SIDfm VM よくある質問

OS・アプリケーションベンダーからのセキュリティ情報を最重要視しています。セキュリティアドバイザリを発行しないアプリケーションの場合は、CVE 情報を情報源としています。さらに、セキュリティホール情報の確度を向上させるため、以下の関連情報も情報源として確認しています。

• JVN : http://jvn.jp/index.html
• JPCERT/CC : http://www.jpcert.or.jp
• US-CERT : https://www.us-cert.gov/

いいえ、弊社での独自算出は行っておりません。製品ベンダの提供する CVSS 評価値があればそれを使用し、無い場合は NIST の NVD (National Vulnerability Database) の提供する CVSS 評価値を使用するようにしています。

1. 製品ベンダ (Cisco / HPE / ISC / MIT / Symantec など)
   製品ベンダのアドバイザリに CVSS スコアが記載されている場合、その CVSS 評価値を優先的に使用します。製品ベンダの CVSS 評価値は、SIDfm のセキュリティコンテンツの登録時に同時に登録しています。
2. NIST の NVD (National Vulnerability Database)
   製品ベンダから CVSS 評価値の発表が無い場合、NVD の CVSS 評価値を採用しています。NVD の CVSS 評価値については一日に一度取得し、これを SIDfm のセキュリティコンテンツに反映させています。このため、セキュリティコンテンツ登録時に CVSS 評価値の無いものが存在することをご承知ください。

2021年 4月現在、国内最大級の 870 種類以上の OS/アプリケーションに関するセキュリティ情報を取り扱っています。最新の取扱い一覧データは「SIDfm に登録されているソフトウェア製品」よりご確認ください

はい、可能です。
OS、アプリケーションの新規取扱の希望がございます場合は、希望される OS/アプリケーションの正式名称および製品URLをヘルプデスクの「お問い合わせフォーム」よりご連絡ください。
ご連絡を頂きました OS/アプリケーションは、取扱可否を判断させて頂きます。なお、判断理由については開示しておりません。また、一度に多くのリクエストをいただきました場合は、回答までにお時間をいただく場合がございます。予めご了承ください。

日本語以外での情報提供は行っておりません。

弊社セキュリティ情報データベースの情報は、弊社が対象としております情報源を営業日毎に日々確認し、新しい脆弱性情報を発見または情報が更新されていた場合に原則 2 営業日以内にデータベースへの登録または更新を行います。

「セキュリティホール詳細情報の見方 | SIDfm VM ユーザガイド」を参照してください。

ソフトウェア等の単なる不具合情報は、収集の対象としておりません。
Red Hat Enterprise Linux Server (v. 6) を例にご説明致します。Red Hat Enterprise Linux Server (v. 6) のセキュリティおよび不具合（バグ）情報は、以下のページで公開しております。
http://rhn.redhat.com/errata/rhel-server-6-errata.html
上記ページ内の内容は、その内容により「security」「bug fix」「enhancements」のカテゴリに分類されています。その内、SIDfm が扱う情報は、「security」に分類されている情報となります。
SIDfm が取り扱う情報は、OS、アプリケーションベンダーがセキュリティとした情報となります。概ね、それらのセキュリティ情報には、CVE番号が付与されます。
ベンダーがセキュリティとする基準が公表されている訳ではございませんが、概ね、不具合の内、他者に利用される不具合やシステムを停止される不具合などの重大な結果を引き起こす不具合をセキュリティとして分類しております。

SIDfm の「影響を受ける環境」欄に記載する情報は、ベンダのアドバイザリなど確実な情報を元に記しています。
Windows Server 2003 R2 は、マイクロソフトにより 2015 年 7 月 14 日までのサポートされますが、マイクロソフトのアドバイザリに記載の無い場合は、SIDfm のコンテンツに含まれません。

SIDfm では「Microsoft Windows Server 2012 R2」は、「Microsoft Windows Server 2012」に含める形で取り扱っております。「Microsoft Windows Server 2012 R2」の情報を受取る場合は、「Microsoft Windows Server 2012」をご登録ください。

なお Microsoft Windows Server 2008 と Microsoft Windows Server 2008 R2 が個別にプロダクト登録されていることに対して Microsoft Windows Server 2012 がまとめられている理由は、Microsoft のセキュリティアドバイザリでの取り扱いの違いに起因しております。
MS16-090 を例にご説明いたしますと、アドバイザリ内では、「影響を受けるソフトウェア」の表に「Windows Vista」などが太字で記載されています。ここで「Windows Server 2008」と「Windows Server 2008 R2」は別のグループとして記載されていますが、「Windows Server 2012」と「Windows Server 2012 R2」は同じグループとして記載されています。
SIDfm では、Windows 製品をこのグループ表記に基づく形で「Windows Server 2012」と「Windows Server 2012 R2」をまとめて扱うようにしております。

