SIDfm VM 用語集


SIDfm™ VM で使用されている用語とその解説です。以下の図は、SIDfm™ VM を利用したときの構成例を示しました。

SIDfm VM サーバ

SIDfm VM の中核となるサーバ(以下「VM サーバ」という)で、次の機能を提供します。

  • 各ホストのソフトウェア情報の受信・取り込み
  • SofTek SIDfm™ センターからの脆弱性情報の受信
  • SIDfm API を使用した、ホストのソフトウェアの脆弱性の同定
  • ホストでの脆弱性対応状況の閲覧
  • 脆弱性情報の閲覧
  • ユーザやホストの管理
なお VM サーバは Docker コンテナとして提供されます。

ホスト

脆弱性管理の対象となるサーバやネットワーク機器のことです。 VM サーバと直接通信可能なサーバのみならず、 AWS 等の商用クラウド上のサーバや隔離されたネットワーク内のサーバもホストとして登録することが可能です。なお SIDfm VM で登録可能なホスト数は、ご利用のライセンスによって制限があります。

ホスト名

VM サーバ上で脆弱性管理するホストを特定する唯一な識別子として使用されます。各ホストの名前は、VM サーバ内ではユニークである必要があります。ホストの登録方法として、手動登録、オンライン・エージェントによる登録、オフライン・エージェントによる登録が可能ですが、その登録方法の違いによる識別子も有していないため、全てのホストは、個々にユニークな名前で登録する必要があります。

エージェント

ソフトウェア情報を収集し、VM サーバへ送信、あるいはファイルとして出力するプログラムです。

オフラインモード

VM サーバと直接通信できないような隔離されたネットワーク内のホストを SIDfm VM で管理するための仕組みです。 次のような手順で利用します。

  1. 隔離されたネットワーク内のホストにオフラインモード用のエージェントをインストールします。
  2. エージェントを実行し、ソフトウェア情報をファイルに出力します。(オフラインデータ)
  3. USB メモリなどの媒体を使用し、オフラインデータを VM サーバと通信可能な PC にコピーします。
  4. PC から VM サーバにオフラインデータを取り込みます。
  5. VM サーバで当該ホストの脆弱性状況を確認します。

システムカテゴリ

脆弱性の環境評価基準のプリセットを提供するために、サーバの設置場所等の環境を考慮した「システムカテゴリ」という概念を導入しています。このカスタムカテゴリは、SRI(SofTek Risk Impact)評価指標の値を評価するために使用します。システムカテゴリについては、別のページで解説しています。

カスタムカテゴリ

カスタムカテゴリは、ホストをグループ化したり、ユーザが所属するカスタムカテゴリに対してのアクセス範囲制限(ゾーニング)を行うために利用します。いわゆる、「グループ」あるいは「タグ」という概念と同じものとして利用できます。 任意に作成できます。作成したカテゴリは、ユーザ作成、ホスト作成の段階で、当該カテゴリに属する「ユーザ」と「ホスト」をそれぞれ紐付け(関連付け)することができます。なお、カスタムカテゴリの作成タイミングはインストール時だけではなく、任意の時点で追加・変更ができます。

評価指標

SIDfm VM は、ホストの脆弱性(セキュリティホール)の評価指標として、 SRI(以下「SRI」という)と共通脆弱性評価システム CVSS 基本評価基準(以下「CVSS」という)の 2 種類の指標を提供しています。どちらの指標を使っても脆弱性の評価を行うことができ、その表示の切り替えも可能です。評価指標の違いについては、別のページで解説しています。

SRI (SofTek Risk Impact)

SRI は、SIDfm VM においてホストのリスクを分析・評価するために使用される指標で、ホストへの脆弱性の影響を決定するための環境評価と現状評価を行うフレームワークとして機能します。SofTek Risk Impact の略称で、弊社が脆弱性情報を長年提供してきて培ったノウハウが込められています。SRI については、別のページで解説しています。

CVSS

共通脆弱性評価システム CVSS (Common Vulnerability Scoring System) は、情報システムのセキュリティホールを共通の指標で評価する仕組みです。CVSS は、FIRST (Forum of Incident Response and Security Teams) の CVSS-SIG (Special Interest Group) で管理が行われており、SIDfm™ は CVSS 3 および CVSS 2 を採用しています。CVSS については、別のページで解説しています。

