特徴
製品ラインアップ
脆弱性情報収集の自動化を行いたい方
- SIDfm IG
脆弱性情報収集から管理まで行いたい方
- SIDfm VM
- SIDfm VM for MSP
脆弱性情報をシステム連携して利用したい方
- SIDfm API
料金
導入事例
サポート

03-6417-9339

平日 9:30 ～ 12:00 / 13:00 ～ 17:30

SIDfm サポートページ検索

SIDfm サポートトップへ戻る

SIDfm API エンドポイント一覧

お問い合わせ

お探しの内容が見当たらない場合は、
ヘルプデスクへお問い合わせください。

ヘルプデスクへ問い合わせする

SRI とは

SRI（SIDfm Risk Impact）について
システムカテゴリの定義
SRI レベルの定義
システムカテゴリと SRI の関係性

SRI（SIDfm Risk Impact）について

SRI とは、リスクを分析・評価するために使用されるSIDfm独自の指標です。脆弱性の影響を決定するための環境評価と現状評価を行うフレームワークに活用できます。SRI 指標による脆弱性の度合いの標準化を図り弊社が脆弱性情報を長年提供してきて培ったノウハウが込められています。

サーバの設置場所等の環境を考慮して「システムカテゴリ」という概念を導入し、脆弱性の環境評価基準のプリセットを提供しています。SRI 指標による脆弱性の度合いの標準化を図り、リスク分析・評価における手間を省くように設計が可能です。

システムカテゴリの定義

SIDfm における、環境評価基準のプリセットであるシステムカテゴリは以下のように定義されています。

	公開サーバ信頼できない人間がアクセス可能なネットワークに配置された、信頼できる人間のみがログインできるシステム。基本的にファイアウォールの外側や DMZ, クラウドにあるサーバシステムを意味します。（具体例：公開 Web サーバ、公開 DNS サーバ、公開 SMTP サーバ）
	内部サーバ信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、信頼できる人間のみがログインできるシステム。基本的にファイアウォールで保護された内側にあるサーバシステムを意味します。（具体例：内部 Web サーバ、内部 DNS サーバ、内部 SMTP サーバ）
	共用サーバ信頼できない人間がアクセス可能なネットワークに配置された、信頼できない人間がログインできるシステム。レンタルサーバのサービスを提供するシステムや、不特定なユーザにアカウントを発行する Web サービスを提供するシステムを意味します。（具体例：レンタルサーバ、無料のアカウントを発行するサービスを提供するサーバ、共用端末）
	モバイル信頼できない人間がアクセス可能なネットワークに配置された、他システムへサービスを提供しないクライアントシステム。 Web の閲覧やドキュメントの作成などに使用し、公開無線 LAN などに接続するノートパソコンやタブレットを意味します。
	クライアント信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、クライアントシステム。 Web の閲覧やドキュメントの作成などに使用し、外部への持ち出しを行わないノートパソコンやタブレットを意味します。
	仮想化ホスト信頼できない人間がアクセス可能なネットワークに配置された、仮想サーバを提供する仮想サーバのホストシステム。基本的に仮想サーバのハイパーバイザシステムの動作するシステムを意味します。仮想サーバの操作を行う Web インタフェースなどは評価の対象となりません。
	公開NW機器信頼できない人間がアクセス可能なネットワークに配置された、ルータ・スイッチ・ファイアウォールなどのネットワーク機器。（具体例：ファイアウォール、エッジルータ、エッジスイッチ）
	内部NW機器信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、ルータ・スイッチなどのネットワーク機器。（具体例：コアルータ、コアスイッチ）

SRI レベルの定義

SRI レベルは、システムカテゴリによる環境評価と脆弱性情報の現状評価を組み合わせ、以下の基準によって決定します。

SRI レベル	評価基準
重大	SRI レベルが高もしくは中であり、かつ、以下を満たす場合フレームワークやライブラリ等においてデフォルトの設定状態で影響を受ける場合攻撃コードが既に確認されている場合
高	攻撃者にシステムを不正に操作される場合容易にサービス妨害を起こす場合容易に機密情報の漏洩を起こす場合
中	サービス妨害を引き起こす場合情報漏洩を引き起こす場合情報収集時点で詳細が不明な場合
低	直接的な被害を受ける可能性が低い場合その他、特別な理由による場合

