SIDfm RA よくある質問

OS・アプリケーションベンダーからのセキュリティ情報を最重要視しています。セキュリティアドバイザリを発行しないアプリケーションの場合は、CVE 情報を情報源としています。さらに、セキュリティホール情報の確度を向上させるため、以下の関連情報も情報源として確認しています。

• JVN : http://jvn.jp/index.html
• JPCERT/CC : http://www.jpcert.or.jp
• US-CERT : https://www.us-cert.gov/

いいえ、弊社での独自算出は行っておりません。製品ベンダの提供する CVSS 評価値があればそれを使用し、無い場合は NIST の NVD (National Vulnerability Database) の提供する CVSS 評価値を使用するようにしています。

1. 製品ベンダ (Red Hat / CentOS / Cisco / HPE / ISC / MIT / SYMANTEC など)
   製品ベンダのアドバイザリに CVSS スコアが記載されている場合、その CVSS 評価値を優先的に使用します。製品ベンダの CVSS 評価値は、SIDfm のセキュリティコンテンツの登録時に同時に登録しています。
2. NIST の NVD (National Vulnerability Database)
   製品ベンダから CVSS 評価値の発表が無い場合、NVD の CVSS 評価値を採用しています。NVD の CVSS 評価値については一日に一度取得し、これを SIDfm のセキュリティコンテンツに反映させています。このため、セキュリティコンテンツ登録時に CVSS 評価値の無いものが存在することをご承知ください。

2021年4月現在、国内最大級の 870 種類以上の OS/アプリケーションに関するセキュリティ情報を取り扱っています。最新の取扱い一覧データは「SIDfm に登録されているソフトウェア製品」よりご確認ください

登録ソフトウェア製品一覧ページ もしくは、SIDfm サポートのニュースページ にてご確認頂けます。

はい、可能です。
OS、アプリケーションの新規取扱の希望がございます場合は、希望される OS/アプリケーションの正式名称および製品URLをヘルプデスクの「お問い合わせフォーム」よりご連絡ください。
ご連絡を頂きました OS/アプリケーションは、取扱可否を判断させて頂きます。なお、判断理由については開示しておりません。また、一度に多くのリクエストをいただきました場合は、回答までにお時間をいただく場合がございます。予めご了承ください。

日本語以外での情報提供は行っておりません。

弊社セキュリティ情報データベースの情報は、弊社が対象としております情報源を営業日毎に日々確認し、新しい脆弱性情報を発見、または情報が更新されていた場合に、原則 2 営業日以内にデータベースへの登録または更新を行います。

関連リンクをご参照ください。
【SIDfm RA ユーザガイド】セキュリティホール詳細情報を確認する

ソフトウェア等の単なる不具合情報は、収集の対象としておりません。
Red Hat Enterprise Linux Server (v. 6) を例にご説明致します。Red Hat Enterprise Linux Server (v. 6) のセキュリティおよび不具合（バグ）情報は、以下のページで公開しております。
http://rhn.redhat.com/errata/rhel-server-6-errata.html
上記ページ内の内容は、その内容により「security」「bug fix」「enhancements」のカテゴリに分類されています。その内、SIDfm が扱う情報は、「security」に分類されている情報となります。
SIDfm が取り扱う情報は、OS、アプリケーションベンダーがセキュリティとした情報となります。概ね、それらのセキュリティ情報には、CVE番号が付与されます。
ベンダーがセキュリティとする基準が公表されている訳ではございませんが、概ね、不具合の内、他者に利用される不具合やシステムを停止される不具合などの重大な結果を引き起こす不具合をセキュリティとして分類しております。

SIDfm の「影響を受ける環境」欄に記載する情報は、ベンダのアドバイザリなど確実な情報を元に記しています。
Windows Server 2003 R2 は、マイクロソフトにより 2015年7月14日までサポートされますが、マイクロソフトのアドバイザリに記載の無い場合は、SIDfm のコンテンツに含まれません。

