SIDfm™ VM よくある質問

セキュリティ情報

Q

セキュリティホール情報の情報ソースは何ですか?

A

OS・アプリケーションベンダーからのセキュリティ情報を最重要視しています。セキュリティアドバイザリを発行しないアプリケーションの場合は、CVE 情報を情報源としています。さらに、セキュリティホール情報の確度を向上させるため、以下の関連情報も情報源として確認しています。

  • JVN : http://jvn.jp/index.html
  • JPCERT/CC : http://www.jpcert.or.jp
  • US-CERT : https://www.us-cert.gov/
  • SecurityTracker : http://www.securitytracker.com
  • Full Disclosure Mailing List : http://seclists.org/fulldisclosure/

Q

CVSS 評価値は Softek で独自に算出したものですか?

A

いいえ、弊社での独自算出は行っておりません。製品ベンダの提供する CVSS 評価値があればそれを使用し、無い場合は NIST の NVD (National Vulnerability Database) の提供する CVSS 評価値を使用するようにしています。

  1. 製品ベンダ (Cisco / HPE / ISC / MIT / Symantec など)
    製品ベンダのアドバイザリに CVSS スコアが記載されている場合、その CVSS 評価値を優先的に使用します。製品ベンダの CVSS 評価値は、SIDfm™ のセキュリティコンテンツの登録時に同時に登録しています。
  2. NIST の NVD (National Vulnerability Database)
    製品ベンダから CVSS 評価値の発表が無い場合、NVD の CVSS 評価値を採用しています。NVD の CVSS 評価値については一日に一度取得し、これを SIDfm™ のセキュリティコンテンツに反映させています。このため、セキュリティコンテンツ登録時に CVSS 評価値の無いものが存在することをご承知ください。

Q

どれだけの OS/アプリケーション を取扱っていますか?

A

2019 年 04 月現在、国内最大級の 800 種類以上の OS/アプリケーションに関するセキュリティ情報を取り扱っています。最新の取扱い一覧データは「SIDfm™ に登録されているソフトウェア製品」よりご確認ください

Q

SIDfm™ で取扱っていない OS/アプリケーションを追加してもらうことは可能ですか?

A

はい、可能です。
新規に取扱いを希望される OS/アプリケーションの正式名称をお知らせください。SIDfm™ の規定ルールに照らし合わせて取扱いが可能であると判断できれば、取扱いを開始致します。

Q

セキュリティ情報を英語で提供してもらえないでしょうか?

A

日本語以外での情報提供は行っておりません。

Q

セキュリティ情報は、どのくらいで登録されますか?

A

弊社セキュリティ情報データベースの情報は、弊社が対象としております情報源を営業日毎に日々確認し、新しい脆弱性情報を発見または情報が更新されていた場合に原則 2 営業日以内にデータベースへの登録または更新を行います。

Q

セキュリティ情報のサンプル画面はありますか?

A

Q

ソフトウェアの不具合情報は含みますか?

A

ソフトウェア等の単なる不具合情報は、収集の対象としておりません。
Red Hat Enterprise Linux Server (v. 6) を例にご説明致します。Red Hat Enterprise Linux Server (v. 6) のセキュリティおよび不具合(バグ)情報は、以下のページで公開しております。
http://rhn.redhat.com/errata/rhel-server-6-errata.html
上記ページ内の内容は、その内容により「security」「bug fix」「enhancements」のカテゴリに分類されています。その内、SIDfm™ が扱う情報は、「security」に分類されている情報となります。
SIDfm™ が取り扱う情報は、OS、アプリケーションベンダーがセキュリティとした情報となります。概ね、それらのセキュリティ情報には、CVE番号が付与されます。
ベンダーがセキュリティとする基準が公表されている訳ではございませんが、概ね、不具合の内、他者に利用される不具合やシステムを停止される不具合などの重大な結果を引き起こす不具合をセキュリティとして分類しております。

Q

セキュリティ情報に「Windows Server 2003 R2」が含まれていません。なぜですか?

