特徴
製品ラインアップ
脆弱性情報収集の自動化を行いたい方
- SIDfm IG
脆弱性情報収集から管理まで行いたい方
- SIDfm VM
- SIDfm VM for MSP
脆弱性情報をシステム連携して利用したい方
- SIDfm API
料金
導入事例
サポート

平日 9:30 ～ 12:00 / 13:00 ～ 17:30

vulnerabilities

SIDfmVMサーバに登録されている脆弱性一覧を取得するためのエンドポイントです。
脆弱性別状況画面のサマリー表に相当するデータを取得します。

エンドポイント	vulnerabilities
機能	脆弱性一覧取得
実装バージョン	2.7.0
認証	有り
HTTPメソッド	GET/POST

パラメータ

入力値

機能

入力値の型

デフォルト値

q[api_key]

パラメータで認証を行う場合に API キーを指定します。
X-API-Key としてリクエストヘッダに API キーを設定した場合は、このパラメータは X-API-Key での認証に失敗した場合にのみ参照されます。

String

なし

q[offset]

取得するデータの先頭位置を指定します。

Number

q[per_page]

1～200の値で、1度に取得するデータの数を指定します。指定した値が1～200を超えている場合は10として扱われます。
※全データ数の指定は不可です。

Number

q[index]

対象とする評価指標を指定します。
sriまたはcvssを指定します。

String

sri

q[category]

対象とするカテゴリです。
取得する一覧のデータを、指定したカテゴリのホストの脆弱性に限定します。

String

なし

q[prior_category]

脆弱性一覧データのカテゴリの並び順に、優先するカテゴリを指定します。
systemを指定するとシステムカテゴリを優先し、customを指定するとカスタムカテゴリを優先します。

String

system

q[order]

一覧データのソート順を指定します。
下記の文字列に_ascを付けると昇順、_descを付けると降順となります。(例: title_asc)

文字列	ソート対象
warning	要対応
statuses	対応状況
maxsri	SRI
maxcvss	CVSS
area	影響範囲
exploitable	攻撃コード
title	SIDfm ID/KB番号
elapseddays	経過日数
hostname	脆弱性のホストのうち、ホストの表示名の昇順で先頭になるホストの表示名が対象になります。
categories	カテゴリ名 q[prior_category]でsystemが設定されている場合は、脆弱性のシステムカテゴリのうち、IDの昇順で一番先頭になるカテゴリIDが対象になります。 customが設定されている場合は、脆弱性のカスタムカテゴリのうち、カテゴリ名の昇順で一番先頭になるカテゴリ名が対象になります。
duedates	対策予定日設定済(率)
finished	対処率

String

title_asc

q[filters][warning]

取得する脆弱性を、warningなら要対応の脆弱性に、othersなら要対応以外の脆弱性に絞り込みます。

String

なし

q[filters][products][product_names]

SIDfmプロダクト名で、取得する脆弱性を絞り込みます。
指定したプロダクトが関連する脆弱性に絞り込みます。
複数検索可能です。
この絞り込みは、q[filters][products]*に限りOR条件で絞り込みを行います。

Array<String>

なし

q[filters][products][version_names]

SIDfmプロダクトのバージョン名で、取得する脆弱性を絞り込みます。
指定したバージョンが関連する脆弱性に絞り込みます。
複数検索可能です。
この絞り込みは、q[filters][products]*に限りOR条件で絞り込みを行います。

Array<String>

なし

q[filters][products][lproduct_names]

ローカルプロダクト名で、取得する脆弱性を絞り込みます。
指定したローカルプロダクトが関連する脆弱性に絞り込みます。
複数検索可能です。
この絞り込みは、q[filters][products]*に限りOR条件で絞り込みを行います。

Array<String>

なし

q[filters][products][lversion_names]

ローカルプロダクトのバージョン名で、取得する脆弱性を絞り込みます。
指定したバージョンが関連する脆弱性に絞り込みます。
複数検索可能です。
この絞り込みは、q[filters][products]*に限りOR条件で絞り込みを行います。

Array<String>

なし

q[filters][status]