脆弱性対応のしきい値

SIDfm VM では、検出された脆弱性に対して対策を実施するかどうかを判断する「しきい値」を設定することができます。脆弱性対応のしきい値については、別のページで解説しています。

対応状況

脆弱性への対応では、検出された脆弱性に対して修正プログラムを適用するかどうかの判断を下したり、修正プログラムの適用が必要な場合には適用の計画を立てたり検証の状況を記録することがあります。SIDfm VM では、このような工程を支援する目的で、ホストに紐づけられた脆弱性にステータス(「未対策」「対策中」「対策済み」「影響無し」)や対策予定日を設定できます。

個々の脆弱性に対しての対応状況(ステータス)を四つの区分名で表します。

未対策 脆弱性が検出された時点の状態で、対応のステータスを変更していない状態
対策中 ステータスが対策中に変更されている状態。対策が計画され、実施中の場合の状態
対策済 ステータスが対策済みとされた状態
影響無 対策を実施していないが、脆弱性の影響度合いを判断して影響がないと判断された状態。

「未対処」の状態

脆弱性への対策が「未対処」と表される状態は、「未対策」あるいは「対策中」の状態を言います。

未対処の状態 未対策 対策中

未対処のホストの割合

脆弱性の要対応条件を満たすホスト総数に対して、まだ対策が完了していない「未対策」「対応中」の状態のホスト数の割合

未対処の脆弱性の割合

要対応条件を満たす検出脆弱性の総数に対して、まだ対策が完了していない「未対策」「対応中」の状態の脆弱性数の割合

プロダクト

SIDfm VM における「プロダクト」とは、SIDfm™ 脆弱性データベースに登録されている OS やアプリケーション等のソフトウェア製品を言います。脆弱性の検知の対象となるソフトウェアとなります。

検出パッケージ、検出アプリケーション、手動登録プロダクト

ホスト詳細画面の「ホストの詳細情報」では、登録されているプロダクトを以下のような分類を行い表示しています。これらのソフトウェアの登録方法に関しての詳細説明と注意点は、別のページにて説明しています。

【Linux 系ホスト】
検出パッケージ VM エージェントが取得した Linux ディストリビューションの rpm/deb のバイナリ・パッケージです。
検出アプリケーション Linux 付随のバイナリ・パッケージ以外のVM エージェントが独自で検出したソフトウェアです。現在、VM エージェントが検出することができるソフトウェアは、Apache Sturts、Apache Tomcat、PHP、Ruby、Oracle Java SE JDK、Oracle Java SE JRE です。 バイナリ・パッケージ以外でユーザがインストール実装したオープンソースソフトウェアとして検出します。
手動登録プロダクト SIDfm™ データベースに登録されているアプリケーションとバージョンを、ホスト管理画面で指定して登録したソフトウェアです。たとえば、Apache ソフトウェアを例にとると、Linux ディストリビューションが提供している rpm/deb バイナリ・パッケージ Apache に関しては上記のエージェントによる「検出パッケージ」として自動で捕捉できます。しかし、実際はこれを使用せず APACHE project からソースレベルで「別のバージョン」をインストールして使用している場合、こうしたアプリケーションをエージェントでは検出できません。ユーザ自身で実装したアプリケーションの脆弱性を追跡するために、最新 SIDfm™ データベースとの照会を行うようにし、Apache とそのバージョンをプロダクトとして手動登録するようにします。手動でのプロダクトの登録は、こうした形でも使用されます。
【Windows ホスト】
検出パッケージ Windows のホストでは、表示されません。
検出アプリケーション Windows のホストでは、表示されません。
手動登録プロダクト SIDfm™ データベースに登録されているアプリケーションとバージョンを、ホスト管理画面で指定して登録したソフトウェアです。

ホスト設定画面の「登録ホスト一覧」では、以下のような形(Linux系のホストの場合)で表示しています。

脆弱性

ソフトウェアの「脆弱性」については、別のページで解説しています。