アプリケーションのスコアガイド
Contrastでは、アプリケーションは文字で表したグレードでスコア付けされ、アプリケーションの全体的な評価を把握するのに役立ちます。
アプリケーションのスコアは、アプリケーションがどれだけ疎通されているかによりますが、アプリケーションで検出された脆弱性の数と深刻度に基づき算出されます。
算出されたスコアはグレード(AからFの文字)に置き換えられて、Contrastで表示されます。
A:90-100
B:80-89
C:70-79
D:60-69
F:35-59
アプリケーションのスコアの算出には、アプリケーションのライブラリのスコアとカスタムコードのスコアの平均を求めます。
カスタムコードのスコアの算出は100点から始まり、アプリケーションで検出された脆弱性の数に、以下に示す深刻度に応じたペナルティの重み付けを掛けたペナルティ点数が差し引かれます。
重大:脆弱性の数×20
高:脆弱性の数×10
中:脆弱性の数×5
低:脆弱性の数×1
脆弱性の重み付けは、悪用される可能性やその影響の深刻さにより異なります。
例えば、SQLインジェクションは、専門知識が無くても悪用できる自動化ツールなどが存在するため、深刻度を重大としています。アプリケーションやスキーマについて何も知らない攻撃者が、データベースの全ての内容を盗み出せる可能性があります。
一方、SHA-1などのハッシュアルゴリズムの使用は、深刻な弱点があることで知られているため、低リスクと見なされます。また、実際に悪用するには、組織や国家レベルでの大規模な支援のもと、非常に熟練した攻撃者のリソースが必要です。
ヒント
アプリケーションのスコアの算出例:
まず、カスタムコードのスコアを決定します。アプリケーションの脆弱性が、重大が0、高が1、中が2、低が1だった場合、カスタムコードのスコアは以下のようになります。
100 - (20 X 0) - (10 X 1) - (5 X 2) - (1 X 1)= 79
ライブラリのスコアが85、カスタムコードのスコアが79のアプリケーションの場合、アプリケーションのスコアは82となり、Bという評価になります。
85 + 79 = 164 164/2 = 82
スコアを改善するには:
CVEシールドやProtectルールを有効にして、防御した脆弱性をスコアの計算から除きます。
カスタムコードに存在する重大・高リスクの脆弱性を修正します。
脆弱なライブラリに対処します。
高リスクのライブラリを更新します。