タスク

タスクについて

タスクとは検知した脆弱性を管理するためのチケットです。

1タスク = 1サーバ x 1脆弱性

であり、「あるサーバのある脆弱性が今どういうステータスなのか」を管理できます。

スキャンにより検知された脆弱性はタスクとして自動で新規登録されます。 次回スキャン時に脆弱性が解消されていれば自動でクローズ(PATCH_APPLIED)されます。 手動でのタスクの新規登録・クローズはできません。

タスクと脆弱性・サーバ・ロール

image.png

名称 説明
タスク 「1サーバ × 1脆弱性」を1タスクとして登録(チケットに近い)
脆弱性 検知された脆弱性(CVE)の一覧、詳細を管理
サーバ スキャンされたサーバの一覧、詳細を管理
ロール サーバをグルーピングして管理

手動ではタスクを登録できません。サーバで検知した脆弱性を元に自動生成されます。

ステータス

タスクのステータスは以下の5つが用意されています。

ステータス名 状態 備考
NEW 新規で脆弱性を検知した状態 脆弱性検知時に設定される
INVESTIGATING 調査中の状態 検知した脆弱性の調査時に設定する
ONGOING 作業中の状態 調査完了後、対応検討や対応準備時に設定する
DEFER 対応を保留中のタスク 定期メンテナンス時に対応する場合などに設定する
WORKAROUND 緩和策を実施した状態 仮想パッチや設定変更などの緩和策を実施した状態
NOT_AFFECTED 環境に影響がないタスク 脆弱性が環境に影響しないことを確認した状態
RISK_ACCEPTED リスクを許容するタスク 脆弱性による影響を許容することを決定した状態
PATCH_APPLIED パッチを適用した状態 patch適用後の次のスキャンで自動設定される
手動でのステータス設定は不可

タスクステータスと作業フローは下記のイメージになります。

  • 調査後、準備をして、パッチを適用する
    • NEWINVESTIGATINGONGOING(パッチ適用準備) → PATCH_APPLIED
  • 緩和策を実施し、パッチを適用しない
  • 一時的に緩和策で対応し、後ほどパッチを適用する
    • NEWINVESTIGATINGONGOING(WORKAROUND準備) → WORKAROUND(WORKAROUND実施済み状態) → ONGOING(パッチ適用準備) → PATCH_APPLIED
  • 調査の結果、脆弱性が環境に影響しないことを確認したため対応しない
  • 調査・審議の結果、脆弱性による影響を許容することを決定したため対応しない

タスク一覧

タスク一覧

タスク一覧では、登録されているタスクを一覧で確認できます。

項目 詳細 更新のタイミング
タスク優先度 タスクの優先度が表示される スキャン時 / タスク更新
タスク優先度変更元 タスク優先度の設定場所 タスク優先度の更新時
ステータス タスクのステータスが表示される
自動設定されるステータスは NEW / PATCH_APPLIED
ユーザは手動で PATCH_APPLIED に設定することはできない
スキャン時 / タスク更新
ステータス更新日時 ステータスが最後に更新された日時 スキャン時 / タスク更新
SSVC PRIORITY SSVCのPriority スキャン時
主担当者 タスクの主担当者
ユーザが設定した主担当者が表示される
サーバにデフォルト担当者を設定した場合は、タスク作成時にデフォルト担当者が設定される
タスク更新
副担当者 タスクの副担当者
ユーザが設定した副担当者が表示される
タスク更新
対応予定日 タスクの対応予定日
ユーザが設定した対応予定日が表示される
タスク更新
対応期限(タスク) タスクの対応期限以下の方法で設定した対応期限が表示される
スペシャル警戒タグの対応期限警戒タグ
タスク更新での対応期限手動
SSVCトリアージの対応期限SSVC

設定期限の優先度は 警戒タグ > 手動 > SSVC である
各タスクごとに 手動で変更できるのは 手動SSVC の2つである
警戒タグ は手動で変更できない
タスク更新時 / スペシャル警戒タグ更新時 / SSVCトリアージ更新
対応期限変更元 タスクの対応期限の設定元を表す
スペシャル警戒タグ
手動
SSVC
タスク更新時 / スペシャル警戒タグ更新時 / SSVCトリアージ更新時
パッチ提供 タスクに関連する脆弱なソフトウェアに、パッチが提供されているかどうか