対応状況で、取得する脆弱性を絞り込みます。
配列で複数指定すると、指定したいずれかの対応状況の脆弱性に絞り込みます。
1つ指定する場合は、文字列でも指定可能です。
絞り込み可能な対応状況は、下記の通りです。

未対策
対策中
対策済
影響無

String/Array<String>

なし

q[filters][sris]

SRIが、指定した危険度のいずれかである脆弱性に絞り込みます。複数検索可能です。
絞り込み可能な危険度は、下記の通りです。

重大
高
中
低
無

Array<String>

なし

q[filters][cvsses]

CVSSが、指定したCVSS値のいずれかである脆弱性に絞り込みます。複数検索可能です。
絞り込みには、CVSS値の記号(文字列)を指定します。
絞り込み可能な記号と値は、下記の通りです。

記号	CVSS値
notreg	未登録
d4	10.0 ~ 9.0
d3	8.9 ~ 7.0
d2	6.9 ~ 4.0
d1	3.9 ~ 0.0

Array<String>

なし

q[filters][area]

影響範囲で、取得する脆弱性を絞り込みます。
絞り込み可能な影響範囲は、下記の通りです。

リモート
クライアント
ローカル

String

なし

q[filters][exploitable]

trueを指定すると、取得する脆弱性を攻撃コードがある脆弱性に絞り込みます。

Boolean

なし

q[filters][categories][names]

カテゴリ名で、取得する脆弱性を絞り込みます。
指定したカテゴリのいずれかが設定されているホストの脆弱性に絞り込みます。
q[filters][categories][ids]と併用して絞り込みすることはできません。

Array<String>

なし

q[filters][categories][ids]

カテゴリIDで、取得する脆弱性を絞り込みます。
指定したカテゴリのいずれかが設定されているホストの脆弱性に絞り込みます。
q[filters][categories][names]と併用して絞り込みすることはできません。

Array<Number>

なし

q[filters][categories][is_and]

trueを指定すると、q[filters][categories][names]またはq[filters][categories][ids]での絞り込み時に、指定したカテゴリが全て設定されているホストに絞り込みます。

Boolean

なし

q[filters][categories][is_except]

trueを指定すると、q[filters][categories][names]またはq[filters][categories][ids]での絞り込み時に、指定したカテゴリが設定されていないホストに絞り込みます。

Boolean

なし

q[filters][date_begin]

q[filters][date_outside_period]で指定する日で、取得する脆弱性を絞り込みます。
検出日が指定した日付以降の脆弱性に絞り込みます。(例: 2022/11/01)

String

なし

q[filters][date_end]

q[filters][date_outside_period]で指定する日で、取得する脆弱性を絞り込みます。
検出日が指定した日付以前の脆弱性に絞り込みます。(例: 2022/11/01)

String

なし

q[filters][date_outside_period]

trueを指定すると、取得する脆弱性をq[filters][date_begin]またはq[filters][date_end]あるいはその両方で指定した期間外の脆弱性に絞り込みます。

Boolean

なし

q[filters][date_target]

q[filters][date_begin]またはq[filters][date_end]で検索する際の対象日を文字列で指定します。
指定可能な対象日は下記の通りです。

文字列	対象日
detected_date	検出日
created_date	登録日
updated_date	最終更新日

Boolean

なし

q[filters][due_date_begin]

対策予定日で、取得する脆弱性を絞り込みます。
対策予定日が指定した日付以降のホストがある脆弱性に絞り込みます。(例: 2022/11/01)
q[filters][due_date_nodate]と併用して絞り込みすることはできません。

String

なし

q[filters][due_date_end]

対策予定日で、取得する脆弱性を絞り込みます。
対策予定日が指定した日付以前のホストがある脆弱性に絞り込みます。(例: 2022/11/01)
q[filters][due_date_nodate]と併用して絞り込みすることはできません。

String

なし

q[filters][due_date_nodate]

trueを指定すると、取得する脆弱性を対策予定日が未設定のホストがある脆弱性に絞り込みます。
q[filters][due_date_begin]及びq[filters][due_date_end]と併用して絞り込みすることはできません。

Boolean

なし

q[filters][keyword]

