セキュリティスコアとは?PentaTrail の 400 点満点モデルで攻撃面を可視化する
目次
セキュリティスコアとは
セキュリティスコアとは、組織のサイバーセキュリティ態勢を 1 つの数値 で表したものです。複数の指標を総合的に評価することで、経営層やセキュリティ担当者が「いま何が良くて何が悪いか」を一目で把握できます。
業界では 0〜100 の単一スコアが一般的ですが、PentaTrail はこれを 3 軸 × 400 点満点の合成スコア に拡張しています。単一スコアでは「総合点が下がった理由」が見えにくいという課題を、3 軸の内訳を併記することで解消しています。
PentaTrail の 400 点満点モデル
Executive Dashboard には 総合スコア(400 点満点) と 3 つのサブスコア が表示されます。
| 軸 | 配点 | 意味 | 主な評価指標 |
|---|---|---|---|
| 脅威 | 200 点 | 検出された脆弱性のリスク総量 | TER バンド(S/A/B/C/D)の件数と分布 |
| 管理成熟度 | 100 点 | アセット情報の整備度 | グルーピング率、アセット分類率、責任者アサイン率 |
| 対応状況 | 100 点 | 対応プロセスの健全性 | 対応判断率、S 超過率、ABCD 超過率 |
各軸が高いと総合スコアが上がり、低いと総合スコアが下がります。
脅威スコア(200 点)
未対応(open / in_progress)の所見を起点に、ベース点 − 3 種類の減点 で算出します。減点は重大度の高い所見ほど強く効きます。
各ホストの「最も重い未対応バンド」を TER バンド ロジックで求め、ホスト単位で集計します。
ベース点
A バンドと B バンドのホスト数で減算します。S バンドは別途減点で扱うため、ここには含まれません。C・D バンドのホストはベース点に影響しません。
ベース点 = 200 × (1 − (A ホスト数 × 0.5 + B ホスト数 × 0.1) / アクティブホスト総数)
S ホスト減点(影響範囲)
S バンドの所見を持つ ホスト数(一意) で段階的に減点します。1 件の所見が複数ホストに該当する場合、ホスト数で計上されます。広範囲に S が散らばるほど重く減点される仕組みです。
| S ホスト数 | 減点 |
|---|---|
| 0 | 0 |
| 1 | −60 |
| 2〜3 | −110 |
| 4〜10 | −150 |
| 11〜30 | −180 |
| 31 以上 | −200 |
S 件数減点(累計件数)
S バンドに分類された 所見の件数(一意) で段階的に減点します。1 ホストに何件の S が積み上がっているかを問う独立した軸です。
| S 件数 | 減点 |
|---|---|
| 0〜5 | 0 |
| 6〜20 | −10 |
| 21〜50 | −25 |
| 51〜100 | −50 |
| 101 以上 | −80 |
2 軸の違い: 1 件の重大 CVE が 10 ホストに広がっているケース(ホスト減点 −150、件数減点 0)と、10 件の重大 CVE が 1 ホストに集中しているケース(ホスト減点 −60、件数減点 −10)は、攻撃面の意味が違うので別々に減点されます。両方が悪化すると両減点が重なります。
KEV 減点
KEV カタログに該当する未対応所見 1 件あたり −5 点、上限 −40 点。
最終値
脅威スコア = max(0, min(200, ROUND(ベース点) − S ホスト減点 − S 件数減点 − KEV 減点))
バンドの算出ロジックは TER の解説、その元となる優先度は TDL(脅威ディスカバリレベル) を参照してください。
管理成熟度スコア(100 点)
3 つの率にそれぞれ 最大配点 が割り当てられています。各率が 100% なら満点、50% なら半分、0% なら 0 点を獲得し、3 つの獲得点を合計したものが管理成熟度スコアです。
| 率 | 内容 | 最大配点 |
|---|---|---|
| グルーピング率 | アクティブな全ホストのうち、アセットグループに割り当てられているホストの割合 | 40 点 |
| アセット分類率 | アクティブな全ホストのうち、BI スコア の 3 タグ(purpose / data_classification / availability のいずれか 1 つ以上)が付与されているホストの割合 | 40 点 |
| 責任者アサイン率 | 契約配下のアセットグループのうち、責任者が割り当てられているグループの割合(ホスト単位ではなくグループ単位) | 20 点 |
例。
- 全率 100% → 40 + 40 + 20 = 100 点
- 全率 50% → 20 + 20 + 10 = 50 点
- グルーピング 100% / アセット分類 70% / 責任者 50% → 40 + 28 + 10 = 78 点
グルーピングとアセット分類が主役(最大配点 40 点ずつ)、責任者アサインは補助(最大 20 点)です。整備が進むほど、TER バンドの判定精度(特に BI 軸)が上がり、対応の責任分担も明確になります。
対応状況スコア(100 点)
「情報レベル」を除く所見への対応プロセスの健全性を評価します。
算出式
対応状況スコア = max(0, 対応判断率 − S 超過率 × 0.5 − ABCD 超過率 × 0.15)
3 つの率はいずれも 0〜100 の数値で、そのまま「点」として扱われます(下限 0、上限 100)。
各率の意味
- 対応判断率: 検出された所見のうち、「対応済み」または「対応不要」として判断が下された割合
- 分母には未対応・対応中・対応済み・対応不要のすべてが入り、分子は対応済みと対応不要のみ
- 「情報レベル」の所見は対象外
- 対象所見が 1 件もない場合は 100%(満点)
- S 超過率: S バンドの未対応所見のうち、発見から S の対応期限(7 日)を過ぎたものの割合(重み 0.5、率 100% 時に −50 点)
