PCI DSS基準での運用を簡単に -- SIDfm 3.1 リリースノート

▶ 新機能

• 「My SIDfm」ページに「ソフトウェアの危険度 警告ボード」の表示を追加しました。
• 「My SIDfm」ページに「CVSS基本値によるソフトウェア固有の脆弱性の分布」の表示を追加しました。
• 「My SIDfm」ページに「PCI DSS 基準 危険度図」の表示を追加しました。
• 「ユーザ情報 ・ 設定フィルタ情報」の基本情報に「MySIDfm 表示設定」を追加しました。

▶ 機能改善

• 早急に対処が必要なセキュリティホールの基準を変更しました。
• メール抽出ロジックを修正しました。

▶ 深刻なセキュリティホールが一目瞭然 -- 「ソフトウェアの危険度 警告ボード」

• SIDfm でサービス提供しているソフトウェアに関して、新たに登録された「セキュリティホール」の危険度を表示します。表示期間は、PCI DSS 基準で対策期間として定められている直近１ヶ月と直近３ヶ月を切替えることができます。
• 危険性は、共通脆弱性評価システム CVSS 2.0 による定量的評価により、「危険度指標」の警告表示を行っております。
• 「深刻な影響を及ぼすセキュリティホール」が存在し対処していない場合は、極めて危険な状態に置かれていることを表します。
• PCI DSS 基準を満たすための警告表示です。警告を発する危険度の判断基準は、SIDfmで定めています。

▶ セキュリティ対策やシステムインテグレーションが容易に -- 「CVSS基本値によるソフトウェア固有のセキュリティホールの分布」

• 登録される個々のセキュリティホールは「CVSS基本値」による定量的指標により、脆弱性の度合いを判断できます。これにより、共通な指針でセキュリティ対策の優先度を判断できます。
• 統計的な手法を用いて、ソフトウェア上で発見された、CVSS値を有する全てのセキュリティホールの脆弱度の分布を「箱ひげ図」（５数要約）で表したものです。ソフトウェアの脆弱性の分布傾向を理解し、セキュリティ対策やソフトウェア実装の計画等で利用できます。

▶ 全登録アイテムの危険度を一目で把握できます -- 「PCI DSS基準危険度天気図」

• フィルタに登録された全アイテムについて、PCI DSS基準による危険度を表示しています。評価期間は、直近3ヶ月間です。すべてのアイテムの状態を一覧表示していますので、一目で状態を確認することができます。

▶ 知りたい・重要な情報に素早く確実にアクセスできます -- 「My SIDfm 表示設定」

• My SIDfm ページに表示する項目を選択できます。併せて、表示する順番を変更することができます。これにより、知りたい・重要な情報に素早くアクセスできます。また、「Security Hole Informations」と「NEWS UPDATES」は、表示件数を5、10、15から選択できます。

▶ 早急に対処が必要なセキュリティホールの基準を変更しました。

• 旧バージョンでは、「共通脆弱性評価システム CVSS」スコアが 10.0 のみを早急に対処が必要なセキュリティホールとしていましたが、本バージョンからは基準を見直し、名称を「CVSS=10]から「深刻な脆弱性」に変更しました。 「深刻な脆弱性」は、「共通脆弱性評価システム CVSS」の評価法で、以下の状態 (CVSSスコア=9.3 以上相当）と定義しました。これらについては、早急に対処が必要なセキュリティホールを示しています。

• ・攻撃元(AV) : ネットワーク
• ・攻撃成立条件の難易度(AC) : やや難、または簡単
• ・攻撃前の認証要否(Au) : 不要
• ・機密性への影響(C) : 全面的
• ・保全性への影響(I) : 全面的
• ・可用性への影響(A) : 全面的

▶ メール抽出ロジックを修正しました。

• 特定の条件においてメールが正常に送信されない場合があったため、抽出ロジックを修正しました。