:関連するすべてのソフトウェアに、有効なパッチが公開されている
:関連するすべてのソフトウェアに、現時点ではパッチが提供されていない
:関連するソフトウェアのうち、パッチ提供済みと未提供が混在している
:関連するソフトウェアのうち、パッチ提供が不明なものが存在する
-:関連するすべてのソフトウェアにパッチが適用され脆弱性が解決済み

AlmaLinux, Rockey Linuxを fastスキャンモード または ペーストスキャン でスキャンした場合は、パッチ提供有無を判別できないため「❔」になる(fast-rootスキャンモード の場合は「✓, ☓, △」のいずれかが表示される)
スキャン時
パッチ提供ステータス タスクに関連するパッケージのパッチ提供ステータス
各ベンダによって公開されているパッチ提供状態を表す

Redhat系の例(参考URL)
Fixed:パッチ提供済み
Affected:影響はあるがパッチ未提供
Fix deferred:パッチ提供予定あり
Will not fix:影響が低度であるため、パッチ提供予定無し
Under investigation:影響があるか調査中
Not affected:影響無し

※FutureVulsではパッチステータスが「Will not fix」「Under investigation」「Not affected」である脆弱性は検知しない仕様となっている
スキャン時
プロセス実行中 関連するプロセスがサーバ上で起動中、ポートを開いてListenしているかどうか

一時停止のアイコン:プロセス停止中
再生のアイコン:プロセス実行中、かつListenしているポートがない
電波のアイコン:プロセス実行中、かつListenしているポートがある
スキャン時
CVE ID タスクのCVE-ID なし
EPSS Score 今後30日間でその脆弱性が悪用される確率を表す
値が大きいほど悪用される確率が高く、脅威のある脆弱性となる
DB情報変化時
EPSS Percentile EPSS Scoreが対象のそれより低い脆弱性の割合を表す
値が大きいほどこの脆弱性が上位の脅威度を持つことを意味する
EPSSの概要
DB情報変化時
重要フィルタ タスクが重要な未対応に該当するかどうか 重要フィルタ更新時
脆弱性優先度 脆弱性の優先度が表示される スキャン時 / 脆弱性優先度更新
Exploit信頼度 KEV情報や、攻撃コード・PoCが公開されているかどうか
High(Active・metasploitあり):SSVC Exploitation が Active または metasploit framework に攻撃コードあり(信頼に足るExploit情報がある)
Low(PoC):SSVC Exploitation が PoC
-:SSVC Exploitation が None
DB情報変化時
警戒情報 CISA KEV、VulnCheck KEV、JPCERT/CC-Alerts、US-CERT-Alertsから警戒情報が公開されているかどうか
ランサムキャンペーンで悪用:ランサムウェアキャンペーンで悪用されている情報が CISA KEV・VulnCheck KEV に登録されている
致命的:上記以外で、CISA KEV・VulnCheck KEVに該当する
注意:JPCERT/CC-Alerts、US-CERT-Alertsに警戒情報がある
DB情報変化時
緩和策 / 回避策 Red Hat,Microsoftのデータソースに緩和策、回避策があるかどうか DB情報変化時
Cloud Oneステータス CloudOne連携のステータス スキャン時
アドバイザリ名 脆弱性に紐づくアドバイザリ名が表示される DB情報変化時
信頼度 情報ソースの信頼度が表示される
✓:信頼度が高い
!:信頼度が低い
スキャン時
脆弱なソフトウェア 脆弱性が残っているパッケージのみが表示される スキャン時
脆弱なソフトウェアタグ CPE登録したソフトウェアに設定可能なタグ CPE登録時 / CPE編集時
サーバ名 タスクのサーバ名 サーバ更新
サーバUUID サーバのUUID なし
ロール名 サーバが所属しているロール
設定しなければデフォルトサーバロールに割り振られる
サーバ更新
サーバタグ サーバに設定されているタグ サーバ更新
タスクID タスクのID なし
SSM連携 AWS SSM連携のステータス スキャン時
非表示フラグ タスクの非表示フラグステータス
タスクを非表示に設定した場合、○が表示される
スキャン時 / 非表示更新時
非表示種別 非表示の条件 スキャン時 / 非表示更新時
外部スキャン タスクに紐づく脆弱性に外部に露出しているものがあるかどうか 外部スキャン結果追加、更新
タスク更新日時 タスクが最後に更新された日時 スキャン時 / タスク更新
SSVC最新更新日時 SSVCのPriorityが更新された最新の日時 スキャン時
コメント更新日時 コメントが最後に更新された日時 スキャン時 / タスク更新
初回検知日時 そのタスクが紐づく脆弱性が初めて検知された日時 スキャン時
優先度更新日時 タスク優先度が最後に更新された日時 スキャン時 / タスク更新

