コンテンツにスキップ

2025-11 リリース内容#

スキャナの更新

サーバに導入済みのスキャナは定期的に更新してください。

  • スキャナのバグ修正は最新版にのみ適用されます。
  • 古いスキャナでは最新機能を利用できない場合があります。
  • スキャナの更新方法はこちらです。自動更新オプションを活用してください。

2025年07月14日リリースのスキャナバージョン#

スキャナのバージョン統合

2025年7月14日リリースにて、Linux 用スキャナと Windows 用スキャナのバージョン統合を行いました。

スキャナのバージョンの確認方法は「こちら」からご確認ください。

対象 スキャナバージョン スキャン実行スクリプト
サーバ用(Linux,Windows) [NEW] vuls v0.34.0 Version: 2025/04
Trivy v0.57.1 Version: 2025/04

新機能#

サプライチェーンリスクタブ(EOLの一元管理機能)#

グループ / グループセットの サプライチェーンリスクタブ > EOL サブタブ にて、EOL(サポート終了)を迎える/迎えたソフトウェアを一元管理できるようになりました。(CSIRT プラン限定) 一覧で把握 → 詳細で対応管理という流れで、効率的に EOL リスクをコントロールできます。

サプライチェーンリスク一覧画面(第1ペイン)#

主な使い方:

  • 近日 EOL 到来ソフトウェアの洗い出しと早期対応計画
  • 既に EOL 済みのソフトウェアの棚卸し
  • グループ横断の対応状況の可視化

グループ画面例: EOL のあるソフトウェア一覧が表示され、EOL 期限や優先度、対応状況を確認できます。

グループ

グループセット画面例: 複数グループの進捗・対応状況をまとめてモニタリングできます。

グループセット

これにより「どこから手を付けるべきか」「EOL 期限が迫っているものは何か」を即座に判断できます。

また、複数行を選択し、一括で対応管理の項目を編集できます。

サプライチェーンリスク詳細画面(第2ペイン)#

各 EOL について詳細情報を確認しながら対応方針を登録・共有できます。

  • EOL 概要: EOL 期限、ソフトウェア/バージョン、公式マイグレーションガイドへのリンク含む詳細情報、延長サポートの公開状況
  • 影響資産: EOL 対象ソフトウェア、ソフトウェアに紐づくサーバ、サーバに紐づくロール
  • 対応管理: 優先度、対応ステータス、主担当者、対応予定日、対応期限
  • コメント(メンション可): 対応方針等の記載

これにより、システム担当者による対応登録からセキュリティ担当者による妥当性チェックまで、一画面で完結します。

サプライチェーンリスクのコメント欄で @ を入力すると、メンションの候補が表示されます。メンションされたユーザにはコメントの内容がメールで通知されます。

管理対象外のソフトウェアはサプライチェーンリスクステータスをRISK_ACCEPTEDに固定#

ソフトウェアで管理対象外に設定されたソフトウェアは、サプライチェーンリスクのステータスが自動的に RISK_ACCEPTED に固定されます。

AWSの設定にInspector Sbom Exportを追加#

AWS Inspector の Sbom Export 機能を利用して、AWS 環境の SBOM 情報を FutureVuls に取り込めるようになりました。 グループの設定画面の「AWS設定」タブにて、Inspector Sbom Export の有効化が可能です。 設定を有効化すると、脆弱性のないソフトウェアをFutureVuls に取り込むことができます。

EOL機能の強化#

EOL通知機能の追加#

EOL 期限が近づいているソフトウェアについて、以下の通知機能を追加しました:

通知種別 タイミング 通知対象 主な内容
月次定期通知
(EOL Monthly Report)		 ・毎月月初 ・グループメンバ
・グループセットメンバ		 ・先月のEOL概要
・グループ/グループセット内のEOL対応進捗
・ソフトウェア別EOL対応進捗
随時通知 ・新規EOL検知時
・対応状況変更時		 ・該当サーバの担当者 ・新規EOL検知情報
・対応状況の変更情報

月次定期通知の詳細:

通知対象:

  • グループメンバ向け: 自グループ内の EOL 対応状況レポート
  • グループセットメンバ向け: 配下グループの EOL 対応状況を横断集計したレポート

レポート内容:

  • 先月の EOL 概要: 新規検知された EOL や更新のあったサプライチェーンリスクの一覧
  • グループ/グループセット内の EOL 対応進捗: 対応進捗率、総件数、対応期限切れ・未設定数、対応予定日超過・未設定数、高リスク件数、指定期間内のリスク件数など
  • ソフトウェア別 EOL 対応進捗: endoflife.date 掲載ソフトウェアおよび OS パッケージごとのステータス別対応状況

※ 表示対象は設定された期間内(オーガニゼーション単位で最大3つのパラメータを設定可能、未設定時は365日)に EOL 期限を迎えるソフトウェアのみです。

随時通知の詳細:

  • 新規 EOL 検知時: サーバスキャンで新たに EOL が検知された際に通知
  • 対応状況更新時: サプライチェーンリスクのステータスが変更された際に通知

