SIDfm RA よくある質問

セキュリティ情報

機能

ライセンス

サポート対応

購入・契約


セキュリティ情報
Q1. セキュリティホール情報の情報ソースは何ですか?

OS・アプリケーションベンダーからのセキュリティ情報を最重要視しています。セキュリティアドバイザリを発行しないアプリケーションの場合は、CVE 情報を情報源としています。さらに、セキュリティホール情報の確度を向上させるため、以下の関連情報も情報源として確認しています。

  • JVN http://jvn.jp/index.html
  • JPCERT/CC http://www.jpcert.or.jp/at/2012.html
  • US-CERT https://www.us-cert.gov/
  • SecurityTracker http://www.securitytracker.com
  • Full Disclosure Mailing List http://seclists.org/fulldisclosure/

Q2. CVSS 評価値は Softek で独自に算出したものですか?

いいえ、弊社での独自算出は行っておりません。製品ベンダの提供する CVSS 評価値があればそれを使用し、無い場合は NIST の NVD (National Vulnerability Database) の提供する CVSS 評価値を使用するようにしています。

  1. 製品ベンダ (Cisco / HPE / ISC / MIT / SYMANTEC など)
  2. 製品ベンダのアドバイザリに CVSS スコアが記載されている場合、その CVSS 評価値を優先的に使用します。製品ベンダの CVSS 評価値は、SIDfm のセキュリティコンテンツの登録時に同時に登録しています。

  3. NIST の NVD (National Vulnerability Database)
  4. 製品ベンダから CVSS 評価値の発表が無い場合、NVD の CVSS 評価値を採用しています。NVD の CVSS 評価値については一日に一度取得し、これを SIDfm のセキュリティコンテンツに反映させています。このため、セキュリティコンテンツ登録時に CVSS 評価値の無いものが存在することをご承知ください。

Q3. どれだけの OS/アプリケーション を取扱っていますか?

2016年10月現在、国内最大級の 680 種類以上の OS/アプリケーションに関するセキュリティ情報を取り扱っています。最新の取扱い一覧データは、以下の SIDfm に登録されているソフトウェア・プロダクト よりご確認ください。

Q4. SIDfm で取扱っていない OS/アプリケーション を追加してもらうことは可能ですか?

はい、可能です。
新規に取扱いを希望される OS/アプリケーション の正式名称をお知らせください。SIDfm の規定ルールに照らし合わせて取扱いが可能であると判断できれば、取扱いを開始致します。取扱いに関するお問い合わせは、以下までお気軽にお寄せください。

Q5. セキュリティ情報を英語で提供してもらえないでしょうか?

日本語以外での情報提供は行っておりません。

Q6. セキュリティ情報は、どのくらいで登録されますか?

弊社セキュリティ情報データベースの情報は、弊社が対象としております情報源を営業日毎に日々確認し、新しい脆弱性情報を発見、または情報が更新されていた場合に、原則 2 営業日以内にデータベースへの登録またはアップデートを行います。

Q7. セキュリティ情報のサンプル画面はありますか?

関連リンクをご参照ください。

Q8. メールのサンプルはありますか?

関連リンクをご参照ください。

Q9. ソフトウェアの不具合情報は含みますか?

ソフトウェア等の単なる不具合情報は、収集の対象としておりません。
Red Hat Enterprise Linux Server (v. 6) を例にご説明致します。Red Hat Enterprise Linux Server (v. 6) のセキュリティおよび不具合(バグ)情報は、以下のページで公開しております。
http://rhn.redhat.com/errata/rhel-server-6-errata.html 上記ページ内の内容は、その内容により「security」「bug fix」「enhancements」のカテゴリに分類されています。その内、SIDfm が扱う情報は、「security」に分類されている情報となります。
SIDfm が取り扱う情報は、OS、アプリケーションベンダーがセキュリティとした情報となります。概ね、それらのセキュリティ情報には、CVE番号が付与されます。
ベンダーがセキュリティとする基準が公表されている訳ではございませんが、概ね、不具合の内、他者に利用される不具合やシステムを停止される不具合などの重大な結果を引き起こす不具合をセキュリティとして分類しております。

Q10. セキュリティ情報に Windows Server 2003 R2 が含まれていません。なぜですか?

