能エリアのリスト。たとえば、[ファイル処理 (File Processing)]。24/862 の脆弱性についてのみ設定されます。
    影響を受けるリソース 影響を受けるリソースのリスト。たとえば、[ファイル] または [ディレクトリ]。51/863 の脆弱性についてのみ設定されます。
    URL この脆弱性に関連付けられたナレッジベース記事。
    説明 脆弱性の説明。
    統合実行 この CWE がインポートされた統合実行。
    セクション
    その他の詳細 脆弱性をさらに説明するソフトウェアの概念の説明。含まれる内容:
    • 詳細な説明
    • バックグラウンドの詳細
    • メモ
    ディスカバリー方法 アプリケーションにおけるこの脆弱性を検出する方法の詳細。
    導入モード 脆弱性が導入されるフェーズ ([実装 (Implementation)][アーキテクチャと設計 (Architecture and Design)] など)。
    デモ例 脆弱性のコード例と説明。
    緩和の可能性 アプリケーションライフサイクルのどのフェーズで発生するか、緩和の有効性など、脆弱性を防止する方法の詳細。
    関連リスト
    関係 この脆弱性に関連付けられた CWE。この CWE とその他との関係を一覧表示します。parent/child、follows/precedes、requiredby/requires (複合的な脆弱性の場合)、CanAlsoBe、PeerOf、MemberOf を含めることができます。
    観測された例 この脆弱性を表す CVE。
    一般的な結果

    悪用に成功した場合の結果、その範囲と影響。たとえば、

    範囲:機密性

    影響:アプリケーションデータの読み取り
    メンバーシップ この脆弱性を含む CWE メンバーシップ。
    適用プラットフォーム この脆弱性に関連付けられたプラットフォーム。
    アプリケーション脆弱性エントリー 1 つに関連付けられた他のアプリケーション脆弱性エントリー。
    外部参照 外部ソースからの脆弱性に関する情報。

    アプリケーション脆弱性エントリーのフィールド

    次の表のフィールドは読み取り専用です。
    フィールド 説明
    ID この脆弱性エントリーの識別子。
    ソース 脆弱性の発生元 - スキャナーまたは物理テスト。
    重大度 この脆弱性の重大度を正規化したもの。重大度マップは、NVD および ServiceNow サードパーティ統合に提供されます。重大度マップの作成や調整の詳細については、「アプリケーション脆弱性一致アイテムの重大度を自動的にマッピングする」を参照してください。

    バージョン 13.0:プライマリ CWE

    バージョン 12.1:CWE エントリー

    この脆弱性が最も適合する共通脆弱性タイプ一覧要素への参照。

    脆弱性に複数の CWE が関連付けられている場合、プライマリ CWE は次のように決定されます。
    • CWE が OWASP 上位 10 位にマッピングされていますか。該当する場合は、この CWE を使用します。該当しない場合は、続行します。
    • SANS 上位 25 位にマッピングされていますか?該当する場合は、この CWE を使用します。該当しない場合は、続行します。
    • CWE の重大度は最高ですか?該当する場合は、この CWE を使用します。該当しない場合は、続行します。
    • すべての CWE のうち最新のものを選択します。最新の CWE は、CWE レコードの内、最新の [更新済み (Updated)] フィールド値を含むものです。
    カテゴリ名 サードパーティ統合によって提供される分類。アサインを支援します。
    脆弱性の詳細
    脅威 この脆弱性に由来する脅威の説明。
    緩和の説明 この脆弱性を緩和するために実行できる手順の説明。
    関連リスト
    バージョン 13.0:

    CWE

    		 この脆弱性に関連する CWE のリスト。Veracode 脆弱性統合 には適用されません。

    NVD エントリーのフィールド

    次の表のインポートされたフィールドは読み取り専用です。
    注:

    NVD データは アプリケーション脆弱性対応 では使用されず、エントリーは 脆弱性対応 データのみを表します。

    アプリケーション脆弱性対応 で使用される CWE は、脆弱性の例として NVD エントリーを指すことができ、ここでは情報提供のみを目的としています。

    フィールド 説明
    ID この脆弱性エントリーの識別子。
    リスク評価

    (脆弱性に関連付けられている 脆弱性対応 脆弱性一致アイテム (VI) がない場合は非表示)

    VI を [重大]、[高]、[中]、[低]、および [なし] に分類する数値化された [リスクスコア]
    リスクスコア

    (脆弱性に関連付けられている VI がない場合は非表示)

