サプライチェーンリスク#
この機能で解決できること#
- 組織内に存在する「サポート切れ(EOL)のソフトウェア」を漏れなく発見したい
- EOL が迫っているソフトウェアを特定し、計画的にバージョンアップや移行を進めたい
- どの EOL リスクから対応すべきか、優先順位を判断したい
- EOL に関する対応状況をチーム内で共有し、管理したい
組織で使用するソフトウェアには、セキュリティ上のリスクが常に存在します。 特にサポートが終了したソフトウェアは脆弱性が放置されるリスクが高く、セキュリティインシデントの原因となります。 サプライチェーンリスク機能を使うことで、組織内の全サーバで使用されているソフトウェアの EOL 状況を一元管理し、計画的なバージョンアップや移行を実現できます。
サプライチェーンリスクとは#
サプライチェーンリスクとは、ソフトウェアの EOL(End of Life)など、ソフトウェアサプライチェーン上のリスクを管理するためのチケットです。
FutureVuls では、スキャンにより EOL を迎えた・迎える予定のソフトウェアが検知された場合、サプライチェーンリスクとして自動で新規登録します。
登録されたサプライチェーンリスクは一覧画面で EOL 状況を把握でき、ステータス管理や担当者のアサイン、対応期限の設定などの対応管理ができます。
設定に応じて随時通知 / 月次レポート通知も受け取ることができます。
次回スキャン時に EOL が解消されていれば自動でクローズ(CLOSED)されます。
検知対象#
EOLの検知対象#
サプライチェーンリスク機能では、以下のソフトウェアの EOL を管理対象としています。
| スキャン対象 | 関連するスキャン方法 | 必要な設定・アクション | 備考 |
|---|---|---|---|
| Linux OS | ローカルスキャン リモートスキャン ペーストスキャン Inspector + SBOM SBOMインポート |
(設定不要) | Linuxの標準パッケージのサポート期間はOSサポート期限と同じ |
| RHEL AppStreams | ローカルスキャン リモートスキャン ペーストスキャン Inspector + SBOM SBOMインポート |
(設定不要) | FutureVuls独自機能 |
| EPELからインストールしたパッケージ | ローカルスキャン リモートスキャン ペーストスキャン Inspector + SBOM SBOMインポート |
(設定不要) | EPELのサポート期間はOSサポート期限と同じ |
| EPEL以外のサードパーティーリポジトリからインストールしたパッケージ | Inspector + SBOM + CPEスキャン | CPEの手動登録 | |
| Linux上のBinary | CPEスキャン | CPEの手動登録 | |
| Container Image OS, pkg | コンテナレジストリ連携 Trivyスキャン SBOM |
(設定不要) | OSのサポート期限と同じ |
| Container Image内のBinary | Trivyスキャン + CPE手動登録 | CPEの手動登録 | Bitnamiイメージは自動で検知可能 |
| Windows OS | ローカルスキャン リモートスキャン ペーストスキャン Amazon Inspector連携 |
(設定不要) | OSのサポート期限と同じ |
| Windowsにインストールされたサードパーティー製ソフトウェア | CPEスキャン | CPEの手動登録 | |
| OSS Library | Vuls Lockfileスキャン Trivyスキャン Lockfile ペーストスキャン SBOMインポート Inspector + SBOM |
(設定不要) | FutureVuls独自ロジックにより、各OSSプロジェクトの公式EOL宣言を分析してFutureVulsに登録されたOSSのEOLを検知 |
| CPE | CPEスキャン | CPEの手動登録 | vuls-saas/endoflife.dateに登録されているソフトウェアのEOLを検知可能 |
管理対象外のソフトウェア
OS パッケージ(osPkg)および Windows パッケージ(windowsPkg)は、それぞれ Linux OS と Windows OS の EOL と同義のため、個別には管理対象としていません。
サプライチェーンリスク一覧#
サプライチェーンリスク一覧では、登録されているサプライチェーンリスクを一覧で確認できます。
| 項目 | 詳細 | 更新のタイミング |
|---|---|---|
| ソフトウェア | ソフトウェア名+バージョン情報(サーバOSやライブラリも含む) | スキャン時 |
| EOL残り日数 | 期限までの残り日数 | EOL期限の更新時 / 日次更新時 |
| EOL期限 | EOL標準サポート期限、またはソフトウェアが延長サポート利用中であれば EOL 延長サポート期限 | スキャン時 / EOL情報更新時 |
| 優先度 | ユーザが設定した対応優先度 | スキャン時 / 優先度更新時 |
| ステータス | 対応管理におけるステータス 自動設定されるステータスは NEW / CLOSED(ユーザは手動で CLOSED に設定することはできない) |
スキャン時 / ステータス更新時 |
| ステータス更新日時 | ステータスが最後に更新された日時 | スキャン時 / ステータス更新時 |
| 主担当者 | ユーザが設定した主担当者 | ユーザによる手動更新時 |
| 対応予定日 | ユーザが設定した対応予定日 | ユーザによる手動更新時 |