※詳細が不明なものに限り、情報源が設定したレベルが存在する場合はそれを踏襲する。
※対象プロダクトによっては、例外的な評価を行う場合がある。（例：Wireshark）

システムカテゴリと SRI の関係性

システムカテゴリと SRI には相互に関係性があります。

よくある脆弱性として発生するケースを例に、システムカテゴリとの関係性を以下に記載します。

SRI レベル	システムカテゴリ名	評価基準
重大
	公開サーバ	個々の脆弱性により重大と判断したもの（高・中レベルからの引き上げ)
	内部サーバ	個々の脆弱性により重大と判断したもの（高・中レベルからの引き上げ)
	モバイル	個々の脆弱性により重大と判断したもの（高・中レベルからの引き上げ)
	クライアント	個々の脆弱性により重大と判断したもの（高・中レベルからの引き上げ)
	共用サーバ	個々の脆弱性により重大と判断したもの（高・中レベルからの引き上げ）もしくは以下の場合ローカルからの平文パスワードの漏洩
	仮想化ホスト	個々の脆弱性により重大と判断したもの（高・中レベルからの引き上げ)
	公開NW機器	個々の脆弱性により重大と判断したもの（高・中レベルからの引き上げ)
	内部NW機器	個々の脆弱性により重大と判断したもの（高・中レベルからの引き上げ)
高
	公開サーバ	ライブラリ API による意図していないコード実行リモートからの任意のコード実行認証無しの SQL インジェクションリレーなどネットワーク境界に依存しない任意のコード実行
	内部サーバ	リレーなどネットワーク境界に依存しない任意のコード実行
	モバイル	ライブラリ API による意図していないコード実行ユーザの操作による意図していない任意のコード実行
	クライアント	ライブラリ API による意図していないコード実行ユーザの操作による意図していない任意のコード実行
	共用サーバ	ライブラリ API による意図していないコード実行リモートからの任意のコード実行ローカルからの特権奪取認証無しの SQL インジェクションリレーなどネットワーク境界に依存しない任意のコード実行
	仮想化ホスト	仮想化ゲストから仮想化ホスト上での任意のコード実行
	公開NW機器	個々のアプライアンス製品、ネットワーク製品に依存する
	内部NW機器	個々のアプライアンス製品、ネットワーク製品に依存する
中
	公開サーバ	ライブラリ API によるサービス妨害ユーザの操作による意図していない任意のコード実行ローカルからの平文パスワードの漏洩リモートからのサービス妨害反射型クロスサイトスクリプティングクロスサイトリクエストフォージェリ
	内部サーバ	ライブラリ API による意図していないコード実行リモートからの任意のコード実行ユーザの操作による意図していない任意のコード実行認証無しの SQL インジェクションローカルからの平文パスワードの漏洩反射型クロスサイトスクリプティングクロスサイトリクエストフォージェリ
	モバイル	ライブラリ API によるサービス妨害ローカルからの平文パスワードの漏洩リレーなどネットワーク境界に依存しない任意のコード実行
	クライアント	ライブラリ API によるサービス妨害ローカルからの平文パスワードの漏洩リレーなどネットワーク境界に依存しない任意のコード実行
	共用サーバ	ライブラリ API によるサービス妨害ユーザの操作による意図していない任意のコード実行リモートからのサービス妨害ローカルからのサービス妨害反射型クロスサイトスクリプティングクロスサイトリクエストフォージェリローカルからのカーネルメモリ読み取り
	仮想化ホスト	ライブラリ API による意図していないコード実行ユーザの操作による意図していない任意のコード実行ローカルからの平文パスワードの漏洩仮想化ゲストから仮想化ホストのカーネルメモリ読み取りリレーなどネットワーク境界に依存しない任意のコード実行
	公開NW機器	個々のアプライアンス製品、ネットワーク製品に依存する
	内部NW機器	個々のアプライアンス製品、ネットワーク製品に依存する
低
	公開サーバ	ローカルからの特権奪取仮想化ゲストから仮想化ホスト上での任意のコード実行ローカルからのサービス妨害ローカルからのカーネルメモリ読み取り仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
	内部サーバ	ライブラリ API によるサービス妨害ローカルからの特権奪取仮想化ゲストから仮想化ホスト上での任意のコード実行リモートからのサービス妨害ローカルからのサービス妨害ローカルからのカーネルメモリ読み取り仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
	モバイル	リモートからの任意のコード実行ローカルからの特権奪取仮想化ゲストから仮想化ホスト上での任意のコード実行認証無しの SQL インジェクションリモートからのサービス妨害ローカルからのサービス妨害反射型クロスサイトスクリプティングクロスサイトリクエストフォージェリローカルからのカーネルメモリ読み取り仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
	クライアント	リモートからの任意のコード実行ローカルからの特権奪取仮想化ゲストから仮想化ホスト上での任意のコード実行認証無しの SQL インジェクションリモートからのサービス妨害ローカルからのサービス妨害反射型クロスサイトスクリプティングクロスサイトリクエストフォージェリローカルからのカーネルメモリ読み取り仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
	共用サーバ	仮想化ゲストから仮想化ホスト上での任意のコード実行仮想化ゲストから仮想化ホストのカーネルメモリ読み取り
	仮想化ホスト	ライブラリ API によるサービス妨害リモートからの任意のコード実行ローカルからの特権奪取認証無しの SQL インジェクションリモートからのサービス妨害ローカルからのサービス妨害反射型クロスサイトスクリプティングクロスサイトリクエストフォージェリローカルからのカーネルメモリ読み取り
	公開NW機器	個々のアプライアンス製品、ネットワーク製品に依存する
	内部NW機器	個々のアプライアンス製品、ネットワーク製品に依存する