- ABCD 超過率: A〜D バンドの未対応所見のうち、発見からバンド別の対応期限(A=14 日 / B=21 日 / C=28 日 / D=35 日)を過ぎたものの割合(重み 0.15、率 100% 時に −15 点)
(対応期限は発見日から重大度別に自動的に決まります。S=7 / A=14 / B=21 / C=28 / D=35 日。重大度(バンド)はビジネス影響度に応じて自動算出されるため、同じ脆弱性でも重要資産ほど期限が短くなります)
例
対応判断率 80% / S 超過率 40% / ABCD 超過率 20% → 80 −(40 × 0.5)−(20 × 0.15)= 80 − 20 − 3 = 57 点
「検出はできているが対応が止まっている」状態を可視化する指標です。
対応状況パネルの 2 つのサブセクション
-
MOBILIZATION(対応不要): ユーザーが Mobilization 画面で「対応不要」と判断した所見の件数を、選択した理由ごとの 3 内訳で表示します
- 環境上影響なし
- 誤検知
- その他(自由記述または理由未設定のもの)
いずれも「対応不要」として判断済の所見なので、対応判断率の分子にも含まれます。なお「情報レベル」の所見(自動的にこのレベルに分類されたもの)は MOBILIZATION・対応判断率のいずれからも除外されます。
-
期限超過 未対応: 重大度別の対応期限(S=7 / A=14 / B=21 / C=28 / D=35 日)を過ぎた未対応所見が影響しているホスト数・グループ数・管理者数
脅威スコアに流れ込む観測指標
脅威スコアの土台となる脆弱性検出は、ASM(Attack Surface Management) で扱う Discovery フェーズで自動収集される多様な指標から構成されます。
- SSL/TLS 設定: 証明書の有効期限、TLS バージョン、暗号スイート、HSTS
- 公開ポート・サービス: 不要ポート、古いプロトコル(FTP / Telnet 等)、外部公開された管理画面
- 脆弱性: 既知の CVE、パッチ適用の遅延、ソフトウェアバージョン
- DNS 設定: SPF / DKIM / DMARC、DNSSEC、ゾーン転送制限
- 情報露出: エラーメッセージ、ディレクトリリスティング、バージョン情報、不要な HTTP ヘッダー
これら個別の検出結果が脆弱性として記録され、TER バンドに分類された上で脅威スコアに集計されます。
スコアの読み方
総合スコアは Executive Dashboard 上で 3 段階に色分け表示されます。
| 総合スコア | 評価 | 表示色 |
|---|---|---|
| 320〜400 | 優良 | 緑 |
| 240〜319 | 良好 | 黄 |
| 0〜239 | 要注意 | 赤 |
総合スコアが低い場合、3 軸のどれが原因かを内訳で確認します。
- 脅威スコアが低い → S・A バンドの件数が多い → TER マップ で集中している領域を特定
- 管理成熟度が低い → アセット整備不足 → グルーピング・アセット分類・責任者アサインを進める
- 対応状況が低い → 対応の滞留 → 対応判断または対応リソースの再配分を検討
スコア改善の打ち手
各サブスコアの算出式から、改善は次のように直接マッピングされます。
脅威スコア(200 点)
S・A バンドに分類される所見が多いほどスコアは下がります。改善の中心は 高優先度バンドの所見を減らすこと です。具体的には、Mobilization 画面で対応または受容の判断を下すか、AI ディープスキャンによる Validation で「確認できなかった所見」と判定された場合に TDL が 1 段階引き下げられます。
管理成熟度スコア(100 点)
算出式は グルーピング率 × 0.4 + アセット分類率 × 0.4 + 責任者アサイン率 × 0.2 です。3 つの率をそのまま底上げします。
- アセットグループを作成し、ホストを割り当てる → グルーピング率
- ホストに BI スコア のタグ(用途・データ分類・可用性要件)を付ける → アセット分類率
- アセットグループに責任者を割り当てる → 責任者アサイン率(グループ単位)
最大インパクトは重み 0.4 のグルーピング率とアセット分類率です。
対応状況スコア(100 点)
算出式は 対応判断率 −(S 超過率 × 0.5 + ABCD 超過率 × 0.15) で、超過率は減点として効きます。
- 対応判断率を上げる: open / in_progress の所見に対して closed(解決)または accepted(受容)の判断を下す
- 超過率を下げる: 重大度別の対応期限(S=7 日など)内に対応する。重みの大きい S バンド(× 0.5・期限 7 日)を最優先で処理
経営層への報告
Executive Dashboard そのものが経営層向けの週次レポート機能です。実装上、次の要素が同じ画面に集約されます。
- 総合スコア + 前週比 delta + トレンドライン(ヘッダー)
- 3 軸の数値内訳(脅威 / 管理成熟度 / 対応状況、それぞれ赤・黄・緑のパネル)
- AI が生成する CISO 向けインサイト(週次。総合・脅威・管理成熟度・対応状況の各パネルに表示)
- 過去週セレクタ(snapshot 履歴への切替)
別途レポートを作成しなくても、この画面を共有するか、ヘッダーの AI 生成サマリーをそのまま週報に引用すれば完結します。
PentaTrail のセキュリティスコア
PentaTrail/CTEM は CTEM フレームワーク全体をカバーするサービスで、Executive Dashboard で 3 軸の合成スコア(400 点満点)が週次で更新されます(CTEM とは)。所見ごとの優先順位付けには TER バンド を併用できます。
詳しくは機能紹介をご覧ください。実際にスコアを計測するには 14日間無料で始める。