FutureVulsにはスキャン対象ごとに複数のスキャン方法があります。
それぞれの選択肢とその特徴を説明します。
LinuxのCPEスキャンは非推奨です。詳細は「FAQ」を参照してください。
スキャン対象サーバからスキャン結果のJSONをFutureVulsにアップロードできる場合は、スキャナでLinuxをスキャンする方法がおすすめです。 OSパッケージのアップデート実施後に最新の構成情報をFutureVulsに自動で同期できます。
KBのCPEスキャンは非推奨です。詳細は「FAQ」を参照してください。
| スキャン方法 | Windows Update接続方法 | 構成変更時 | メリット | 検討ポイント | 参考リンク |
|---|---|---|---|---|---|
| ローカルスキャン | インターネット上 | 自動同期 | スキャナのインストールや設定が簡単 | スキャン対象のWindowsにスキャナプログラムの配置が必要 | |
| SSHリモートスキャン | インターネット上 | 自動同期 | スキャン対象のWindowsにスキャナプログラムの配置が不要 | スキャン対象の各WindowsにSSHの設定が必要。設定ファイルにスキャン対象へのSSH接続情報の定義が必要 | - Windows Server on EC2 に ssh で接続する |
| WSUS管理下のWindowsのスキャン | ローカルNW内のWSUS | 自動同期 | ローカルスキャン、SSHリモートスキャンと同様 | ローカルスキャン、SSHリモートスキャンと同様 | |
| cabファイルスキャン | 接続不可 | 自動同期 | 閉域(エアギャップ環境、オフライン環境)のWindowsも管理可能。アップデートなどにより構成情報が変わった場合でもスキャナプログラムで構成情報を自動更新可能 | cabファイルのサイズに注意(2024年2月時点で約600-800MB)。スキャン結果をFutureVulsにアップロードできる必要あり。 | |
| cabファイル + SSHリモートスキャン | 接続不可 | 自動同期 | スキャン対象サーバのWindowsにスキャナをインストール不要。閉域(エアギャップ環境、オフライン環境)のWindowsも管理可能。アップデートなどにより構成情報が変わった場合でもスキャナプログラムで構成情報を自動更新可能。最新のcabファイルをファイルサーバ上に1つ配置すればスキャン可能 | cabファイルを格納するファイルサーバを準備する必要がある。cabファイルのサイズに注意(2024年2月時点で約600-800MB)。ディスク上のcabファイルはスキャン終了後に自動削除される。スキャンが実行されるたびにファイルサーバから各Windowsにcabファイルがコピーされるため、同時にスキャンするWindowsの台数が多い場合はネットワーク帯域に注意。スキャン結果をFutureVulsにアップロードできる必要あり。 | |
| ペーストスキャン | 接続不可 | 手動更新 | FutureVulsの画面上でKBのリストをコピーペーストで登録してCVEを検知。閉域(エアギャップ環境、オフライン環境)のWindowsも管理可能。管理対象サーバスキャナプログラムが必要ない | Windowsアップデート実施により構成情報が変わった場合に画面上からKBのリストを手動で更新する必要あり |
FutureVulsは、KBとして管理される製品「以外」のサードパーティー製ソフトウェアの構成管理と脆弱性管理の機能があります。FutureVulsの「サードパーティー製ソフトウェアのCPEリコメンド」機能を用いると、Windowsにインストールされているアプリケーションの脆弱性管理が簡単にできます。
詳細は新機能:FutureVuls、Windowsのサードパーティソフトウェアの脆弱性検知がより楽にを参照して下さい。
LinuxのCPEスキャンは非推奨です。詳細は「FAQ」を参照してください。
| スキャン方法 | メリット | 検討ポイント | 構成変更時 | 参考リンク |
|---|---|---|---|---|
| Trivy連携 | CI/CDに組み込める。AWS環境以外をサポートできる。 | Trivyスキャンの環境を準備して設定する必要がある。 | 自動同期 | FutureVulsとTrivyでAWS CodePipelineのCI/CDに脆弱性検知を組み込む |