製品ベンダによるサポートの終了した製品は取り扱っておりません。
これは、SIDfm では製品ベンダの提供する情報をベースとしてセキュリティホール情報コンテンツを作成することとしており、製品ベンダによる公式な情報が提供されない製品は、確実性のある情報の入手が難しいためとなります。これにより、SIDfm の「影響を受ける環境」欄に記載する情報は、ベンダのアドバイザリなど確実な情報を元に記しています。なお、製品ベンダによるサポートの終了した既に登録済みのセキュリティ情報は、そのまま提供しております。
また、例えば、Apache Struts 2 のセキュリティホールに対して、Apache Struts 1 の影響を確認するといったような、ある製品のセキュリティホールに対する別の製品の影響確認もしておりません。(※ SIDfm では、Apache Struts 1 と Apache Struts 2 は、互換性が無いためバージョン違いでは無く別製品と認識しております。)

SIDfm では「Microsoft Windows Server 2012 R2」は、「Microsoft Windows Server 2012」に含める形で取り扱っております。「Microsoft Windows Server 2012 R2」の情報を受取る場合は、「Microsoft Windows Server 2012」をフィルタにご登録ください。

なお Microsoft Windows Server 2008 と Microsoft Windows Server 2008 R2 が個別に製品登録されていることに対して Microsoft Windows Server 2012 がまとめられている理由は、Microsoft のセキュリティアドバイザリでの取り扱いの違いに起因しております。
MS16-090 を例にご説明いたしますと、アドバイザリ内では、「影響を受けるソフトウェア」の表に「Windows Vista」などが太字で記載されています。ここで「Windows Server 2008」と「Windows Server 2008 R2」は別のグループとして記載されていますが、「Windows Server 2012」と「Windows Server 2012 R2」は同じグループとして記載されています。
SIDfm では、Windows 製品をこのグループ表記に基づく形で「Windows Server 2012」と「Windows Server 2012 R2」をまとめて扱うようにしております。

SIDfm へのセキュリティホール情報の登録は、以下の基本方針によって登録するかどうかを判断しています。従いまして、公式なセキュリティホールの情報が発表された後、内容を精査して情報を登録致します。なお、これは基本方針であり、すべてを満たさないと登録しないということではございません。製品ベンダなどから提供されるセキュリティホール情報の内容は様々であり、提供される内容が決まっておらず、画一的な基準にあてはめることができないため、基本方針に添って柔軟性を持った対応を行っております。

1. セキュリティホール情報であること
2. SIDfm にて取り扱う製品であること
3. ある程度の確度のある情報であること
4. 公式の情報があること
5. 対処方法があること

SIDfm ではいわゆる「実証 (PoC) コード」、IPA 、JPCERT、製品ベンダやセキュリティベンダなどのアナウンスを「攻撃コード」として利用しています。なおこれらの情報は、SIDfm セキュリティコンテンツの作成時やその他の情報を収集する際に副次的に集めた情報を利用しているため、実証コードや攻撃のアナウンスがあるにもかかわらず「攻撃コードあり」とならないセキュリティコンテンツがあることをご承知ください。

EOL (End Of Life) は、弊社がセキュリティ情報やセキュリティ情報の周辺情報を収集する過程において、EOL 情報を発見した場合に登録致します。

はい、提供されます。RedHat や CentOS が提供しているパッケージについては、アプリケーションのバージョンに関わりなく Red Hat や CentOS の脆弱性として提供致します。

いいえ。
RHEL 7 の rpm パッケージに関するセキュリティホール情報の受信は、Red Hat Linux の "Enterprise Linux Server 7" や "Enterprise Linux Workstation 7" などのアイテムをご指定ください。
なおこの指定を適用した場合、openssl に限らず指定した RHEL7 のセキュリティホール情報が通知されるようになります。

「Red Hat Enterprise Linux Server 7」を登録してください。
SIDfm では Red Hat Enterprise Linux は、メジャーバージョンごとに扱っています。 (RHEL の仕組み上区別する必要がありません。また Red Hat のアドバイザリでも区別されていません) なお RHEL の EUS, AUS などは対象外としています。
SIDfm で扱っている別の製品バージョンの包括範囲を確認したい場合は、ご面倒ですがサポートまでお問い合わせください。

マイクロソフトから Windows Server 2008 および Server 2008 R2 のセキュリティホール情報が提供されるのであれば、SIDfm からも Windows Server 2008 および Server 2008 R2 の脆弱性コンテンツを提供いたします。