SIDfm の「影響を受ける環境」欄に記載する情報は、ベンダのアドバイザリなど確実な情報を元に記しています。
Windows Server 2003 R2 は、マイクロソフトにより 2015年7月14日までサポートされますが、マイクロソフトのアドバイザリに記載の無い場合は、SIDfm のコンテンツに含まれません。

Q11. 製品ベンダによるサポートの終了した製品の取扱はどのようになりますか?

製品ベンダによるサポートの終了した製品は取り扱っておりません。これは、SIDfm では製品ベンダの提供する情報をベースとしてセキュリティホール情報コンテンツを作成することとしており、製品ベンダによる公式な情報が提供されない製品は、確実性のある情報の入手が難しいためとなります。これにより、SIDfm の「影響を受ける環境」欄に記載する情報は、ベンダのアドバイザリなど確実な情報を元に記しています。なお、製品ベンダによるサポートの終了した既に登録済みのセキュリティ情報は、そのまま提供しております。
また、例えば、Apache Struts 2 のセキュリティホールに対して、Apache Struts 1 の影響を確認するといったような、ある製品のセキュリティホールに対する別の製品の影響確認もしておりません。(※ SIDfm では、Apache Struts 1 と Apache Struts 2 は、互換性が無いためバージョン違いでは無く別製品と認識しております。)

Q12. フィルタに登録するアイテムとして「Microsoft Windows Server 2012 R2」がありません。

SIDfm では「Microsoft Windows Server 2012 R2」は、「Microsoft Windows Server 2012」に含める形で取り扱っております。「Microsoft Windows Server 2012 R2」の情報を受取る場合は、「Microsoft Windows Server 2012」をフィルタにご登録ください。
なお Microsoft Windows Server 2008 と Microsoft Windows Server 2008 R2 が個別に製品登録されていることに対して Microsoft Windows Server 2012 がまとめられている理由は、Microsoft のセキュリティアドバイザリでの取り扱いの違いに起因しております。
MS16-090 を例にご説明いたしますと、アドバイザリ内では、「影響を受けるソフトウェア」の表に「Windows Vista」などが太字で記載されています。ここで「Windows Server 2008」と「Windows Server 2008 R2」は別のグループとして記載されていますが、「Windows Server 2012」と「Windows Server 2012 R2」は同じグループとして記載されています。
SIDfm では、Windows 製品をこのグループ表記に基づく形で「Windows Server 2012」と「Windows Server 2012 R2」をまとめて扱うようにしております。

Q13. Adobe でセキュリティアドバイザリの発表が予告されました。SIDfm ではいつセキュリティホール情報が登録されますか?

SIDfm へのセキュリティホール情報の登録は、以下の基本方針によって登録するかどうかを判断しています。従いまして、公式なセキュリティホールの情報が発表された後、内容を精査して情報を登録致します。なお、これは基本方針であり、すべてを満たさないと登録しないということではございません。製品ベンダなどから提供されるセキュリティホール情報の内容は様々であり、提供される内容が決まっておらず、画一的な基準にあてはめることができないため、基本方針に添って柔軟性を持った対応を行っております。

  1. セキュリティホール情報であること
  2. SIDfm にて取り扱う製品であること
  3. ある程度の確度のある情報であること
  4. 公式の情報があること
  5. 対処方法があること
Q14. 「攻撃コード」の収集方法を教えてください。

SIDfm ではいわゆる「実証 (PoC) コード」、IPA 、JPCERT、製品ベンダやセキュリティベンダなどのアナウンスを「攻撃コード」として利用しています。なおこれらの情報は、SIDfm セキュリティコンテンツの作成時やその他の情報を収集する際に副次的に集めた情報を利用しているため、実証コードや攻撃のアナウンスがあるにもかかわらず「攻撃コードあり」とならないセキュリティコンテンツがあることをご承知ください。

Q15. EOL は、どのように登録されますか?

EOL は、弊社がセキュリティ情報やセキュリティ情報の周辺情報を収集する過程において、EOL 情報を発見した場合に登録致します。

Q16. ソースプログラム提供元がサポートを終了したアプリケーションのバージョンを RedHat や CnetOS などが、パッケージの基本バージョンに利用している場合、パッケージの脆弱性情報は提供されますか?

はい、提供されます。RedHat や CentOS が提供しているパッケージについては、アプリケーションのバージョンに関わりなく Red Hat や CnetOS の脆弱性として提供致します。

Q17. Red Hat Enterprise Linux (RHEL) 7 の openssl-1.0.1e-51.el7_2.7.x86_64 に関するセキュリティホール情報を受け取りたいのですが、アイテムに OpenSSL 1.0.1e を指定すれば良いですか?