| Amazon ECR外部連携 | AWSのECRと連携設定するだけで設定が完了。 | 脆弱性が存在しないOSパッケージやアプリケーションの依存ライブラリはFutureVulsに取り込まれない。 | 自動同期 | |
| SBOMインポート | イメージがなくてもSBOMファイルがあればインポート可能。 | SBOMの生成と管理には専用ツールが必要。更新時は再度SBOMのインポートが必要。 | 手動更新 |
アプリケーションの依存ライブラリをスキャンのCPEスキャンは非推奨です。詳細は「FAQ」を参照してください。
JavaやPythonなどのフレームワークや、Webアプリケーションなどが内部で依存するOSSライブラリの脆弱性検知の方法です。 依存ライブラリの脆弱性にはCVEが採番されていない脆弱性がたくさんありますが、それらCVEが採番されていない脆弱性も検知できます。 サポートする言語やLockfileの一覧は、対応環境を参照してください。
| スキャン方法 | スキャン目的 | メリット | 検討ポイント | 参考リンク |
|---|---|---|---|---|
| Trivyでライブラリをスキャン | - コンテナイメージ内の依存ライブラリ - ローカルファイルシステム上の依存ライブラリ - リモートのGitリポジトリ |
CI/CDに組み込める。AWS以外もサポート。GoのバイナリやJavaのjarファイルもスキャン対象。 | Trivyスキャン環境の準備が必要。 | - CI/CDパイプラインに組み込む方法 |
| AWS環境の依存ライブラリをAmazon Inspectorでスキャン | - Amazon ECR - AWS Lambda - Amazon EC2上の依存ライブラリ |
AWS環境で設定が簡単。SSM、Vuls、Trivy等のエージェントが不要。 | 脆弱性が存在しないライブラリはFutureVulsに取り込まれない。 検知対象が限られる。ECR、Lambda、EC2のサポート対象プログラム言語を確認してください。詳細情報はこちら |
- FutureVulsでAmazon EC2のライブラリをスキャン |
| Vuls ScannerでLockfileを指定したスキャン | ホストOS上のLockfileをスキャン | Vulsスキャナのセットアップ済みの環境ではconfig.tomlを変更するだけ。 | 検知対象のLockfileやディレクトリをconfig.tomlに列挙する必要あり | |
| ペーストスキャン | Lockfileが閉域網にある場合 | Lockファイルを画面上でコピーペーストして登録可能。 | アップデートでLockfileが変更された場合は、画面上でペーストして更新するか、REST APIで更新する必要あり。Javaはサポート対象外。 | |
| GitHub Security Alerts連携 | Gitリポジトリ上のLockfileやライブラリをスキャン | GitHubを使っている場合は設定が簡単 | ||
| アプリケーションのSBOMインポート | Lockfileが閉域網にある場合 | SBOMを画面上でコピーペーストして登録可能。Javaをサポート | アップデートでSBOMが変更された場合は、再登録するか、REST APIで更新する必要あり | 次のセクションに詳細を記載 |
各種SBOMファイルをインポートできます。 アプリケーションの依存ライブラリ自体をアップデートした場合はその都度FutureVulsにSBOMをインポートする必要があります。
| ツール | 検討ポイント | SPDX サポート | CycloneDX サポート | 参考リンク |
|---|---|---|---|---|
| Trivy | ライブラリの依存関係が明確 | v2.3 | v1.5 | Trivy のサポートする Lockfile Trivy の SBOM ドキュメント |
| CycloneDX Generator (cdxgen) | CycloneDX 公式サポートツール | - | v1.5 | CycloneDX Generator (cdxgen)のドキュメント |
| Syft | - | v2.3 | v1.5 | Syft のドキュメント |
| SBOM Tool | - | v2.2 | - | SBOM Tool |
CPEスキャン機能は、OSやプログラミング言語依存のライブラリ 「以外」 のソフトウェアの脆弱性をスキャンできます。具体的なスキャン対象例としては以下のようなものがあります。