| 対応期限 | ユーザが設定した対応期限 | ユーザによる手動更新時 |
| サーバ名 | ソフトウェアがインストールされているサーバ名 | サーバ更新時 |
| ロール名 | サーバが所属しているロール 設定しなければデフォルトサーバロールに割り振られる |
サーバ更新時 |
| Exposure | SSVC Decision Point の Exposure(脆弱なコンポーネントの露出レベル) サーバに紐づくロールでの設定、またはグループでのデフォルト設定が反映される |
スキャン時 / グループ設定・サーバロール更新時 |
| Human Impact | SSVC Decision Point の Human Impact(攻撃された際の業務影響) サーバに紐づくロールでの設定、またはグループでのデフォルト設定が反映される |
スキャン時 / グループ設定・サーバロール更新時 |
| サプライチェーンリスク更新日時 | サプライチェーンリスクが最後に更新された日時 | スキャン時 / 更新時 |
| コメント更新日時 | ユーザが最後にコメントを更新した日時 | コメント更新時 |
| 初回検知日時 | そのサプライチェーンリスクが初めて検知された日時 | スキャン時 |
| 優先度更新日時 | 優先度が最後に更新された日時 | 優先度更新時 |
サブタブ#
サプライチェーンリスク一覧には、使いやすいようにタブが用意されています。
| タブ名 | 取得するサプライチェーンリスク |
|---|---|
| EOL | EOLに関するサプライチェーンリスクの一覧 |
| マイタスク | 「対応済でない」かつ「主担当に自分が設定されている」サプライチェーンリスクの一覧 |
| 期限切れ | 「対応済でない」かつ「対応期限が過去」のサプライチェーンリスクの一覧 |
| 未対応 | 「ステータスが NEW」のサプライチェーンリスクの一覧 |
| 対応中 | 「ステータスが INVESTIGATING または ONGOING」のサプライチェーンリスクの一覧 |
| 対応済 | 「ステータスが CLOSED、WORKAROUND、RISK_ACCEPTED、NOT_AFFECTED」のサプライチェーンリスクの一覧 |
ステータス#
対応が未完了または保留中のサプライチェーンリスクのステータスには以下が用意されています。
| ステータス名 | 状態 | 備考 |
|---|---|---|
| NEW | 新規でEOLを検知した状態 | EOL検知時に設定される |
| INVESTIGATING | 調査中の状態 | 検知したEOLの調査時に設定する。トリアージを行う |
| NOT_AFFECTED | 影響なしの状態 | EOLが環境に影響しないことを確認した状態 |
| ONGOING | 作業中の状態 | バージョンアップ、廃止、移管など、リスクを低減させるための具体的な対応を計画・実行している状態 |
対応が完了したサプライチェーンリスクのステータスには以下が用意されています。
| ステータス | 要旨 | 代表的な対策例 |
|---|---|---|
| CLOSED | 対応完了 | バージョンアップや廃止などの対応が完了し、EOLリスクが恒久的に解消された状態 |
| WORKAROUND | 緩和策実施済み | 緩和策・監視対応を実施した状態(暫定的な対応) |
| RISK_ACCEPTED | リスク受容 | リスクを評価し、対応しないことを決定した状態 |
サプライチェーンリスクのステータスと作業フローは下記のイメージです。
| 対応の流れ | ステータス変更の流れ |
|---|---|
| 調査後、準備をして、バージョンアップする | NEW → INVESTIGATING → ONGOING(バージョンアップ準備) → CLOSED |
| 緩和策を実施し、バージョンアップしない | NEW → INVESTIGATING → ONGOING → WORKAROUND |
| 調査の結果、EOLが環境に影響しないことを確認したため対応しない | NEW → INVESTIGATING → NOT_AFFECTED |
| 調査・審議の結果、EOLによる影響を許容することを決定したため対応しない | NEW → INVESTIGATING → RISK_ACCEPTED |
Q&A:どのステータスを選べばよいですか?
- Q. バージョンアップはできないが、ファイアウォールで通信を遮断しました。どのステータスにすべきですか?
- A.
WORKAROUNDを選択してください。リスクは残存しますが、一時的な緩和策を実施した場合に利用します。
- A.
- Q. 開発環境でのみ利用しており、外部公開もしていないため、EOLのリスクを許容することにしました。どのステータスにすべきですか?
- A.
RISK_ACCEPTEDを選択してください。リスクを評価した上で、ビジネス上の判断として「対応しない」ことを決定した場合に利用します。監査証跡として、判断理由をコメントに残すことを推奨します。
- A.
CSVレポート#
グループに含まれるサプライチェーンリスク全件を、CSV 形式でダウンロードできます。
次のようなユースケースの場合は、エクスポート > CSVダウンロード の機能をご利用ください。
- サブタブ内で表示されているサプライチェーンリスクのみをダウンロードしたい
- フィルタを適用して、画面に表示されているサプライチェーンリスクのみをダウンロードしたい
CSV レポートの出力データは押下時の最新情報ではなく、毎日朝8時頃に作成されたデータとなります。 画面に表示された最新のデータをダウンロードしたい場合には「CSVダウンロード」をご利用ください。