製品ベンダによるサポートの終了した製品は取り扱っておりません。
これは、SIDfm では製品ベンダの提供する情報をベースとしてセキュリティホール情報コンテンツを作成することとしており、製品ベンダによる公式な情報が提供されない製品は、確実性のある情報の入手が難しいためとなります。これにより、SIDfm の「影響を受ける環境」欄に記載する情報は、ベンダのアドバイザリなど確実な情報を元に記しています。なお、製品ベンダによるサポートの終了した既に登録済みのセキュリティ情報は、そのまま提供しております。
また、例えば、Apache Struts 2 のセキュリティホールに対して、Apache Struts 1 の影響を確認するといったような、ある製品のセキュリティホールに対する別の製品の影響確認もしておりません。(※ SIDfm では、Apache Struts 1 と Apache Struts 2 は、互換性が無いためバージョン違いでは無く別製品と認識しております。)

SIDfm へのセキュリティホール情報の登録は、以下の基本方針によって登録するかどうかを判断しています。従いまして、公式なセキュリティホールの情報が発表された後、内容を精査して情報を登録致します。なお、これは基本方針であり、すべてを満たさないと登録しないということではございません。製品ベンダなどから提供されるセキュリティホール情報の内容は様々であり、提供される内容が決まっておらず、画一的な基準にあてはめることができないため、基本方針に添って柔軟性を持った対応を行っております。

1. セキュリティホール情報であること
2. SIDfm にて取り扱うプロダクトであること
3. ある程度の確度のある情報であること
4. 公式の情報があること
5. 対処方法があること

SIDfm ではいわゆる「実証 (PoC) コード」、IPA 、JPCERT、製品ベンダやセキュリティベンダなどのアナウンスを「攻撃コード」として利用しています。なおこれらの情報は、SIDfm セキュリティコンテンツの作成時やその他の情報を収集する際に副次的に集めた情報を利用しているため、実証コードや攻撃のアナウンスがあるにもかかわらず「攻撃コードあり」とならないセキュリティコンテンツがあることをご承知ください。

EOL (End Of Life) は、弊社がセキュリティ情報やセキュリティ情報の周辺情報を収集する過程において、EOL 情報を発見した場合に登録致します。

はい、提供されます。RedHat や CentOS が提供しているパッケージについては、アプリケーションのバージョンに関わりなく Red Hat や CentOS の脆弱性として提供致します。

いいえ。
RHEL 7 の rpm パッケージに関するセキュリティホール情報の受信は、Red Hat Linux の "Enterprise Linux Server 7" や "Enterprise Linux Workstation 7" などのアイテムをご指定ください。

信頼できるアドバイザリ情報に記載されている回避方法のうち、セキュリティホールの影響を取り除くことが可能な方法を記載するようにしています。 またリスクを低減する方法については基本的に記載しないようにしていますが、記載する場合にはそのことが判別できるようにしています。 一般的なアクセス制限や汎用的な内容については記載いたしません。

脆弱性情報コンテンツの更新履歴欄には、脆弱性情報コンテンツの更新を行った箇所について記載します。
2021 年現在における更新履歴への記載方針は次のとおりとなります。

1. 脆弱性情報コンテンツに記載される内容の追加または更新箇所を記載します。 (更新箇所にも更新について記載します)
2. 製品ベンダーの情報による更新の場合は、ベンダーの更新として記載します。
3. 危険度・影響範囲・CVSS スコアなどの属性情報は、更新履歴の記載対象としていません。(経緯上、およびシステム上の都合によります)

SIDfm では主に NIST による CVSS 評価値を使用しています。NIST による CVSS 評価値は、特定の環境を対象としていません。これに対し Red Hat 社の CVSS 評価値は Red Hat Enterprise Linux のような Red Hat 製品の環境を想定しているため、評価に差が発生することがあります。

F5 Networks 社の指標 (Security Advisory の Severity) と SIDfm の持つ情報を元にして総合的な判定を行っています。そのため、SIDfm では危険度 High となるセキュリティホール (任意のコード実行や権限昇格) であっても、F5 Networks 社の指標を尊重し、危険度を Medium や Low とすることがあります。利用方法の定まっていないライブラリや言語環境 (Java など) のようなコンポーネントのセキュリティホールは、F5 Networks 社製品におけるコンポーネントの利用方法に基づいたリスクとなるため、危険度が小さく判定されることがあります。