	公開サーバ信頼できない人間がアクセス可能なネットワークに配置された、信頼できる人間のみがログインできるシステム。基本的にファイアウォールの外側や DMZ, クラウドにあるサーバシステムを意味します。（具体例：公開 Web サーバ、公開 DNS サーバ、公開 SMTP サーバ）
	内部サーバ信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、信頼できる人間のみがログインできるシステム。基本的にファイアウォールで保護された内側にあるサーバシステムを意味します。（具体例：内部 Web サーバ、内部 DNS サーバ、内部 SMTP サーバ）
	共用サーバ信頼できない人間がアクセス可能なネットワークに配置された、信頼できない人間がログインできるシステム。レンタルサーバのサービスを提供するシステムや、不特定なユーザにアカウントを発行する Web サービスを提供するシステムを意味します。（具体例：レンタルサーバ、無料のアカウントを発行するサービスを提供するサーバ、共用端末）
	モバイル信頼できない人間がアクセス可能なネットワークに配置された、他システムへサービスを提供しないクライアントシステム。 Web の閲覧やドキュメントの作成などに使用し、公開無線 LAN などに接続するノートパソコンやタブレットを意味します。
	クライアント信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、クライアントシステム。 Web の閲覧やドキュメントの作成などに使用し、外部への持ち出しを行わないノートパソコンやタブレットを意味します。
	仮想化ホスト信頼できない人間がアクセス可能なネットワークに配置された、仮想サーバを提供する仮想サーバのホストシステム。基本的に仮想サーバのハイパーバイザシステムの動作するシステムを意味します。仮想サーバの操作を行う Web インタフェースなどは評価の対象となりません。
	公開NW機器信頼できない人間がアクセス可能なネットワークに配置された、ルータ・スイッチ・ファイアウォールなどのネットワーク機器。（具体例：ファイアウォール、エッジルータ、エッジスイッチ）
	内部NW機器信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、ルータ・スイッチなどのネットワーク機器。（具体例：コアルータ、コアスイッチ）

SRI とは

SRI（SIDfm Risk Impact）について

システムカテゴリの定義

公開サーバ

内部サーバ

共用サーバ

モバイル

クライアント

仮想化ホスト

公開NW機器

内部NW機器

SRI レベルの定義

システムカテゴリと SRI の関係性

公開サーバ

内部サーバ

モバイル

クライアント

共用サーバ

仮想化ホスト

公開NW機器

内部NW機器

公開サーバ

内部サーバ

モバイル

クライアント

共用サーバ

仮想化ホスト

公開NW機器

内部NW機器

公開サーバ

内部サーバ

モバイル

クライアント

共用サーバ

仮想化ホスト

公開NW機器

内部NW機器

公開サーバ

内部サーバ

モバイル

クライアント

共用サーバ

仮想化ホスト

公開NW機器

内部NW機器