A

SIDfm™ の「影響を受ける環境」欄に記載する情報は、ベンダのアドバイザリなど確実な情報を元に記しています。
Windows Server 2003 R2 は、マイクロソフトにより 2015 年 7 月 14 日までのサポートされますが、マイクロソフトのアドバイザリに記載の無い場合は、SIDfm™ のコンテンツに含まれません。

Q

プロダクトに「Microsoft Windows Server 2012 R2」がありません。

A

SIDfm™ では「Microsoft Windows Server 2012 R2」は、「Microsoft Windows Server 2012」に含める形で取り扱っております。「Microsoft Windows Server 2012 R2」の情報を受取る場合は、「Microsoft Windows Server 2012」をご登録ください。

なお Microsoft Windows Server 2008 と Microsoft Windows Server 2008 R2 が個別にプロダクト登録されていることに対して Microsoft Windows Server 2012 がまとめられている理由は、Microsoft のセキュリティアドバイザリでの取り扱いの違いに起因しております。
MS16-090 を例にご説明いたしますと、アドバイザリ内では、「影響を受けるソフトウェア」の表に「Windows Vista」などが太字で記載されています。ここで「Windows Server 2008」と「Windows Server 2008 R2」は別のグループとして記載されていますが、「Windows Server 2012」と「Windows Server 2012 R2」は同じグループとして記載されています。
SIDfm™ では、Windows 製品をこのグループ表記に基づく形で「Windows Server 2012」と「Windows Server 2012 R2」をまとめて扱うようにしております。

Q

製品ベンダによるサポートの終了した製品の取扱はどのようになりますか?

A

製品ベンダによるサポートの終了した製品は取り扱っておりません。
これは、SIDfm™ では製品ベンダの提供する情報をベースとしてセキュリティホール情報コンテンツを作成することとしており、製品ベンダによる公式な情報が提供されない製品は、確実性のある情報の入手が難しいためとなります。これにより、SIDfm™ の「影響を受ける環境」欄に記載する情報は、ベンダのアドバイザリなど確実な情報を元に記しています。なお、製品ベンダによるサポートの終了した既に登録済みのセキュリティ情報は、そのまま提供しております。
また、例えば、Apache Struts 2 のセキュリティホールに対して、Apache Struts 1 の影響を確認するといったような、ある製品のセキュリティホールに対する別の製品の影響確認もしておりません。(※ SIDfm™ では、Apache Struts 1 と Apache Struts 2 は、互換性が無いためバージョン違いでは無く別製品と認識しております。)

Q

Adobe でセキュリティアドバイザリの発表が予告されました。SIDfm™ ではいつセキュリティホール情報が登録されますか?

A

SIDfm™ へのセキュリティホール情報の登録は、以下の基本方針によって登録するかどうかを判断しています。従いまして、公式なセキュリティホールの情報が発表された後、内容を精査して情報を登録致します。なお、これは基本方針であり、すべてを満たさないと登録しないということではございません。製品ベンダなどから提供されるセキュリティホール情報の内容は様々であり、提供される内容が決まっておらず、画一的な基準にあてはめることができないため、基本方針に添って柔軟性を持った対応を行っております。

  1. セキュリティホール情報であること
  2. SIDfm™ にて取り扱うプロダクトであること
  3. ある程度の確度のある情報であること
  4. 公式の情報があること
  5. 対処方法があること

Q

「攻撃コード」の収集方法を教えてください。

A

SIDfm™ ではいわゆる「実証 (PoC) コード」、IPA 、JPCERT、製品ベンダやセキュリティベンダなどのアナウンスを「攻撃コード」として利用しています。なおこれらの情報は、SIDfm™ セキュリティコンテンツの作成時やその他の情報を収集する際に副次的に集めた情報を利用しているため、実証コードや攻撃のアナウンスがあるにもかかわらず「攻撃コードあり」とならないセキュリティコンテンツがあることをご承知ください。

Q

EOL は、どのように登録されますか?

A

EOL (End Of Life) は、弊社がセキュリティ情報やセキュリティ情報の周辺情報を収集する過程において、EOL 情報を発見した場合に登録致します。

Q

ソースプログラム提供元がサポートを終了したアプリケーションのバージョンを RedHat や CentOS などが、パッケージの基本バージョンに利用している場合、パッケージの脆弱性情報は提供されますか?