主に次の二つのケースがあります。

• NIST がセキュリティホールの被害を特定していない場合 (NIST の NVD の説明では 「unspecifie impact」などと記載される)、CVSS 評価値は 10.0 や 9.3 などの高い値となることがあります。SIDfm ではこのような情報を危険度 Medium として扱うことがあります。
• 利用方法の定まっていないライブラリや言語環境 (Java など) では、ライブラリや言語環境そのものの危険度と製品に組み込まれた際の危険度の違いが、CVSS 評価値とセキュリティコンテンツの危険度の差となって現れることがあります。例えば、libxml2 の任意のコード実行を許すセキュリティホールは、ライブラリそのものとしての CVSS 評価値は 10.0 や 9.3 などになりますが、製品に組み込まれた際に、問題のある機能や関数を使用していないなどの理由により、製品ベンダによって危険度 Medium や Low として判定されることがあります。

SIDfm の特記事項については「SIDfm 特記事項」よりご確認できます。

プロキシが適切に設定されていない可能性があります。
以下の手順に従って、VM サーバをインストールしたホストで Docker 環境内のプロキシ設定が正しく行われているか確認して下さい。

1. root ユーザに昇格します。
2. 「手順 : Red Hat Enterprise Linux に VM サーバをインストールする (VM サーバの Docker イメージを生成)」で作成したディレクトリに移動します。

   # cd sidfmvm

3. VM サーバを再起動します。

   # sh sidfmd-stop.sh
   # sh sidfmd-start.sh

4. 以下のコマンドを実行するとプロキシ設定が出力されますので、設定内容に問題がないか確認します。

   # docker exec sidfmd /proxy_manage show_proxy
   Proxy Enable: true
   Proxy Same HTTP/HTTPS: true
   Proxy HTTP host: proxy.example.co.jp
   Proxy HTTP port: 3001
   Proxy HTTP user:
   Proxy HTTP pass:

5. 以下のコマンドを実行し、Docker コンテナ内からプロキシサーバ経由で弊社サーバにアクセスできるか確認します。{"success":true} という出力が帰ってきた場合は弊社サーバに正常にアクセスできることを確認できます。応答が返らない、もしくはエラーメッセージを返す場合は、ネットワークもしくはプロキシの問題で弊社サーバまでアクセスが届いていません。

   # docker exec -it sidfmd /bin/bash
   # export https_proxy=http://proxy.example.com:3128/
   # curl https://api.softek.jp/sidfm_vm/v1/test
   {"success":true}# exit
   #

SIDfm VM での「プロダクト」とは、Red Hat Enterprise Linux などの OS、Apache Struts などのミドルウェア、Cisco IOS などのハードウェアに搭載されるソフトウェアや一部のハードウェアなど、SIDfm VM で扱っている脆弱性情報提供の対象となるソフトウェアやハードウェアを示します。

1 ホストの最大登録可能製品数は 50 です。

ホストとは、SIDfm VM にユーザが登録するサーバ機器や端末等の総称で、お客様がシステムの維持・管理を行っている対象の機器を意味します。SIDfm VM では、このホストに紐付いた脆弱性情報（セキュリティホール情報）や運用に役立つ機能を提供します。ユーザがホストを登録する際、ホストに付ける名前は任意です。実際のサーバのホスト名でも通称でも構いません。担当者が区別・管理しやすい形で自由にご利用可能です。

インポート機能を利用してホストを一括登録することができます。手順については、「ホストをインポートする | SIDfm VM ユーザガイド」 を参照してください。

はい。ホストの登録はエージェントを使わず手動登録も可能です。手順については、「手動登録する | SIDfm VM ユーザガイド」を参照してください。

はい、削除したホストは復元することができます。手順については「ホストを復元する | SIDfm VM ユーザガイド」を参照してください。

ログイン ID とは、SIDfm VM のシステムを利用するために必要な ID を意味します。

変更可能です。手順については「ユーザ情報を変更する | SIDfm VM ユーザガイド」を参照してください。

主に次の三つのケースが考えられます。

• エージェントの登録時に指定する Proxy または VM サーバ URL に誤りがあり、VM サーバへのアクセスに失敗している。

  vm_agent.sh コマンドの実行時に以下のようなエラーが表示されるケースです。

  # /opt/softek/bin/vm_agent.sh

  (中略)

  []

  Traceback (most recent call last):

          1: from /opt/softek/bin/debian_agent.rb:78:in `<main>'

  /opt/softek/bin/sidfm_vm_unix_agent.rb:232:in`register':cannotaccess api (RuntimeError)

  以下のいずれかのページを参照し、VM サーバの URL や Proxy の設定を見直してください。

  • 「エージェントの設定ファイルの生成 | Amazon Linux 2 にエージェントをインストールする」
  • 「エージェントの設定ファイルの生成 | Red Hat Enterprise Linux/CentOS にエージェントをインストールする」
  • 「エージェントの設定ファイルの生成 | Ubuntu にエージェントをインストールする」

