コンテンツにスキップ

サプライチェーンリスク#

組織で使用するソフトウェアには、セキュリティ上のリスクが常に存在します。 特にサポートが終了したソフトウェアは脆弱性が放置されるリスクが高く、セキュリティインシデントの原因となります。 サプライチェーンリスク機能を使うことで、組織内の全サーバで使用されているソフトウェアの EOL 状況を一元管理し、計画的なバージョンアップや移行を実現できます。

サプライチェーンリスク機能とは#

サプライチェーンリスク機能は、EOL(End of Life)などサプライチェーン上のリスクを検知し、チケットとして一元管理する機能です。

主な機能#

網羅性の高いEOL検知#

  • Linux/Windows OS、コンテナ、OSS ライブラリ、サードパーティー製ソフトウェアなど幅広く対応
  • endoflife.date 掲載の400製品超、OS ベンダー公式 EOL 情報、FutureVuls 独自ロジックによる OSS EOL 検知を組み合わせた網羅性の高い検知

チケット形式での一元管理#

  • EOL 情報を集約した専用画面で、ステータス、期限、影響資産を確認
  • 対応ステータス、優先度、担当者、対応期限の設定、コメントが可能
  • フィルター・ソート機能で効率的な管理を実現
  • EOL 解消時は次回スキャンで自動クローズ

自動通知#

  • 随時通知: 新規 EOL 検知時、EOL 情報更新時
  • 月次レポート: グループ別・ソフトウェア別の EOL 集計

この機能で解決できること#

FutureVuls は、立場や役割の異なるそれぞれのユーザの EOL 管理に関する課題を解決します。

システム運用者#

  • 自分のシステムに存在する「サポート切れ(EOL)のソフトウェア」を漏れなく発見したい
  • EOL が迫っているソフトウェアを特定し、計画的にバージョンアップや移行を進めたい
  • どの EOL リスクから対応すべきか、優先順位を判断したい
  • EOL に関する対応状況をチーム内で共有し、管理したい

セキュリティ部門のEOL管理者#

  • 自社の全システムに存在する「サポート切れ(EOL)のソフトウェア」を漏れなく発見したい
  • EOL が迫っているソフトウェアを特定し、各システム運用者に画面上から対応を指示したい
  • 各システム運用者の対応状況を画面上で追跡したい
  • 経営層に自組織の EOL 一覧と対応状況をレポート報告したい

スキャン手順について#

サプライチェーンリスク検知のために特別なスキャン手順は不要です。 通常の脆弱性スキャンにより取得されたソフトウェア構成情報を基に、FutureVuls が自動的に EOL 情報とマッチングし、サプライチェーンリスクとしてチケット登録します。

なお、脆弱性スキャンで取得できなかったソフトウェアについては、CPE/PURLを手動登録することで EOL 検知の対象に追加できます。

CSIRT プラン限定機能

サプライチェーンリスク機能は、現在 CSIRT プラン限定の機能です。

検知対象#

EOLの検知対象#

サプライチェーンリスク機能は、OS、コンテナ、OSS ライブラリ、サードパーティー製ソフトウェアなど、多様なソフトウェアの EOL を網羅性高く検知します。 複数のツールを使い分けることなく、1つのプラットフォームで全ての EOL リスクを一元管理できます。

本機能では、信頼性の高い EOL 情報のみを提供するため、公式に「EOL 宣言」されている確定 EOL、および EOL 予定のみを検知対象としています。 開発が停止している疑いがあるものの、公式に EOL が宣言されていないソフトウェアは対象外です。

カテゴリー スキャン対象 関連するスキャン方法・設定 備考
Linux Linux OS ローカルスキャン/リモートスキャン/ペーストスキャン/Inspector連携+SBOM/SBOMインポート Linux OS パッケージに関してはOSサポート期限と同じため、チケットとして個別に起票はしない(詳細は OSパッケージについてを参照)
RHEL Application Streams ローカルスキャン/リモートスキャン/ペーストスキャン/Inspector連携+SBOM/SBOMインポート OSパッケージのサポート期間と異なるため検知対象(詳細は OSパッケージについてを参照)
Linux上のBinary CPEスキャン
CPE手動登録が必要		 vuls-saas/endoflife.date に登録されているEOL
サードパーティーリポジトリパッケージ
(CPE)		 CPEスキャン
CPE手動登録が必要		 vuls-saas/endoflife.date に登録されているEOL
Windows Windows OS ローカルスキャン/リモートスキャン/ペーストスキャン/Inspector連携 -
Windowsサードパーティー製ソフトウェア CPEスキャン
CPE手動登録が必要		 vuls-saas/endoflife.date に登録されているEOL
コンテナ Container Image OS レジストリ連携/Trivy/SBOM OS パッケージに関してはOSサポート期限と同じため、チケットとして個別に起票はしない(詳細は OSパッケージについてを参照)
Container Image内のBinary Trivy+CPEスキャン
CPE手動登録が必要		 Bitnamiイメージイメージ内に配置されているバイナリは自動で脆弱性とEOLが検知可能。Trivyの機能でBitnamiイメージのバイナリのPURLを特定し、FutureVulsの機能でEOLを検知します。 参考: Trivy/Bitnami Images
・Bitnami以外はBinaryのCPEをFutureVuls上から手動登録すると脆弱性とEOLが検知可能
OSS OSS ライブラリ Lockfile/Trivy/SBOMインポート/Inspector連携+SBOM
PURLの手動登録		 vuls-saas/endoflife.date に登録されている EOL
・endoflife.date に登録されていない OSS は、FutureVuls の独自ロジックにより EOL を検知可能
・GitHub 連携されたソフトウェアは EOL 検知のために PURL の手動登録が必要
その他 CPE CPEスキャン
CPE手動登録が必要		 vuls-saas/endoflife.date に登録されている商用製品やネットワーク機器などのEOL