A

はい、提供されます。RedHat や CentOS が提供しているパッケージについては、アプリケーションのバージョンに関わりなく Red Hat や CentOS の脆弱性として提供致します。

Q

Red Hat Enterprise Linux (RHEL) 7 の openssl-1.0.1e-51.el7_2.7.x86_64 に関するセキュリティホール情報を受け取りたいのですが、登録製品に OpenSSL を指定すれば良いですか?

A

いいえ。
RHEL 7 の rpm パッケージに関するセキュリティホール情報の受信は、Red Hat Linux の "Enterprise Linux Server 7" や "Enterprise Linux Workstation 7" などのアイテムをご指定ください。

Q

回避方法の記載基準を教えてください。

A

信頼できるアドバイザリ情報に記載されている回避方法のうち、セキュリティホールの影響を取り除くことが可能な方法を記載するようにしています。 またリスクを低減する方法については基本的に記載しないようにしていますが、記載する場合にはそのことが判別できるようにしています。 一般的なアクセス制限や汎用的な内容については記載いたしません。

Q

CVSS 評価値において Red Hat 社と SIDfm™ の間に大きな差異があります。なぜですか?

A

SIDfm™ では主に NIST による CVSS 評価値を使用しています。NIST による CVSS 評価値は、特定の環境を対象としていません。これに対し Red Hat 社の CVSS 評価値は Red Hat Enterprise Linux のような Red Hat 製品の環境を想定しているため、評価に差が発生することがあります。

Q

F5 Networks 社製品 (BIG-IP など) の危険度 (High/Medium/Low) はどのように判定していますか?

A

F5 Networks 社の指標 (Security Advisory の Severity) と SIDfm™ の持つ情報を元にして総合的な判定を行っています。そのため、SIDfm™ では危険度 High となるセキュリティホール (任意のコード実行や権限昇格) であっても、F5 Networks 社の指標を尊重し、危険度を Medium や Low とすることがあります。利用方法の定まっていないライブラリや言語環境 (Java など) のようなコンポーネントのセキュリティホールは、F5 Networks 社製品におけるコンポーネントの利用方法に基づいたリスクとなるため、危険度が小さく判定されることがあります。

Q

CVSS 評価値は 10.0 ですが、セキュリティコンテンツの危険度は Medium となっています。理由を教えてください。

A

主に次の二つのケースがあります。

  • NIST がセキュリティホールの被害を特定していない場合 (NIST の NVD の説明では 「unspecifie impact」などと記載される)、CVSS 評価値は 10.0 や 9.3 などの高い値となることがあります。SIDfm™ ではこのような情報を危険度 Medium として扱うことがあります。
  • 利用方法の定まっていないライブラリや言語環境 (Java など) では、ライブラリや言語環境そのものの危険度と製品に組み込まれた際の危険度の違いが、CVSS 評価値とセキュリティコンテンツの危険度の差となって現れることがあります。例えば、libxml2 の任意のコード実行を許すセキュリティホールは、ライブラリそのものとしての CVSS 評価値は 10.0 や 9.3 などになりますが、製品に組み込まれた際に、問題のある機能や関数を使用していないなどの理由により、製品ベンダによって危険度 Medium や Low として判定されることがあります。

ライセンス

Q

ライセンスキーの認証に失敗します。

A

プロキシが適切に設定されていない可能性があります。
以下の手順に従って、VM サーバをインストールしたホストで Docker 環境内のプロキシ設定が正しく行われているか確認して下さい。