取得する脆弱性を、指定した文字列が部分一致する脆弱性に絞り込みます。
指定する文字列によって、絞り込みする対象が変わります。

文字列	対象
半角数字のみ (例: 5673)	SIDfm ID/KB番号/脆弱性名/CVE ID (※)
KB + 半角数字 (例: KB5004956)	SIDfm ID/KB番号/脆弱性名 ※ KB以降の数値で絞り込みを行います
その他の文字列	脆弱性名/CVE ID (※)

※ CVE IDに部分一致する場合は、そのCVE IDに関連する脆弱性が一致するデータの対象に含まれます。

String

なし

q[filters][ctags]

取得する脆弱性を、指定したカスタムタグのいずれかが設定されている脆弱性に絞り込みます。

Array<String>

なし

q[filters][cvss_vector][cvss_v3]

取得する脆弱性を、指定したCVSS指標(CVSS v3)のあるCVE IDを有する脆弱性に絞り込みます。
項目と値は右記のように指定します。[filters][cvss_vector][cvss_v3][項目]=値 (例: q[filters][cvss_vector][cvss_v3][AV]=N)
項目と値の詳細については、こちらをご参照ください。
指定可能な項目と値は下記の通りです。

項目

項目の意味

値 (いずれか1つ)

攻撃元区分

値	値の意味
P	物理
L	ローカル
A	隣接
N	ネットワーク

攻撃条件の複雑さ

値	値の意味
H	高
L	低

必要な特権レベル

値	値の意味
H	高
L	低
N	不要

ユーザ関与レベル

値	値の意味
R	要
N	不要

スコープ

値	値の意味
U	変更なし
C	変更あり

情報漏洩の影響

値	値の意味
N	なし
L	低
H	高

情報改竄の影響

値	値の意味
N	なし
L	低
H	高

業務妨害の影響

値	値の意味
N	なし
L	低
H	高

Hash

なし

q[filters][cvss_vector][cvss_v2]

取得する脆弱性を、指定したCVSS指標(CVSS v2)のあるCVE IDを有する脆弱性に絞り込みます。
項目と値は右記のように指定します。[filters][cvss_vector][cvss_v2][項目]=値 (例: q[filters][cvss_vector][cvss_v2][AV]=N)
項目と値の詳細については、こちらをご参照ください。
指定可能な項目と値は下記の通りです。

項目

項目の意味

値 (いずれか1つ)

攻撃元の場所

値	値の意味
L	ローカル
A	隣接
N	ネットワーク

攻撃成立条件の難易度

値	値の意味
H	難しい
M	やや難しい
L	簡単

攻撃前の認証の要否

値	値の意味
M	複数回
S	一回
N	不要

情報漏洩への影響

値	値の意味
N	なし
P	部分的にあり
C	全面的にあり

情報改竄への影響

値	値の意味
N	なし
P	部分的にあり
C	全面的にあり

業務妨害への影響

値	値の意味
N	なし
P	部分的にあり
C	全面的にあり

Hash

なし

q[filters][cvss_vector][is_target_unregistered]

trueを指定すると、取得する脆弱性をCVSS指標が未登録のCVE IDのある脆弱性に絞り込みます。
q[filters][cvss_vector][cvss_v3]またはq[filters][cvss_vector][cvss_v3]と併用して絞り込みすることはできません。