信頼できるアドバイザリ情報に記載されている回避方法のうち、セキュリティホールの影響を取り除くことが可能な方法を記載するようにしています。 またリスクを低減する方法については基本的に記載しないようにしていますが、記載する場合にはそのことが判別できるようにしています。 一般的なアクセス制限や汎用的な内容については記載いたしません。

脆弱性情報コンテンツの更新履歴欄には、脆弱性情報コンテンツの更新を行った箇所について記載します。
2021 年現在における更新履歴への記載方針は次のとおりとなります。

1. 脆弱性情報コンテンツに記載される内容の追加または更新箇所を記載します。 (更新箇所にも更新について記載します)
2. 製品ベンダーの情報による更新の場合は、ベンダーの更新として記載します。
3. 危険度・影響範囲・CVSS スコアなどの属性情報は、更新履歴の記載対象としていません。(経緯上、およびシステム上の都合によります)

CVSS 評価値は、製品・評価者によって差異が発生しうる評価指標です。
SIDfm では可能なかぎり製品ベンダの CVSS 評価値を使用し、製品ベンダの評価値が無い場合や利用が難しい場合などには、NIST の CVSS 評価値を使用するようにしています。 SIDfm™ の脆弱性コンテンツの登録タイミングや製品ベンダのアドバイザリ公開のタイミングなどの事情により、表示される CVSS 評価値に差が発生することがあります。
なお SIDfm の運用上の理由により Red Hat 社の提供する CVSS 評価値は利用することができていませんでしたが、2019年2月から Red Hat の CVSS 評価値も使用するようになりました。

SIDfm では製品ベンダから CVSS データの提供されない脆弱性の CVSS データとして NVD の提供する CVSS データを利用します。NVD から提供される CVSS データを月曜日から金曜日の午前8時頃に SIDfm へインポートし、CVSS データを更新します。なお現在 CVSS データの更新は、脆弱性コンテンツの更新履歴は反映していません。

SIDfm の脆弱性情報コンテンツはベンダや NVD の提供する CVSS スコアを利用しています。このため、ベンダや NVD から CVSS スコアが提供されていない場合は、SIDfm の脆弱性の CVSS スコアも同様に無い状態となります。

F5 Networks 社の指標 (Security Advisory の Severity) と SIDfm の持つ情報を元にして総合的な判定を行っています。そのため、SIDfm では危険度 High となるセキュリティホール (任意のコード実行や権限昇格) であっても、F5 Networks 社の指標を尊重し、危険度を Medium や Low とすることがあります。利用方法の定まっていないライブラリや言語環境 (Java など) のようなコンポーネントのセキュリティホールは、F5 Networks 社製品におけるコンポーネントの利用方法に基づいたリスクとなるため、危険度が小さく判定されることがあります。

主に次の二つのケースがあります。

• NIST がセキュリティホールの被害を特定していない場合 (NIST の NVD の説明では 「unspecifie impact」などと記載される)、CVSS 評価値は 10.0 や 9.3 などの高い値となることがあります。SIDfm ではこのような情報を危険度 Medium として扱うことがあります。
• 利用方法の定まっていないライブラリや言語環境 (Java など) では、ライブラリや言語環境そのものの危険度と製品に組み込まれた際の危険度の違いが、CVSS 評価値とセキュリティコンテンツの危険度の差となって現れることがあります。例えば、libxml2 の任意のコード実行を許すセキュリティホールは、ライブラリそのものとしての CVSS 評価値は 10.0 や 9.3 などになりますが、製品に組み込まれた際に、問題のある機能や関数を使用していないなどの理由により、製品ベンダによって危険度 Medium や Low として判定されることがあります。

SIDfm の特記事項については「SIDfm 特記事項」よりご確認できます。

まずは、スクリプトに実行権限が付与されているか確認してください。 OS パッケージの情報を送信するスクリプトは、HTTPS 経由で実行されています。各ホストとSIDfm RA サービスサイトまでの経路にて HTTPS の通信が拒否されていないか、ご確認ください。

SIDfm RA での「製品」とは、Red Hat Enterprise Linux などの OS、Apache Struts などのミドルウェア、Cisco IOS などのハードウェアに搭載されるソフトウェアや一部のハードウェアなど、SIDfm RA で扱っている脆弱性情報提供の対象となるソフトウェアやハードウェアを示します。