通知方法:

月次通知・随時通知ともに、メールで通知されます。

これにより、ソフトウェア更新の事前準備に必要な情報を計画的に把握できるようになります。

EOL検知の強化#

EOL の検知対象と検知方法を大幅に拡張しました。

主な変更点:

  • Red Hat Enterprise Linux Application Streams の EOL 検知に対応しました
  • 著名な OSS Library について、PURL に加えて CPE からも検知可能になりました
  • endoflife.date に Pull Request を作成いただくことで、任意のソフトウェアの EOL 管理が可能になりました
  • PURL を持つ OSS Library について、FutureVuls 独自ロジックによる検知を追加しました

検知方法一覧:

No 検知対象 検知方法
1 OS 各種 OS の公式ドキュメントを参照し検知する
2 Red Hat Enterprise Linux Application Streams 公式ドキュメントを参照し検知する
3 著名な OSS Library endoflife.date に記載の PURL 及び CPE を参照し検知する
4 その他の OSS Library PURL をもとに FutureVuls 独自ロジックにより検知する

グループセット.ソフトウェアから脆弱性管理系の列を削除して、一覧テンプレでEOLリスク列をフィルタ出来るように#

EndOfLife.dateのLibraryの EOL 検知のPURL, CPEの正しいデータを整備する(400個)#

DockerImage内のバイナリのEOL検知(bitnami image+endofline) endoflife.dateのPURLマッチ方法の変更#

EOL延長 / 標準サポートの選択機能#

EOL の延長サポートが存在する OS やソフトウェアに対して延長サポートを契約している場合には、 EOL の延長サポート期限を採用して検知できます。

(2025年末まで)Teams連携の移行#

グループ > ソフトウェア の追加#

これまでグループセットにのみあったソフトウェアタブを今回のリリースでグループにも追加しました。

グループ内のソフトウェアをソフトウェア名で検索し、詳細を確認できます。また、ライセンスやマリシャスパッケージといった注意すべき条件でも検索できます。

また、今回の EOL 機能の強化に伴い、endoflife.date に未掲載の CPE を検索できるようになりました。

ソフトウェアの共通機能拡張#

これまで Windows 経由のソフトウェアと custom ソフトウェアのみに行えていた CPE 割当機能をすべてのソフトウェアで行えるようにしました。 その他、管理対象外設定やソフトウェアに関連する脆弱性・タスクなどもソフトウェアの種別を問わず更新や確認を行えるようになりました。

改良#

PublicAPIで非表示設定した時のタスクコメントを修正#

PublicAPI 経由で脆弱性の非表示設定を行った際に、タスクコメントに更新元がAPIであることが明示されるようになりました。

CSVレポート機能で出力される項目に「SSVC PRIORITY」を追加#

CSVレポート機能で出力される項目に「SSVC PRIORITY」を追加しました。

RHEL EUS Support#

脆弱性の LLM サマリを API で取得可能に#

脆弱性詳細取得 API のレスポンスに、LLM サマリの情報を追加しました。

これにより、API を通じて脆弱性情報サマリと脅威情報サマリを取得できるようになり、FutureVuls ダッシュボード外でも LLM が生成した脆弱性の分析情報を活用できるようになりました。

追加された情報:

  • cveSummary: 脆弱性情報サマリ
  • exploitationSummary: 脅威情報サマリ

対象 API:

  • グループの脆弱性詳細取得 API: GET /v1/cve/{cveID}
  • グループセットの脆弱性詳細取得 API: GET /v1/groupSet/cve/{cveID}

詳しくはAPIドキュメントを参照してください。

タスクコピーに時間がかかり、タイムアウトしてしまう問題を解消#

タスクコピー時、コピー元サーバ/コピー先サーバのいずれかのタスク数が多い場合に、処理に時間がかかりタイムアウトしてしまう問題が発生していました。

この問題を解消し、タスク数が多い場合でも正常にタスクコピーできるようになりました。

一部画面の表示速度を改善#

以下の画面において、表示速度を改善するための施策を導入しました。

  • グループ > タスク タブ
  • グループセット > タスク タブ

LinuxインストーラにOSパッケージ状態の事前チェック処理を追加#

Linuxインストーラー実行時にハングする問題を解消#

設定保留中や依存関係に問題のある OS パッケージが存在する環境で Linux インストーラーを実行すると、ハングしてしまう問題が発生していました。 インストール前に事前チェックを行い、問題があった場合はエラーを出すようにしました。

CPEの脆弱性検知精度向上のため、データソースにVulncheck NVD++を追加#

CPE に基づく脆弱性検知の精度向上のため、データソースに Vulncheck NVD++ を追加しました。

FutureVuls AI サマリの精度向上のため、ユーザフィードバックを元に再生成されるように変更#

FutureVuls AI サマリの精度向上のため、ユーザがフィードバックを送信した際に、そのフィードバックを元にサマリが再生成されるように変更しました。

ネットワーク機器に不正なCPEが割り当てられる問題を解消#

ネットワーク機器をコマンドで登録する際、構成要素にスペースが含まれた不正な CPE が生成される問題を解消しました。スペースはアンダースコアへ置換されるようになりました。

