サプライチェーンリスクタブ#
サプライチェーンリスク機能では、検知された EOL をこのページで確認し、各リスクの詳細を管理できます。 一覧の各項目をクリックすると、サプライチェーンリスク詳細ページが開き、詳細情報や対応状況を確認・更新できます。
以下では、一覧ペイン(第1ペイン)に表示される各項目について説明します。
サプライチェーンリスク一覧#
サプライチェーンリスク一覧では、登録されているサプライチェーンリスクを一覧で確認できます。
| 項目 | 詳細 | 更新のタイミング |
|---|---|---|
| ソフトウェア | ソフトウェア名+バージョン情報(サーバOSやライブラリも含む) | スキャン時 |
| EOL残り日数 | 期限までの残り日数 | EOL期限をもとにリアルタイム更新 |
| EOL期限 | EOL標準サポート期限、またはソフトウェアが延長サポート利用中であれば EOL 延長サポート期限 サポート終了していて具体的なEOL期限日が公開されていない場合は Expired と表示 |
スキャン時 |
| 優先度 | ユーザが設定した対応優先度 デフォルトは NONE(起票時に自動設定) |
優先度更新時 |
| ステータス | 対応管理におけるステータス 自動設定されるステータスは NEW / CLOSED(ユーザは手動で CLOSED に設定することはできない) |
スキャン時 / ステータス更新時 |
| ステータス更新日時 | ステータスが最後に更新された日時 | スキャン時 / ステータス更新時 |
| 主担当者 | デフォルトでサーバ担当者 ユーザが設定した主担当者 |
ユーザによる手動更新時 再起票時にサーバの担当者にリセット |
| 対応予定日 | ユーザが設定した対応予定日 | ユーザによる手動更新時 再起票時に空にリセット |
| 対応期限 | ユーザが設定した対応期限 | ユーザによる手動更新時 再起票時に空にリセット |
| サーバ名 | ソフトウェアがインストールされているサーバ名 | サーバ更新時 |
| ロール名 | サーバが所属しているロール 設定しなければデフォルトサーバロールに割り振られる |
サーバ更新時 |
| Exposure | SSVC Decision Point の Exposure(脆弱なコンポーネントの露出レベル) サーバに紐づくロールでの設定、またはグループでのデフォルト設定が反映される |
グループ設定・サーバロール更新時 |
| Human Impact | SSVC Decision Point の Human Impact(攻撃された際の業務影響) サーバに紐づくロールでの設定、またはグループでのデフォルト設定が反映される |
グループ設定・サーバロール更新時 |
| 検知方法 | サプライチェーンリスクの検知に使用された方法 例: endoflife.date、OSベンダー公式EOL情報、FutureVuls独自ロジックなど |
スキャン時 |
| サプライチェーンリスク更新日時 | サプライチェーンリスクが最後に更新された日時 | スキャン時 / 更新時 |
| コメント更新日時 | ユーザが最後にコメントを更新した日時 | コメント更新時 |
| 初回検知日時 | そのサプライチェーンリスクが初めて検知された日時 | スキャン時 |
| 優先度更新日時 | 優先度が最後に更新された日時 | 優先度更新時 |
サブタブ#
サプライチェーンリスク一覧には、使いやすいようにタブが用意されています。
| タブ名 | 取得するサプライチェーンリスク |
|---|---|
| EOL | EOLに関するサプライチェーンリスクの一覧 |
| マイタスク | 「対応済でない」かつ「主担当に自分が設定されている」サプライチェーンリスクの一覧 |
| 期限切れ | 「対応済でない」かつ「対応期限が過去」のサプライチェーンリスクの一覧 |
| 未対応 | 「ステータスが NEW」のサプライチェーンリスクの一覧 |
| 対応中 | 「ステータスが INVESTIGATING または ONGOING」のサプライチェーンリスクの一覧 |
| 対応済 | 「ステータスが CLOSED、WORKAROUND、RISK_ACCEPTED、NOT_AFFECTED」のサプライチェーンリスクの一覧 |
ステータス#
対応が未完了または対応中のサプライチェーンリスクのステータスには以下が用意されています。
| ステータス名 | 状態 | 備考 |
|---|---|---|
| NEW | 新規でEOLを検知した状態 | EOL検知時に設定される(CLOSED のサプライチェーンリスクが再検知された場合も含む) |
| INVESTIGATING | 調査中の状態 | 検知したEOLの調査時に設定する。トリアージを行う |
| NOT_AFFECTED | 影響なしの状態 | EOLが環境に影響しないことを確認した状態 |
| ONGOING | 作業中の状態 | バージョンアップ、廃止、移管など、リスクを低減させるための具体的な対応を計画・実行している状態 |
対応が完了したサプライチェーンリスクのステータスには以下が用意されています。
| ステータス | 要旨 | 代表的な対策例 |
|---|---|---|
| CLOSED | 対応完了 | バージョンアップや廃止などの対応が完了し、EOLリスクが恒久的に解消された状態 |
| WORKAROUND | 緩和策実施済み | 緩和策・監視対応を実施した状態(暫定的な対応) |
| RISK_ACCEPTED | リスク受容 | リスクを評価し、対応しないことを決定した状態 管理対象外ソフトウェアの場合は自動的にこのステータスになります |
サプライチェーンリスクのステータスと作業フローは下記のイメージです。
| 対応の流れ | ステータス変更の流れ |
|---|---|
| 調査後、準備をして、バージョンアップする | NEW → INVESTIGATING → ONGOING(バージョンアップ準備) → CLOSED |
| 緩和策を実施し、バージョンアップしない | NEW → INVESTIGATING → ONGOING → WORKAROUND |
| 調査の結果、EOLが環境に影響しないことを確認したため対応しない | NEW → INVESTIGATING → NOT_AFFECTED |
| 調査・審議の結果、EOLによる影響を許容することを決定したため対応しない | NEW → INVESTIGATING → RISK_ACCEPTED |
Q&A:どのステータスを選べばよいですか?
- Q. バージョンアップはできないが、ファイアウォールで通信を遮断しました。どのステータスにすべきですか?
- A.
WORKAROUNDを選択してください。リスクは残存しますが、一時的な緩和策を実施した場合に利用します。
- A.
- Q. 開発環境でのみ利用しており、外部公開もしていないため、EOLのリスクを許容することにしました。どのステータスにすべきですか?
- A.
RISK_ACCEPTEDを選択してください。リスクを評価した上で、ビジネス上の判断として「対応しない」ことを決定した場合に利用します。監査証跡として、判断理由をコメントに残すことを推奨します。
- A.
CSVレポート#
グループに含まれるサプライチェーンリスク全件を、CSV 形式でダウンロードできます。
次のようなユースケースの場合は、エクスポート > CSVダウンロード の機能をご利用ください。
- サブタブ内で表示されているサプライチェーンリスクのみをダウンロードしたい
- フィルタを適用して、画面に表示されているサプライチェーンリスクのみをダウンロードしたい
CSV レポートの出力データは押下時の最新情報ではなく、毎日朝8時頃に作成されたデータとなります。 画面に表示された最新のデータをダウンロードしたい場合には「CSVダウンロード」をご利用ください。