OS を含め 50 製品が上限となります。

SIDfm RA はサーバシステムを管理することを目的としているため、ホストに OS を複数登録することはできません。

ユーザごとに設定はできません。CVSS バージョンの設定は、ライセンス(グループ)内全てのユーザに共通して適用されます。

CVSS バージョンを v2 から v3 へ変更することも、v3 から v2 へ戻すことも特に制限はありません。

脆弱性の評価に使用している CVSS バージョン変更されます。

評価ライセンスをご希望のお客様は「SIDfm 試用版のお申し込み」からお問い合わせください。

ホストとは、SIDfm RA にユーザが登録するサーバ機器や端末等の総称で、お客様がシステムの維持・管理を行っている対象の機器を意味します。SIDfm RA では、このホストに紐付いた脆弱性情報（セキュリティホール情報）や運用に役立つ機能を提供します。 ユーザがホストを登録する際、ホストに付ける名前は任意です。実際のサーバのホスト名でも通称でも構いません。担当者が区別・管理しやすい形で自由にご利用可能です。
ホストは、SIDfm RA の 総合情報分析機能、 リスク管理機能、 ホスト状態管理機能 など、SIDfm RA のほぼ全ての機能で鍵として使用される最も重要な登録情報となっています。

資産グループとは、複数のホストをグループとして論理的一つに纏めたものです。この資産グループの意味する所は、ホストの管理部署などの「組織」であったり、「フロア」などホストの物理的な配置であったり、「プロダクション環境」「開発環境」など論理ネットワーク構成であったり、とユーザが自由に設定できます。SIDfm RA では、この資産グループ単位でリスクを俯瞰、分析・評価、などに使用します。
資産グループは、SIDfm RA の 総合情報分析機能、 リスク管理機能、 作業記録・監査対応機能 など、SIDfm RA の主要な機能で全体を俯瞰するために使用される登録情報となっています。

ログイン ID とは、SIDfm RA のシステムを利用するために必要なIDを意味します。これは利用者「個人」に弊社から割り当てられるものです。したがいまして、エイリアスやメーリングリストの登録はできませんので予めご了承ください。
ログイン ID は、資産グループに対して関連付けられます。いずれかの資産グループに所属する必要がありますが、一つのログイン ID で複数の資産グループに所属することが可能です。この場合、複数の資産グループを同時に俯瞰することが可能になります。

変更可能です。SIDfm RA では、一つのライセンス当たり最低でも一つの「SID 管理者」権限を持つユーザが登録されます。SID 管理者ユーザは、ライセンスの範囲内で自由にユーザ情報を追加・変更・削除することが可能です。SID 管理者ユーザそのものの変更が必要な場合は、他に SID 管理者権限を持つユーザを登録することで、元の SID 管理者権限ユーザの情報を変更することができます。

申し訳ございません。メーリングリストのアドレス登録はご遠慮ください。
ログイン ID は、ご利用者様「個人」に割り当てられるものです。したがって、共用アカウントやエイリアス、メーリングリストなどのアドレスを設定することはライセンス約款に違反する行為となってしまいます。ご利用中のアドレスがメーリングリストなどである可能性が弊社のチェックなどにより判明した場合、変更をお願いする場合があります。変更に応じて頂けない場合には、最悪の場合ご利用を停止させていただく可能性がありますので、必ず個人のメールアドレスをログイン ID に設定してください。

同じメールアドレスを複数のログイン ID に設定することができます。 ただし、逆の場合である一つのログイン ID を複数人で共有することはライセンス上許可されておりませんのでご注意ください。

資産グループは、ホストを論理的にまとめたものであり、全てのホストは何らかの資産グループに含まれます（重複登録はできません）。 ご契約頂いたライセンスにて使用できるホストの上限数（最大登録ホスト数）は、各ライセンスとオプションによって異なりますが、 このホスト数は、資産グループの数とは関係なく、ライセンス内で使用できるホスト数の上限値になります。 資産グループ追加オプションでは、1 資産グループを追加した場合、10 ホストがセットで付加されますが、これは追加した資産グループ内でしか使えないホストが追加されているわけではなく、ライセンス全体で +1 資産グループかつ、+10 最大登録ホスト数が使用できるようになることを意味します。