    脆弱性一致アイテムが環境にもたらすリスク量を算出したもの。
    重大度 脆弱性対応 におけるこの脆弱性の重大度を正規化したもの。重大度マップは、NVD および ServiceNow サードパーティ統合に提供されます。アプリケーション脆弱性対応 [重大度] は、NVD ではなく、インポートされた [ソース重大度] から導出されます。アプリケーション脆弱性対応 の重大度マッピングについては、「アプリケーション脆弱性一致アイテムの重大度を自動的にマッピングする」を参照してください。
    エクスプロイト有無 少なくとも 1 つのエクスプロイトがこの脆弱性に関連付けられている場合は、有り。
    エクスプロイトスキルレベル この脆弱性を利用するために必要な最低スキルレベル。
    エクスプロイト攻撃ベクトル

    この脆弱性のエクスプロイトの最も脆弱な攻撃ベクトル。
    アクティブな VI

    (脆弱性に関連付けられている VI がない場合は非表示)

    [クローズ済み] ステータスではない、この脆弱性に関連付けられた脆弱性一致アイテムの数。この脆弱性にアクティブな AVI がない場合、[リスク評価][リスクスコア] は表示されません。
    CWE エントリー NVD に従った、この脆弱性が最も適合する共通脆弱性タイプ一覧要素への参照。
    公開日 この脆弱性が公開された日付。
    最終変更日 この脆弱性が前回変更された日付。
    まとめ 脆弱性の説明。
    脆弱性の詳細
    CVSS v2 インポートされた CVSS v2 データ
    CVSS v3 インポートされた CVSS v3 データ。2015 年より前は利用できません。
    優先ソリューション

    (脆弱性に関連付けられている VI がない場合は非表示)

    この脆弱性で参照されたソリューションから導出された、チェーン内で最も優先度が高いソリューション。連結内に複数の最高優先度が存在する場合、値は設定されません。手動で設定した値は、後続のインポートで上書きできます。この値の手動設定は、脆弱性一致アイテムで行う必要があります。
    修復ステータス

    (脆弱性に関連付けられている VI がない場合は非表示)
    保留を除外する
    脆弱性一致アイテム この脆弱性があるアクティブなアプリケーション脆弱性一致アイテムの数。この数には、保留された脆弱性一致アイテムは含まれません。
    合計 VI この脆弱性がある脆弱性一致アイテムの合計数。この数には、保留された脆弱性一致アイテムは含まれません。
    修復された VI の割合 この脆弱性がある脆弱性一致アイテムの修復の完了率。この数には、保留された脆弱性一致アイテムは含まれません。
    保留を含める
    脆弱性一致アイテム この脆弱性があるアクティブな脆弱性一致アイテムの数。
    合計 VI この脆弱性がある脆弱性一致アイテムの合計数。
    修復された VI の割合 この脆弱性がある脆弱性一致アイテムの修復の完了率。
    関連リンク
    v13.0 より前:ソフトウェア脆弱性のインポートを強制
    注:
    v13.0 で削除
    		 (使用廃止) NVD からの情報に基づいて、ITSM ソフトウェア資産管理 を使用して製品マッピングを再計算します。脆弱なソフトウェアライブラリを更新します。
    ステータスを更新

    前回の更新日時を表示します。

    以下を更新します。
    • 修復タスクステータス
    • リスクスコアと評価
    • [修復ステータス] セクションのアクティブな VI、合計 VI などのメトリクス
    関連リスト
    脆弱性一致アイテム

    (脆弱性に関連付けられている VI がない場合は非表示)

    この脆弱性に関連付けられた脆弱性一致アイテム。
    脆弱性参照 NVD によって引用された、外部ソースからの脆弱性に関する情報。
    エクスプロイト この脆弱性に関連付けられているエクスプロイト。
    ソリューション

    (脆弱性に関連付けられている VI がない場合は非表示)

    この脆弱性に関連付けられているすべての 脆弱性ソリューション管理 統合ソリューション。
    バージョン 13.0:

    弱点

    		 一般的な脆弱性とエクスポージャー (CVE) に関連付けられたインポートされた CWE 脆弱性データ。
    バージョン 13.0:

    脆弱なソフトウェア

    (脆弱性に関連付けられている VI がない場合は非表示)

    脆弱性に関連するインポートされた共通プラットフォーム一覧 (CPE) データ。