いいえ。
RHEL 7 の rpm パッケージに関するセキュリティホール情報の受信は、Red Hat Linux の "Enterprise Linux Server 7" や "Enterprise Linux Workstation 7" などのアイテムをご指定ください。
なおこの指定を適用した場合、openssl に限らず指定した RHEL7 のセキュリティホール情報が通知されるようになります。システムにインストールされた rpm パッケージによる精度の高いセキュリティホール通知を必要とする場合は、SIDfm RA をご利用ください。

Q18. 回避方法の記載基準を教えてください。

信頼できるアドバイザリ情報に記載されている回避方法のうち、セキュリティホールの影響を取り除くことが可能な方法を記載するようにしています。 またリスクを低減する方法については基本的に記載しないようにしていますが、記載する場合にはそのことが判別できるようにしています。 一般的なアクセス制限や汎用的な内容については記載いたしません。

Q19. CVSS 評価値において Red Hat 社と SIDfm の間に大きな差異があります。なぜですか?

SIDfm では主に NIST による CVSS 評価値を使用しています。NIST による CVSS 評価値は、特定の環境を対象としていません。これに対し Red Hat 社の CVSS 評価値は Red Hat Enterprise Linux のような Red Hat 製品の環境を想定しているため、評価に差が発生することがあります。

Q20. F5 Networks 社製品 (BIG-IP など) の危険度 (High/Medium/Low) はどのように判定していますか?

F5 Networks 社の指標 (Security Advisory の Severity) と SIDfm の持つ情報を元にして総合的な判定を行っています。そのため、SIDfm では危険度 High となるセキュリティホール (任意のコード実行や権限昇格) であっても、F5 Networks 社の指標を尊重し、危険度を Medium や Low とすることがあります。利用方法の定まっていないライブラリや言語環境 (Java など) のようなコンポーネントのセキュリティホールは、F5 Networks 社製品におけるコンポーネントの利用方法に基づいたリスクとなるため、危険度が小さく判定されることがあります。

Q21. CVSS 評価値は 10.0 ですが、セキュリティコンテンツの危険度は Medium となっています。理由を教えてください。

主に次の二つのケースがあります。

  • NIST がセキュリティホールの被害を特定していない場合 (NIST の NVD の説明では 「unspecifie impact」などと記載される)、CVSS 評価値は 10.0 や 9.3 などの高い値となることがあります。SIDfm ではこのような情報を危険度 Medium として扱うことがあります。
  • 利用方法の定まっていないライブラリや言語環境 (Java など) では、ライブラリや言語環境そのものの危険度と製品に組み込まれた際の危険度の違いが、CVSS 評価値とセキュリティコンテンツの危険度の差となって現れることがあります。例えば、libxml2 の任意のコード実行を許すセキュリティホールは、ライブラリそのものとしての CVSS 評価値は 10.0 や 9.3 などになりますが、製品に組み込まれた際に、問題のある機能や関数を使用していないなどの理由により、製品ベンダによって危険度 Medium や Low として判定されることがあります。


機能
Q1. スクリプトを実行してもOSパッケージ情報が反映されません

まずは、スクリプトに実行権限が付与されているか確認してください。 OSパッケージの情報を送信するスクリプトは、HTTPS経由で実行されています。各ホストとSIDfm RA サービスサイトまでの経路にてHTTPSの通信が拒否されていないか、ご確認ください。

Q2. SIDfm RA 内で使用されている「製品」とは何の意味ですか?

SIDfm RA での「製品」とは、Red Hat Enterprise Linux などの OS、Apache Struts などのミドルウェア、Cisco IOS などのハードウェアに搭載されるソフトウェアや一部のハードウェアなど、SIDfm RA で扱っている脆弱性情報提供の対象となるソフトウェアやハードウェアを示します。


ライセンス
Q1. 試用ライセンスはありますか?

評価ライセンスをご希望のお客様は、別途お問い合わせください。

Q2. SIDfm RA のホストとは何ですか?

ホストとは、SIDfm RA にユーザが登録するサーバ機器や端末等の総称で、お客様がシステムの維持・管理を行っている対象の機器を意味します。SIDfm RA では、このホストに紐付いた脆弱性情報(セキュリティホール情報)や運用に役立つ機能を提供します。 ユーザがホストを登録する際、ホストに付ける名前は任意です。実際のサーバのホスト名でも通称でも構いません。担当者が区別・管理しやすい形で自由にご利用可能です。
ホストは、SIDfm RA の 総合情報分析機能、 リスク管理機能、 ホスト状態管理機能 など、SIDfm RA のほぼ全ての機能で鍵として使用される最も重要な登録情報となっています。

Q3. SIDfm RA の資産グループとは何ですか?