Boolean

なし

レスポンス

key	value の内容	value の型
success	認証の成否	Boolean
response	エラー等の補足情報	Hash
total_size	取得した脆弱性の数	Number
vulnerabilities	脆弱性一覧	Array<Hash>
html_id	SIDfm ID	String
title	脆弱性名	String
short_description	簡易説明	String
url	脆弱性詳細画面のURL	String
warning	要対応 trueの場合: 要対応 falseの場合: 非要対応	Boolean
statuses	脆弱性のホストの対応状況	Array<Hash>
name	対応状況	String
value	ホスト数	Number
max_sri	SRI	String
max_cvss	CVSS	String/Null
cve_ids	CVE ID	Array<String>
cvss_v2	CVE IDの評価(CVSS V2)	Array<Hash>
id	CVE ID	String
vector	評価	String/Null
cvss_v3	CVE IDの評価(CVSS V3)	Array<Hash>
id	CVE ID	String
vector	評価	String/Null
max_area	影響範囲	String
exploitable	攻撃コードの有無 trueの場合: 有り falseの場合: 無し nullの場合: 出力不可	Boolean/Null
min_elapsed_days	検出されてからの経過日数	Number/Null
min_created_on	検出日	String
hosts	ホスト	Array<Hash>
id	ホストID	Number
hostname	ホスト名	String
ext_name	表示名	String/Null
display_name	実際に表示に使用される名称	String
url	ホスト詳細画面のURL	String
categories	カテゴリ	Array<Hash>
id	カテゴリID	Number
name	カテゴリ名	String
desc	概要	String
hostlim	ホスト登録上限数	Number/Null
is_system	trueの場合: システムカテゴリ falseの場合: カスタムカテゴリ	Boolean
due_dates_percent	対策予定日設定済	String
statuses_percent	対処率	String
ctags	カスタムタグ	Array<Hash>
id	カスタムタグID	Number
keyword	カスタムタグ名	String
category_id	カテゴリID	Number/Null
color	文字色コード	String
background_color	背景色コード	String
priority	優先度	Number
create_date	登録日	String
update_date	最終更新日	String

レスポンス例

{
  "success": true,
  "response": {},
  "total_size": 11521,
  "vulnerabilities": [
    {
      "html_id": "837",
      "title": "Apache に複数のセキュリティホール",
      "short_description": "Apache は実装上の原因により、複数のセキュリティホールが存在します。攻撃者にこれらの弱点を利用された場合、リモートからディレクトリコンテンツを表示させられたり、システム上に存在する任意の ”.log” ファイルを上書きされたりする可能性があります。",
      "url": "http://example.com/redmine/sidfm/vulnerability/837",
      "information_detail_url": "http://example.com/redmine/sidfm/informations/vuln/837",
      "warning": false,
      "statuses": [
        {
          "name": "対策中",
          "value": 1
        }
      ],
      "max_sri": "低",
      "max_cvss": "5.0",
      "cve_ids": [
        "CVE-2001-0731"
      ],
      "cvss_v2": [
        {
          "id": "CVE-2001-0731",
          "vector": "AV:N/AC:L/Au:N/C:P/I:N/A:N"
        }
      ],
      "cvss_v3": [
        {
          "id": "CVE-2001-0731",
          "vector": null
        }
      ],
      "max_area": "リモート",
      "exploitable": false,
      "min_elapsed_days": 836,
      "min_created_on": "2020/07/21",
      "hosts": [
        {
          "id": 103,
          "hostname": "sample-host",
          "ext_name": "system16-1002",
          "display_name": "system16-1002",
          "url": "http://example.com/redmine/sidfm/host/103"
        }
      ],
      "categories": [
        {
          "id": 2,
          "name": "内部サーバ",
          "desc": "信頼できる人間や特定の人間のみアクセス可能なネットワークに配置された、信頼できる人間のみがログインできるシステム。 基本的にファイアウォールで保護された内側にあるサーバシステムを意味します。\n（具体例：内部 Web サーバ、内部 DNS サーバ、内部 SMTP サーバ）",
          "hostlim": null,
          "is_system": true
        },
        {
          "id": 16,
          "name": "サンプルA",
          "desc": "カテゴリサンプルA",
          "hostlim": 10,
          "is_system": false
        }
      ],
      "due_dates_percent": "100.0%",
      "statuses_percent": "0.0%",
      "ctags": [
        {
          "keyword": "sampleA",
          "category_id": 10,
          "color": "",
          "background_color": "",
          "priority": 2
        }
      ],
      "create_date": "2001/10/26",
      "update_date": "2002/03/20"
    }
  ]
}

サンプルコード

※ 実際にサンプルコードを試す場合は、色のついている箇所をご自身の環境に合わせて変更しご利用ください。
サンプルコードを試す場合、変更箇所の「http(s)://hostname/redmine」は、システム設定の「メール通知設定用のURL」を、「apikey」は、VM APIキー設定画面で登録済みのAPIキーを設定する必要があります。