サプライチェーンリスク詳細#
サプライチェーンリスク機能では、検知された EOL を一覧で確認し、個々のリスクの詳細を第2ペインで管理します。
サプライチェーンリスク一覧(第1ペイン)で項目をクリックすると、第2ペインに詳細情報が表示されます。 EOL 期限や影響資産の確認、ステータス・優先度・担当者などの対応管理、コメントによるチーム内の情報共有ができます。
以下では、詳細ペイン(第2ペイン)に表示される各項目について説明します。
EOL概要#
| 項目 | 詳細 |
|---|---|
| EOL 期限 | 延長サポートを利用している場合は延長サポートのEOL期限、利用していない場合は標準サポートのEOL期限が表示される。 サポート終了していて具体的なEOL期限日が公開されていない場合は Expired と表示される。 |
| ソフトウェア | ソフトウェア名+バージョン情報(サーバ OS やライブラリも含む) |
| 詳細 | EOLに関する詳細情報 (例: EOL 理由、EOL後のサポート情報など) |
| 検知方法 | EOLを検知した方法 ・ endoflife_date:vuls-saas/endoflife.dateに登録されているEOL ・ futurevuls:FutureVuls独自の検知ロジック・ os:OSベンダー公式のEOL発表・ rhel_application_stream_eol:RHEL Application Streams(詳細は検知対象を参照) |
| 延長サポート | 延長サポートが提供されている場合そのサポート期限日 |
延長サポートの切り替え方法
延長サポートが提供されている製品の場合、延長サポートを利用しているかどうかを以下のページから設定できます。
これらのページには、下記の「影響資産」セクション内のリンクから遷移できます。 延長サポートをオンにすると、EOL期限が延長サポート期限に切り替わります。
影響資産#
| 項目 | 詳細 |
|---|---|
| ソフトウェア | サプライチェーンリスクのソフトウェア名+バージョン情報(サーバ OS やライブラリも含む) ソフトウェア名をクリックするとソフトウェア詳細ページが開く |
| サーバ名 | サプライチェーンリスクが検知されたサーバ名 |
| ロール名 | サーバが所属しているロール 設定しなければデフォルトサーバロールに割り振られる |
| SSVC Exposure | SSVC Decision Point の Exposure(脆弱なコンポーネントの露出レベル) サーバに紐づくロールでの設定、またはグループでのデフォルト設定が反映される |
| SSVC Human Impact | SSVC Decision Point の Human Impact(攻撃された際の業務影響) サーバに紐づくロールでの設定、またはグループでのデフォルト設定が反映される |
SSVC Decision Point の活用
影響資産セクションでは、EOL が検知された各サーバの SSVC Decision Point(Exposure、Human Impact)を確認できます。 これらの情報とサプライチェーンリスクの EOL 期限を総合的に判断することで、対応の優先度を適切に設定できます。
対応管理#
| 項目 | 詳細 |
|---|---|
| ステータス | 対応管理における ステータス が表示される 自動設定されるステータスは NEW / CLOSED ユーザは手動で CLOSED に設定することはできない |
| 優先度 | 対応管理における優先度(※ オーガニゼーション設定 > 優先度表記カスタム機能の対象外) |
| 主担当者 | 主担当者 ユーザが設定した主担当者が表示される サーバにデフォルト担当者を設定した場合は、サプライチェーンリスク作成時にデフォルト担当者が設定される |
| 対応予定日 | ユーザが設定した対応予定日を表示 |
| 対応期限 | ユーザが設定した対応期限を表示 |
| コメント | 投稿されたコメントが表示される Markdown形式で記述可能 |
主担当者に表示される候補#
主担当者に指定できるユーザは以下の通りです。
- 以下の権限を持つユーザ個人(
グループ設定 > メンバで確認可能)- オーナ
- CSIRT
- グループセット管理者 / メンバ
- グループ管理者 / メンバ
コメント#
システムによるサプライチェーンリスクの更新履歴を確認したり、コメントを投稿して他ユーザとの情報共有ができます。
システムの更新履歴の表示設定は、システムによる更新履歴を表示 バーで切り替えられます。
メンションによるコメント通知#
コメントではメンションも可能です。 @を入力し、対象を選択することで、そのユーザへメール通知が行われます。 メンションでは各ユーザ名とユーザグループの中から対象を選択できます。
メンション候補#
メンションで指定できるユーザやグループは、表示している画面によって異なります。
グループ画面#
| 対象 | 権限/内容 | メンション例 |
|---|---|---|
| ユーザ個人 | オーナ, CSIRT, グループセット管理者/メンバ/閲覧権限のみ, グループ管理者/メンバ/閲覧権限のみ ( グループ設定 > メンバ で確認可能) |
@YamadaTaro |
| ユーザグループ | オーナ | @owner |
| CSIRT | @csirts |
|
| 該当サプライチェーンリスクが所属するグループを含む、グループセットの管理者 | @groupSetAdmin |
|
| 該当サプライチェーンリスクが所属するグループを含む、グループセットのメンバ | @groupSetMember |
|
| 該当サプライチェーンリスクが所属するグループの管理者 | @groupAdmin |
|
| 該当サプライチェーンリスクが所属するグループのメンバ | @groupMember |
グループセット画面#
| 対象 | 権限/内容 | メンション例 |
|---|---|---|
| ユーザ個人 | オーナ, CSIRT, グループセット管理者/メンバ/閲覧権限のみ ( グループセット設定 > メンバ で確認可能) |
@YamadaTaro |
| ユーザグループ | オーナ | @owner |
| CSIRT | @csirts |
|
| 該当サプライチェーンリスクが所属するグループを含む、グループセットの管理者 | @groupSetAdmin |
|
| 該当サプライチェーンリスクが所属するグループを含む、グループセットのメンバ | @groupSetMember |
|
| 該当サプライチェーンリスクが所属するグループの管理者 | @groupAdmin |
|
| 該当サプライチェーンリスクが所属するグループのメンバ | @groupMember |