資産グループとは、複数のホストをグループとして論理的一つに纏めたものです。この資産グループの意味する所は、ホストの管理部署などの「組織」であったり、「フロア」などホストの物理的な配置であったり、「プロダクション環境」「開発環境」など論理ネットワーク構成であったり、とユーザが自由に設定できます。SIDfm RA では、この資産グループ単位でリスクを俯瞰、分析・評価、などに使用します。
資産グループは、SIDfm RA の 総合情報分析機能、 リスク管理機能、 作業記録・監査対応機能 など、SIDfm RA の主要な機能で全体を俯瞰するために使用される登録情報となっています。

Q4. SIDfm RA のログインIDとは?

ログインIDとは、SIDfm RA のシステムを利用するために必要なIDを意味します。これは利用者「個人」に弊社から割り当てられるものです。したがいまして、エイリアスやメーリングリストの登録はできませんので予めご了承ください。
ログインIDは、資産グループに対して関連付けられます。いずれかの資産グループに所属する必要がありますが、一つのログインIDで複数の資産グループに所属することが可能です。この場合、複数の資産グループを同時に俯瞰することが可能になります。

Q5. ログイン ID は変更できますか?

変更可能です。SIDfm RA では、一つのライセンス当たり最低でも一つの「SID 管理者」権限を持つユーザが登録されます。SID 管理者ユーザは、ライセンスの範囲内で自由にユーザ情報を追加・変更・削除することが可能です。SID 管理者ユーザそのものの変更が必要な場合は、他に SID 管理者権限を持つユーザを登録することで、元の SID 管理者権限ユーザの情報を変更することができます。

Q6. メーリングリストを登録できますか?

申し訳ございません。メーリングリストのアドレス登録はご遠慮ください。
ログインIDは、ご利用者様「個人」に割り当てられるものです。したがって、共用アカウントやエイリアス、メーリングリストなどのアドレスを設定することはライセンス約款に違反する行為となってしまいます。ご利用中のアドレスがメーリングリストなどである可能性が弊社のチェックなどにより判明した場合、変更をお願いする場合があります。変更に応じて頂けない場合には、最悪の場合ご利用を停止させていただく可能性がありますので、必ず個人のメールアドレスをログインIDに設定してください。

Q7. 複数のログインIDに一つのメールアドレスを設定できますか?

同じメールアドレスを複数のログインIDに設定することができます。 ただし、逆の場合である一つのログインIDを複数人で共有することはライセンス上許可されておりませんのでご注意ください。

Q8. 資産グループ数とホスト数はどういう関係がありますか?

資産グループは、ホストを論理的にまとめたものであり、全てのホストは何らかの資産グループに含まれます(重複登録はできません)。 ご契約頂いたライセンスにて使用できるホストの上限数(最大登録ホスト数)は、各ライセンスとオプションによって異なりますが、 このホスト数は、資産グループの数とは関係なく、ライセンス内で使用できるホスト数の上限値になります。 資産グループ追加オプションでは、1 資産グループを追加した場合、10 ホストがセットで付加されますが、これは追加した資産グループ内でしか使えないホストが追加されているわけではなく、ライセンス全体で +1 資産グループかつ、+10 最大登録ホスト数が使用できるようになることを意味します。


サポート対応

Q1. ヘルプデスクサービスはどんな質問に回答してくれますか?

ヘルプデスクサービスは、掲載されたセキュリティホール情報に関連するご質問を受け付けます。セキュリティホールの概要が専門的過ぎて理解できない場合などにお問合せください。お客様のシステム環境に依存したご質問にはお答えできませんので、ご了承のほどお願い致します。

Q2. わからないことあったら、質問しても良いのでしょうか?

操作およびセキュリティコンテンツについて不明な点は、サポートまでお問い合わせください。


購入・契約

Q1. 申込み後、利用開始はどのくらいから始められますか?