  1. root ユーザに昇格します。
  2. 「手順 : VM サーバをインストールする (Docker イメージをインポートする)」で作成したディレクトリに移動します。
    # cd sidfmvm
  3. VM サーバを再起動します。
    # sh sidfmd-stop.sh
    # sh sidfmd-start.sh
  4. 以下のコマンドを実行するとプロキシ設定が出力されますので、設定内容に問題がないか確認します。
    # docker exec sidfmd /proxy_manage show_proxy
    Proxy Enable: true
    Proxy Same HTTP/HTTPS: true
    Proxy HTTP host: proxy.example.co.jp
    Proxy HTTP port: 3001
    Proxy HTTP user:
    Proxy HTTP pass:
  5. 以下のコマンドを実行し、Docker コンテナ内からプロキシサーバ経由で弊社サーバにアクセスできるか確認します。{"success":true} という出力が帰ってきた場合は弊社サーバに正常にアクセスできることを確認できます。応答が返らない、もしくはエラーメッセージを返す場合は、ネットワークもしくはプロキシの問題で弊社サーバまでアクセスが届いていません。
    # docker exec -it sidfmd /bin/bash
    # export https_proxy=http://proxy.example.com:3128/
    # curl https://api.softek.jp/sidfm_vm/v1/test
    {"success":true}# exit
    #

機能

Q

SIDfm™ VM 内で使用されている「プロダクト」とは何の意味ですか?

A

SIDfm™ VM での「プロダクト」とは、Red Hat Enterprise Linux などの OS、Apache Struts などのミドルウェア、Cisco IOS などのハードウェアに搭載されるソフトウェアや一部のハードウェアなど、SIDfm™ VM で扱っている脆弱性情報提供の対象となるソフトウェアやハードウェアを示します。

Q

プロダクトの最大登録可能製品数はいくつですか?

A

1 ホストの最大登録可能製品数は 30 です。

Q

SIDfm™ VM のホストとは何ですか?

A

ホストとは、SIDfm™ VM にユーザが登録するサーバ機器や端末等の総称で、お客様がシステムの維持・管理を行っている対象の機器を意味します。SIDfm™ VM では、このホストに紐付いた脆弱性情報(セキュリティホール情報)や運用に役立つ機能を提供します。ユーザがホストを登録する際、ホストに付ける名前は任意です。実際のサーバのホスト名でも通称でも構いません。担当者が区別・管理しやすい形で自由にご利用可能です。

Q

ホストを一括で登録することはできますか?

A

インポート機能を利用してホストを一括登録することができます。手順については、「ホストをインポートする | SIDfm™ VM ユーザガイド」 を参照してください。

Q

エージェントをインストールしないでホスト登録できますか?

A

はい。ホストの登録はエージェントを使わず手動登録も可能です。手順については、「手動登録する | SIDfm™ VM ユーザガイド」を参照してください。

Q

ホスト設定画面で誤ってホストを削除してしまいました。戻すことはできますか?

A

はい、削除したホストは復元することができます。手順については「ホストを復元する | SIDfm™ VM ユーザガイド」を参照してください。

Q

SIDfm™ VM のログイン ID とは?

A

ログイン ID とは、SIDfm™ VM のシステムを利用するために必要な ID を意味します。

Q

ログイン ID は変更できますか?

A

変更可能です。手順については「ユーザ情報を変更する | SIDfm™ VM ユーザガイド」を参照してください。

Q

エージェントによるホスト登録に失敗します。

A

主に次の三つのケースが考えられます。

Q

既に VM サーバに登録済みのホストが別のホストで上書きされます。

A

ホスト名の重複が原因です。

SIDfm™ VM ではホストをホスト名で識別しており、ホスト名は対象のネットワークで一意である必要があります。 通常、ホスト名は $ uname -n コマンドの出力になります。

このため、あるネットワーク (example.co.jp) に所属するホストと別のネットワーク (example.jp) に所属するホストの $ uname -n コマンドの出力結果が同じ場合、 VM サーバでは同一ホストと認識され、既存のホストの情報が新しいホストの情報で上書きされてしまいます。

このような不都合を解消するため、SIDfm™ VM ではホスト名を明示的に指定する機能があります。 先程の例では、ネットワーク (example.co.jp) に所属するホストの名前を [host.example.co.jp] に、 別のネットワーク (example.jp) に所属するホストの名前を [host.exmaple.jp] と明示的に指定することで、 両者を別のホストとして識別させることが可能です。

指定方法につきましては、下記ページの「ホスト名を指定する場合は~」を参照してください。

Ansible Playbook を使用してエージェントをインストールした場合は、次のページをご参照ください。

その他

Q

動作環境を教えてください。

A

動作環境 | SIDfm VM ユーザガイド」を参照してください。