• エージェントの登録時に設定する「ホスト登録用APIキー」に誤りがある。

  vm_agent.sh コマンドの実行時に以下のようなエラーが表示されるケースです。

  # /opt/softek/bin/vm_agent.sh

  (中略)

  []

  {:success=>false, :host_apikey=>nil}

  {:success=>false}

  以下のいずれかのページを参照し、ホスト登録用 API キーの再設定を行なってください。

  • 「ホスト登録用 API キーの設定 | Amazon Linux 2 にエージェントをインストールする」
  • 「ホスト登録用 API キーの設定 | Red Hat Enterprise Linux/CentOS にエージェントをインストールする」
  • 「ホスト登録用 API キーの設定 | Ubuntu にエージェントをインストールする」

• システム上で過去に同じような登録作業を行なったことがあり、host_apikey が残っている。

  vm_agent.sh コマンドの実行時に以下のようなエラーが表示されるケースです。

  # /opt/softek/bin/vm_agent.sh

  (中略)

  []

  {:success=>true}

  {:success=>false}

  次の手続きを実施して下さい。

  1. /opt/softek/var/.host_apikey ファイルを削除する
  2. 再度、/opt/softek/bin/vm_agent.sh を実行する

  # rm /opt/softek/var/.host_apikey

  # /opt/softek/bin/vm_agent.sh

ホスト名の重複が原因です。

SIDfm VM ではホストをホスト名で識別しており、ホスト名は対象のネットワークで一意である必要があります。 通常、ホスト名は $ uname -n コマンドの出力になります。

このため、あるネットワーク (example.co.jp) に所属するホストと別のネットワーク (example.jp) に所属するホストの $ uname -n コマンドの出力結果が同じ場合、 VM サーバでは同一ホストと認識され、既存のホストの情報が新しいホストの情報で上書きされてしまいます。

このような不都合を解消するため、SIDfm VM ではホスト名を明示的に指定する機能があります。 先程の例では、ネットワーク (example.co.jp) に所属するホストの名前を [host.example.co.jp] に、 別のネットワーク (example.jp) に所属するホストの名前を [host.exmaple.jp] と明示的に指定することで、 両者を別のホストとして識別させることが可能です。

指定方法につきましては、下記ページの「ホスト名を指定する場合は～」を参照してください。

• 「エージェントの設定ファイルの生成 | Amazon Linux 2 にエージェントをインストールする」
• 「エージェントの設定ファイルの生成 | Red Hat Enterprise Linux/CentOS にエージェントをインストールする」
• 「エージェントの設定ファイルの生成 | Ubuntu にエージェントをインストールする」

Ansible Playbook を使用してエージェントをインストールした場合は、次のページをご参照ください。

• 「ホスト名の明示的な指定 | Ansible を使用してエージェントをインストールする」

ヘルプデスクサービスは、掲載されたセキュリティホール情報に関連するご質問を受け付けます。セキュリティホールの概要が専門的過ぎて理解できない場合などにお問合せください。お客様のシステム環境に依存したご質問にはお答えできませんので、ご了承のほどお願い致します。

操作およびセキュリティコンテンツについて不明な点は、サポートまでお問い合わせください。

ライセンスのご利用開始は、通常弊社受注後 1週間となります。お急ぎの場合などはご相談ください。

見積依頼・ご発注・ご利用開始までの流れは、
「事前ご確認」→「お見積依頼」→「お見積」→「ご発注」→「弊社受注」→「ご利用開始」
となります。なお、ご発注時には、ご登録情報が必要となります。ご発注連絡とご登録情報を受領した後、弊社受注となります。

ご発注時に必要な、ご登録情報の内容は、以下の通りとなっております。 ご発注連絡と合わせて受領した後、弊社受注となりますのでご注意ください。

• ご機関名
• ご所属名
• お名前（ふりがな）
• ご住所
• お電話番号
• ご連絡先メールアドレス

毎月 1 日が開始日となります。

支払い方法は年間契約の一括前払いのみで承っております。通常、納入月末締翌月末までのお支払いでお願い致しております。

お支払い方法は、年額一括払いとなっています。

複数年一括払いは承っております。但し、お受けできる年数は制限があります。詳しくはお問合せください。

はい。ご契約は一年単位となります。

基本的な契約期間は、一年単位でご注文頂きます。 月次契約は承っておりません。複数年契約につきましては対応が可能な場合がございますので、お手数ですがお問い合わせください。

「動作環境 | SIDfm VM ユーザガイド」を参照してください。