CPEの割り当て#
Windows スキャナを用いて登録されたソフトウェアのうち KB 管理の対象外のものや、ソフトウェアのCSV形式での登録機能で追加されたソフトウェアについては、そのままでは脆弱性検知の対象外です。 各ソフトウェアに適切な CPE を割り当てることで、これらのソフトウェアの脆弱性を CPE スキャンにより検知できるようになります。
FutureVuls では、これらのソフトウェアの CPE 割り当てを簡便に行える機能を提供しています。
なお、本機能の対象はソフトウェア種別が windows_pkg と custom だけです。
ソフトウェアへのCPEの割り当て#
ソフトウェアタブから CPE を割り当てるソフトウェアをクリックし、「CPE 割り当て」ボタンをクリックします。
登録方法は以下の3つから選べます。
-
リコメンドされた候補から選択する
下記2種類から選択が可能です。
1. よく利用されるCPE: 割り当て実績が多いCPE上位3件 2. リコメンドCPE: ソフトウェア名と関連度の高いCPE -
手動で候補を検索する
データベースに登録されている CPE から文字列検索します。
-
直接入力する
割り当てる CPE を直接入力します。
また、それぞれの登録方法にて、「ベンダ名・プロダクト名のみ登録する」か「完全な CPE を登録する」かを選択できます。 基本的には前者を推奨しており、下記のような違いがあります。
| ベンダ名・プロダクト名のみ(推奨) | 完全な CPE | |
|---|---|---|
| CPE の登録方法 | ベンダ名とプロダクト名を指定し、CPE を自動生成 | バージョン情報まで含んだ完全なCPEを手動で指定 |
| バージョン情報の扱い | スキャナが検知したバージョンを自動で反映(手動更新は不要) | 登録したバージョンで固定され、自動反映されない(手動更新が必要) |
画面表示(CPE 自動更新 列) |
✓(チェックマーク) |
ー(ハイフン) |
| 推奨される利用場面 | 基本的にこちらを推奨 | ・スキャナがバージョンを取得できない場合 ・特殊なエディション情報を登録したい場合 |
また、和製ソフトウェアの場合は、脆弱性 DB として JVN を使用できます(詳細)。
リコメンド機能の学習機能について
ソフトウェアに対して割り当てた CPE 情報は、リコメンド精度向上のため学習に使用されます。 ただし、ユーザを特定できないよう処理を講じておりますので、ご安心ください。 約款
ソフトウェアへの一括割り当て#
ソフトウェアタブにて CPE を割り当てたいソフトウェアを複数選択し、「CPE 割当」ボタンから一括で割り当てられます。
ソフトウェア種別が windows_pkg のものは「CPE 割当(WIN)」から、custom のものは「CPE 割当(CUSTOM)」から割り当てることができます。
変更予定機能
現在は「CPE 割当」のボタンが windows_pkg と custom で分かれていますが、将来的に同じボタンから割り当てられるように仕様を変更する予定です。
一括割り当ての場合は、リコメンドされた候補からベンダ名とプロダクト名のみを登録可能です。 プルダウンから、割り当てるベンダとプロダクトを選択してください。
また、各ベンダ/プロダクトの下に、NVD 検索ページへのリンクも一緒に表示されます。 リンクを押下することで、NVD に該当の CPE が存在するかを確認することが出来ます。 JVN の脆弱性情報を収集するかどうかを判断する際の材料の1つとしてご活用ください。
割り当て済みのCPEの管理#
割り当てCPEの更新#
割り当て CPE を更新したい場合は、ソフトウェアタブにて更新対象のソフトウェアをクリックして詳細を開き、「CPE を編集」ボタンを押してください。
ベンダ名とプロダクト名のみ登録されている場合#
ソフトウェアのバージョン情報の更新に追従して CPE のバージョン情報も切り替わるため、CPE 自体の更新はできません。 JVN の情報を参照するかの設定のみ変更できます。
完全な CPE が登録されている場合#
自動更新の有効化(ベンダ名とプロダクト名のみ登録に変更)の設定、または割り当て済みの CPE の更新(ベンダ名およびプロダクト名は変更不可)ができます。
割り当てCPEの削除#
割り当て CPE を削除したい場合は、ソフトウェアタブにて更新対象のソフトウェアをクリックし、削除アイコンを押してください。 割り当て CPE を削除した場合、削除された CPE を用いて検知されていた脆弱性情報およびタスク情報はすべて削除されます。