OS パッケージについて

基本原則
Linux OS パッケージおよび Windows パッケージ、EPEL(Extended Package for Enterprise Linux)からインストールしたパッケージ、Container Image OS のパッケージは、それぞれ OS の EOL と同じライフサイクルのため、個別にはサプライチェーンリスクとしてチケット起票していません。

RHEL Application Streams は例外
RHEL (Red Hat Enterprise Linux) 8以降で導入された Application Streams は、OSのライフサイクルとは独立したサポート期限を持つため、個別にサプライチェーンリスクとして管理します。

Application Streams(Node.js、PHP、Python、MariaDB などのランタイムやツール)には個別のRetirement Dateが設定されています。

EOL データソースへ貢献する方法

FutureVuls の EOL 検知は、vuls-saas/endoflife.date を重要なデータソースの1つとして活用しています。 このデータソースの網羅性が向上することで、より高精度な検知が可能になります。

検知対象に含まれていないソフトウェアがある場合、vuls-saas/endoflife.dateリポジトリへPull Requestをお送りいただくことで、検知対象への追加が可能です。 コミュニティによるデータソースの充実は、すべてのユーザーにとって検知精度向上につながります。

なお、vuls-saas/endoflife.dateは、endoflife.date公式のforkリポジトリです。

Pull Requestの内容について#

vuls-saas/endoflife.date/products${productname}.mdのファイルを追加し、Pull Requestを作成してください。 週一回を目途に FutureVuls チームでレビューをし、マージします。

vuls-saas/endoflife.date/productsから、Add file > Create new fileを選択することで、画面から Pull Request の作成が可能です。

ファイルに記載する内容はFutureVuls-EOL-Template.mdを参照してください。 Pull Request 作成の際はテンプレート内の不要なコメントは削除してください。

FutureVulsで EOL 検知に使用している項目は下記3つとなります。

  • eoesColumn
    • releasesに延長サポート期限を記載する場合はこのカラムにtrueを指定してください
  • identifiers
    • ソフトウェアを特定するための識別子を記載します(PURL または CPE、もしくは両方)
    • PURL
      • PURL から EOL を検知したい場合に記載してください
      • pkg:<type>/<namespace>/<name>@<version>?<qualifiers>#<subpath>の形式で指定してください
      • typeおよびnameは必須、他項目は任意指定です
      • ソフトウェアに割り当てられた PURL と、ここに指定された PURL を突合し、EOL を検知します
        • 突合には type, namespace, name, version が使用されます。qualifiers, subpath は使用されません。
    • CPE
      • CPE から EOL を検知したい場合に記載してください
      • URI 形式 (cpe:/a:<vendor>:<product>...) または Formatted String 形式 (cpe:2.3:a:<vendor>:<product>:...)のいずれかで指定してください
        • ベンダ名及び製品名は必須、他項目は任意指定です
      • ソフトウェアに割り当てられた CPE と、ここに指定された CPE を突合し、EOL を検知します
        • 突合にはベンダ名と製品名のみを用いています
  • releases
    • 各バージョンの EOL 情報を記載してください
    • releaseCycleに対象バージョンを、 eolに EOL 日付をYYYY-MM-DD形式で指定してください。この2つが必須項目です。
      • 日付が不明な場合は以下のように指定できます
        • true: すでに EOL を迎えている(日付不明)
        • false: まだ EOL を迎えていない(将来的に日付が判明予定)
    • 延長サポート期限を設定する場合は、eoes に日付をYYYY-MM-DD形式で指定してください
      • eolと同様にtrue/falseの指定が可能です

EOL 検知には使用しませんが、EOL 情報が記載されている公式ドキュメント等のデータソースが存在する場合は、releasePolicyLinkにリンクを記載してください。

また、YAMLフロントマター(---で囲まれた部分)の後に、製品の概要や参考リンクなどを自由に記載できます。この内容はFutureVuls のサプライチェーンリスク詳細画面の EOL 概要 > 詳細 に表示されます。

サプライチェーンリスクの確認と管理#

検知されたサプライチェーンリスクは、専用の画面で確認・管理できます。

通知機能#

以下の通知機能を提供しています。

  • 随時通知: 新規 EOL 検知時、EOL 情報更新時にメールで通知
  • 月次レポート: グループ別・ソフトウェア別の EOL 集計を月次でメール通知

詳細については EOL通知 をご参照ください。