ヘルプデスクサービスは、掲載されたセキュリティホール情報に関連するご質問を受け付けます。セキュリティホールの概要が専門的過ぎて理解できない場合などにお問合せください。お客様のシステム環境に依存したご質問にはお答えできませんので、ご了承のほどお願い致します。

操作およびセキュリティコンテンツについて不明な点は、サポートまでお問い合わせください。

ライセンスのご利用開始は、通常弊社受注後 1週間となります。お急ぎの場合などはご相談ください。

見積依頼・ご発注・ご利用開始までの流れは、
「事前ご確認」→「お見積依頼」→「お見積」→「ご発注」→「弊社受注」→「ご利用開始」
となります。なお、ご発注時には、ご登録情報が必要となります。ご発注連絡とご登録情報を受領した後、弊社受注となります。

ご発注時に必要な、ご登録情報の内容は、以下の通りとなっております。 ご発注連絡と合わせて受領した後、弊社受注となりますのでご注意ください。

• ご機関名
• ご所属名
• お名前（ふりがな）
• ご住所
• お電話番号
• ご連絡先メールアドレス

毎月 1 日が開始日となります。

支払い方法は年間契約の一括前払いのみで承っております。通常、納入月末締翌月末までのお支払いでお願い致しております。

お支払い方法は、年額一括払いとなっています。

複数年一括払いは承っております。但し、お受けできる年数は制限があります。詳しくはお問合せください。

基本的な契約期間は、一年単位でご注文頂きます。 月次契約は承っておりません。複数年契約につきましては対応が可能な場合がございますので、お手数ですがお問い合わせください。

ライセンス変更については、アップグレードに限り、契約期間中の変更を承っております。 アップグレードについて オプションの変更については、追加に限り、契約期間中の変更を承っております。

契約期間中のライセンスのアップグレードを承っております。 現在のライセンスの残り期間の月割り料金を、新規でご利用開始するライセンスから差し引いて対応いたします。 SIDfm RA ライセンスからのアップグレード料金は無料です。（SIDfm からの移行を除く）

契約期間中のライセンスのダウングレードはできません。 現在の契約期間満了後であれば承ることが可能です。更新手続きの際にお申し出ください。

現在のライセンスの契約期間中でもオプションの追加を承っております。 別途、手数料が発生いたしますのでご確認ください。ただし、ライセンスの新規ご注文または更新と合わせてお申し込みいただく場合には、手数料は発生しません。なお、オプションの解除・削減については契約期間中は承っておりません。お手数ですが、更新手続きの際にお申し出ください。

10 ホスト単位で行えます。

お客様のご都合により、途中解約が必要な場合はお知らせください。

お客様のご都合により解約後に再契約を希望される場合、改めてお申し込みいただくことができます。なお、前契約期間終了後から新契約開始まで、契約の空白期間がある場合には改めて初回登録手数料が発生致しますので、ご了承ください。

特殊な場合を除き、代理店販売は行っておりません。ご用命の際は、弊社へ直接お問い合わせください。

ご利用開始日から一年後の日付が契約更新日になります。 ご契約の更新日から 30 日より前には、弊社から更新のご案内を差し上げております。更新の手順については ご継続利用いただく際の手順 をご確認ください。

ご契約日は、新規の場合はご利用開始日、更新の場合はご利用開始日から一年後の同日付になります。 契約日の変更を希望される場合は、変更後の契約期間が一年以上になる場合に限り変更を承ります。この場合、月割り調整で精算いたします。 例えば、現在のご契約日を1月1日から4月1日に変更する場合、翌年の3月末までの1年3ヶ月分の料金にて調整いたします。

申し訳ございません。法人様契約のみ承っております。何卒ご理解ください。

解約したお客様の情報は、ログイン ID などの個人情報を含む全ての登録データを削除いたします。 初回登録手数料内に登録解除料を含むため、解約の際のデータ削除に伴う手数料は発生致しません。

約款につきましては以下のページよりご覧ください。

• セキュリティ・インフォメーション・ディレクトリ 契約約款

SIDfm は、Webサービスです。JavaScript と Cookie が動作する以下の Web ブラウザでご利用頂けます。対応ブラウザは以下のとおりです。