サブタブ

サブタブ

タスク一覧には、使いやすいようにタブが用意されています。

タブ名 取得するタスク
マイタスク 「対応済でない」かつ「主担当または副担当に自分が設定されている」タスクの一覧
期限切れ 「対応済でない」かつ「対応期限が過去」タスクの一覧
未対応 「ステータスがNEW」かつ「非表示設定でない」タスクの一覧
対応中 「ステータスがINVESTIGATINGまたはONGOING」かつ「非表示設定でない」タスクの一覧
保留中 「ステータスがDEFER」かつ「非表示設定でない」タスクの一覧
対応済 「ステータスが WORKAROUND または PATCH_APPLIED」 または「非表示設定である」タスクの一覧
すべて 全タスクの一覧

タスクを非表示

タスクの一括更新の上限は1万件となっています。1万件を超える場合は複数回に分けて更新して下さい。

チェックボックスで選択したタスクを一括で非表示できます。

タスクの非表示ダイアログ

タスクを編集

タスクの一括更新の上限は1万件となっています。1万件を超える場合は複数回に分けて更新して下さい。

チェックボックスで選択したタスクを一括で編集できます。

タスクの編集ダイアログ

SSMアップデート

AWSの認証情報を登録したEC2インスタンス上の脆弱性に対して、オンデマンドでアップデートコマンドを発行できます。

アップデートコマンド

タスクを1つまたは複数選択して、アップデートコマンドを表示できます。
各サーバのOSに合わせたアップデートコマンドが表示されます。

ただし、CPEで登録しているパッケージに関してはアップデートコマンドが表示されません。

ANSIBLE PLAYBOOK

タスクを複数選択してAnsible Playbookを表示できます。
各サーバのOSに合わせたAnsible Playbookが表示されます。

ただし、CPEで登録しているパッケージに関してはアップデートコマンドが表示されません。

CSVレポート

グループに含まれるタスク全件を、csv形式でダウンロードできます。
次のようなユースケースの場合は、エクスポート > CSVダウンロード の機能をご利用ください。

  • サブタブ内で表示されているタスクのみをダウンロードしたい
  • フィルターを適応して、画面に表示されているタスクのみをダウンロードしたい

CSVレポートの出力データは押下時の最新情報ではなく、毎日朝8時頃に作成されたデータとなります。
画面に表示された最新のデータをダウンロードしたい場合には「CSVダウンロード」をご利用ください。

タスク第二ペイン

第一ペインのタスク一覧の項目をクリックすると、第二ペインが表示されます。
詳細タブでは、タスク詳細の確認、及び、更新ができます。

タスク更新

タスク更新では以下の項目が設定可能です。

タスク更新

項目 詳細
ステータス タスクのステータスが表示される
自動設定されるステータスは NEW / PATCH_APPLIED
ユーザは手動で PATCH_APPLIED に設定することはできない
タスク優先度 タスクの優先度が表示される
主担当者 タスクの主担当者
ユーザが設定した主担当者が表示される
サーバにデフォルト担当者を設定した場合は、タスク作成時にデフォルト担当者が設定される
副担当者 タスクの副担当者
ユーザが設定した副担当者を表示
対応予定日 タスクの対応予定日
ユーザが設定した対応予定日を表示
対応期限 タスクの対応期限
以下の方法で設定した対応期限が表示される
スペシャル警戒タグの対応期限警戒タグ
タスク更新での対応期限手動
SSVCトリアージの対応期限SSVC

設定期限の優先度は 警戒タグ > 手動 > SSVC である
各タスクごとに 手動で変更できるのは 手動SSVC の2つである
警戒タグ は手動で変更できない
コメント タスクに投稿されたコメントが表示される
Markdown形式で記述可能