例:

  • 修正前: cpe:2.3:h:cisco:c38xx stack:-:*:*:*:*:*:*:* (スペースが残る)
  • 修正後: cpe:2.3:h:cisco:c38xx_stack:-:*:*:*:*:*:*:* (アンダースコアに置換)

対応が必要な作業

この修正を適用するには、snmp2cpe の最新バイナリへの更新が必要です。

タスク詳細の情報を複数まとめて取得するための API を追加・拡張#

2025 年前半 (2月~3月を予定) のリリースにて、トークンごとに 20リクエスト/分 のレートリミットを導入する予定です。これに先駆け、複数タスク分のデータをまとめて取得できるように API を追加・拡張しました。

新規追加API#

  • タスクコメントバッチ取得 API (GET /v1/taskComments)
    • 複数タスクのコメントを一度に取得
    • レスポンス: タスク ID ごとにグループ化されたコメントのリスト
  • グループセット脆弱性情報取得 API (GET /v1/groupSet/cveVulnInfos)
    • 複数 CVE の脆弱性情報を一度に取得
    • レスポンス: CVSS、CWE、reference、Exploit 情報など

拡張API#

  • タスク一覧取得 API (GET /v1/tasks, GET /v1/groupSet/tasks)
    • SSVC Decision Point 関連フィールドを追加 (ssvcDecisionPointExploitation, ssvcDecisionPointExposure, ssvcDecisionPointAutomatable, ssvcDecisionPointHumanImpact)
    • パッケージステータス関連フィールドを追加 (packageStatuses)
    • パッケージ情報フィールドを追加 (pkgCpes)

詳細は「APIサンプル」や「APIドキュメント」を参照してください。

SBOM機能#

SBOM 関連の機能を拡充しました。

FutureVuls APIでSBOMのCRUD操作が可能に#

外部サービスと連携ができるように、FutureVuls の SBOM 連携のグループ用 API を追加しました。 詳しくはAPIドキュメントを参照してください。

API 種別 HTTPメソッド エンドポイント 説明
詳細取得 GET /v1/sbom/{sbomID} 登録した SBOM の詳細を取得します
一覧取得 GET /v1/sbom グループ内のサーバに登録されている SBOM を一覧取得します
アプリケーション SBOM の登録 POST /v1/sbom サーバにアプリケーションSBOMを登録します
更新 PUT /v1/sbom/{sbomID} 登録している SBOM を更新します
削除 DELETE /v1/sbom/{sbomID} 登録している SBOM を削除します

一部 API エンドポイントの変更

これまでアプリケーション SBOM の登録は /v1/lockfile/sbom のエンドポイントで提供していました。 今回の改修でこれを Deprecated に移行しており、将来的に廃止する予定です。

同様の機能を /v1/sbom のエンドポイントで提供しているので、こちらへの移行をお願いいたします。

サーバSBOMをAPIでダウンロードできるように#

FutureVuls に登録されているサーバ情報を、SBOM 形式でダウンロードできるようになりました。 ダウンロード URL を埋め込んだ JSON レスポンスが返ってくるので、ファイルをダウンロードするには続けてリクエストを送信してください。 APIサンプルもご参照ください。

[user] ~/tmp $ ls

[user] ~/tmp $ curl -s -O $(curl -s -H 'Accept:application/json' -H 'Authorization:xxxxxxxxxxxxx' 'https://rest.vuls.biz/v1/server/XXXX/sbom?format=cyclonedx_json'  | jq -r '.url')

[user] ~/tmp $ ls -lh
-rw-r--r-- 1 user user 50K  Oct 22 14:30 XXXX-YYYY-ZZZZ.cyclonedx.json

FossIDで出力したSBOMをインポートできるように#

新たに FossID から出力した SBOM を、アプリケーション SBOM として FutureVuls で取り込めるようになりました。

仕様変更#

EOL期限切れとなったサーバの詳細画面にEOL期限切れである表記を追加#

EOL 期限切れとなったサーバの詳細画面に EOL 期限切れである表記を追加しました。

タスク詳細などに設置しているサーバ詳細画面へのリンクにも EOL 期限切れとなった旨の表記を追加しています。

所属情報画面のレイアウト変更#

前回のリリースですべてのアカウントがオーガニゼーションに所属する新しい構造へ移行したのに合わせて、ログイン後に遷移する所属情報画面のレイアウトを変更しました。

また、所属情報の画面にグループ名・グループセット名でフィルタを行う機能を追加しました。

一覧画面のメニュー部分の整理#

一覧画面のメニューに設置しているボタンのうち、利用頻度の低い「行間隔」ボタンと「フィルタ保存」ボタンを「設定」ボタン内にまとめました。

一覧画面のメニュー