ライセンスのご利用開始は、通常弊社受注後 1週間となります。お急ぎの場合などはご相談ください。

Q2. ご利用開始までの流れについて

見積依頼・ご発注・ご利用開始までの流れは、
「事前ご確認」→「お見積依頼」→「お見積」→「ご発注」→「弊社受注」→「ご利用開始」
となります。なお、ご発注時には、ご登録情報が必要となります。ご発注連絡とご登録情報を受領した後、弊社受注となります。

Q3. 発注時に必要な登録情報は何ですか?

ご発注時に必要な、ご登録情報の内容は、以下の通りとなっております。 ご発注連絡と合わせて受領した後、弊社受注となりますのでご注意ください。

  • ご機関名
  • ご所属名
  • お名前(ふりがな)
  • ご住所
  • お電話番号
  • ご連絡先メールアドレス

Q4. ご利用開始日について

最短では、弊社受注後の翌営業日までにご利用可能になります。お急ぎの場合はお知らせください。 ライセンスの有効期限はご利用開始日から一年間になります。ご利用開始日を事前にご指定いただくことも可能です。その場合はお申し込みの際にお知らせください。

Q5. 支払い方法について

SIDfm RA サブスクリプション契約にともない、支払い方法は年間契約の一括前払いのみで承っております。 通常、ご利用開始日の月末締め、翌月末までのお支払いでお願い致しております。

Q6. 月額払いはありますか?

お支払い方法は、年額一括払いとなっています。

Q7. 複数年一括払いはできますか?

複数年一括払いは承っております。但し、お受けできる年数は制限があります。詳しくはお問合せください。

Q8. 契約は一年単位でしょうか?

はい。ご契約は一年単位となります。

Q9. 契約期間について

基本的な契約期間は、一年単位でご注文頂きます。 月次契約は承っておりません。複数年契約につきましては対応が可能な場合がございますので、お手数ですがお問い合わせください。

Q10. 契約期間中の変更について

ライセンス変更については、アップグレードに限り、契約期間中の変更を承っております。 アップグレードについて オプションの変更については、追加に限り、契約期間中の変更を承っております。

Q11. アップグレードについて

契約期間中のライセンスのアップグレードを承っております。 現在のライセンスの残り期間の月割り料金を、新規でご利用開始するライセンスから差し引いて対応いたします。 SIDfm RA ライセンスからのアップグレード料金は無料です。(SIDfm からの移行を除く)

Q12. ダウングレードについて

契約期間中のライセンスのダウングレードはできません。 現在の契約期間満了後であれば承ることが可能です。更新手続きの際にお申し出ください。

Q13. オプションの追加・変更はできますか?

現在のライセンスの契約期間中でもオプションの追加を承っております。 別途、手数料が発生いたしますのでご確認ください。 オプションお申し込み手数料 ただし、ライセンスの新規ご注文または更新と合わせてお申し込みいただく場合には、手数料は発生しません。 なお、オプションの解除・削減については契約期間中は承っておりません。お手数ですが、更新手続きの際にお申し出ください。

Q14. 途中解約はできますか?

お客様のご都合により、途中解約が必要な場合はお知らせください。

Q15. 解約後の再契約はできますか?

お客様のご都合により解約後に再契約を希望される場合、改めてお申し込みいただくことができます。なお、前契約期間終了後から新契約開始まで、契約の空白期間がある場合には改めて初回登録手数料が発生致しますので、ご了承ください。

Q16. 代理店販売は行っていますか?

特殊な場合を除き、代理店販売は行っておりません。ご用命の際は、弊社へ直接お問い合わせください。

Q17. ご契約の更新について

ご利用開始日から一年後の日付が契約更新日になります。 ご契約の更新日から 30 日より前には、弊社から更新のご案内を差し上げております。更新の手順については ご継続利用いただく際の手順 をご確認ください。

Q18. ご契約日の変更について

ご契約日は、新規の場合はご利用開始日、更新の場合はご利用開始日から一年後の同日付になります。 契約日の変更を希望される場合は、変更後の契約期間が一年以上になる場合に限り変更を承ります。この場合、月割り調整で精算いたします。 例えば、現在のご契約日を1月1日から4月1日に変更する場合、翌年の3月末までの1年3ヶ月分の料金にて調整いたします。

Q19. 個人での契約はできますか?

申し訳ございません。法人様契約のみ承っております。何卒ご理解ください。

Q20. 解約後の登録データ等について

解約したお客様の情報は、ログインIDなどの個人情報を含む全ての登録データを削除いたします。 初回登録手数料内に登録解除料を含むため、解約の際のデータ削除に伴う手数料は発生致しません。