タスクの非表示設定

タスク詳細の右上の非表示フラグでタスクの非表示を設定できます。
非表示を活用することでより効率的な脆弱性管理をすることが可能になります。

関連するソフトウェア

タスクに紐づく脆弱性があるソフトウェアを確認できます。 ソフトウェア

項目 詳細
ソフトウェア名 脆弱性のあるソフトウェア名
バージョン インストールされているソフトウェアの現在のバージョン
アップデート ソフトウェアの最新のバージョン
Vulsスキャナを用いてfast-rootスキャンモードでスキャンするとすべてのLinuxでアップデート可能な最新バージョンが表示される
fastスキャンモードの場合は、一部のOS(AlmaLinux, Rockey Linuxなど)ではroot権限なしで最新バージョンを取得できるため表示される
なお、CPEの場合やペーストスキャンオフラインスキャンモード 、trivy、スキャン対象がWindowsの場合は表示されない
location 言語ライブラリが含まれるLockfileなどのpath
リポジトリ ソフトウェアリポジトリ
パッチ提供ステータス タスクに関連するパッケージのパッチ提供ステータス
各ベンダによって公開されているパッチ提供状態を表す

Redhat系の例(参考URL)
Fixed:パッチ提供済み
Affected:影響はあるがパッチ未提供
Fix deferred:パッチ提供予定あり
Will not fix:影響が低度であるため、パッチ提供予定無し
Under investigation:影響があるか調査中
Not affected:影響無し

※FutureVulsではパッチステータスが「Will not fix」「Under investigation」「Not affected」である脆弱性は検知しない仕様となっている
初回検知日時 ソフトウェアが初めて検知された日時
影響を受けるプロセス 影響を受けるプロセス情報

また、パッチが提供されている場合は、アップデートコマンド機能が利用できます。

関連するアドバイザリ

タスクが紐づく脆弱性に関するアドバイザリの一覧と、ページへのリンクが確認できます。 アドバイザリ

関連する外部スキャン結果

タスクに紐づく外部スキャン結果の一覧と、ページへのリンクが確認できます。 外部スキャン結果

SSVC

タスクのSSVC Priorityとその導出理由が確認できます。 task-ssvc

コメント

システムによるタスクの更新履歴を確認したり、タスクにコメントを投稿して他ユーザとの情報共有ができます。
システムの更新履歴の表示設定は、システムによる更新履歴を表示 バーで切り替えられます。

コメント

メンションによるコメント通知

コメントではメンションを行うことも可能です。 @を入力し、対象を選択することで、そのユーザにタスク内容のメール通知が行われます。 メンションでは各ユーザ名とユーザグループの中から対象を選択できます。

タスクコメント

【グループ画面で表示されるメンション候補】

  • 以下の権限を持つユーザ個人(グループ設定 > メンバ で確認可能)
    • オーナ
    • CSIRT
    • グループセット管理者 / メンバ
    • グループ管理者 / メンバ
  • 特定の権限を持つユーザグループ
    • オーナ(@owner
    • CSIRT(@csirts
    • 該当タスクが所属するグループを含む、グループセットの管理者(@groupSetAdmin)/ メンバ(@groupSetMember
    • 該当タスクが所属するグループの管理者(@groupAdmin)/ メンバ(@groupMember

【グループセット画面でのメンション候補】

  • 以下の権限を持つユーザ個人(グループセット設定 > メンバ で確認可能)
    • オーナ
    • CSIRT
    • グループセット管理者 / メンバ
  • 特定の権限を持つユーザグループ
    • オーナ(@owner
    • CSIRT(@csirts
    • 該当タスクが所属するグループを含む、グループセットの管理者(@groupSetAdmin)/ メンバ(@groupSetMember
    • 該当タスクが所属するグループの管理者(@groupAdmin)/ メンバ(@groupMember

コメントへのファイル添付

自身の投稿したコメントにファイルの添付を行えます。投稿したコメントのクリップアイコンをクリックするとファイル添付のダイアログが開きます。

「ファイルを添付」のボタン

添付できるファイルの制限は、以下の通りです。

  • ファイルサイズ上限: 100MB
  • アップロード可能なファイル形式:
    • 画像ファイル(.jpg, .jpeg, .png, .gif, .bmp, .tiff
    • 動画ファイル(.mp4, .avi, .mov, .wmv, .mkv
    • テキストファイル(.txt, .csv, .log
    • 文書ファイル(.pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx
    • 圧縮ファイル(.zip, .rar, .7z, .tar.gz