2024-01-15 リリース内容

2024年1月15日リリースのスキャナバージョン (スキャナバージョンの確認方法)

  • スキャナのバージョン
OS スキャナバージョン スキャン実行スクリプト
Linux用 [NEW] vuls v0.24.8 build-bbf53c7 Version: 2023/07
Windows用 vuls v0.24.6 build-ef29afb Version: 2023/09
Trivy Version: 0.35.0 Version: 2023/04

EPSSをFutureVuls上で参照できるように

EPSS(Exploit Prediction Scoring System)は「今後30日以内にその脆弱性が悪用される確率」を表し、その脆弱性の脅威度を示すスコアであり、FIRSTにより公開されています。

今回のリリースによりFutureVulsの画面上でそれぞれの脆弱性が「将来的に悪用される脅威度」を確認できるようになりました。既存のSSVCに加えて、EPSSを活用した脆弱性管理が可能となります。

例えば以下のような使い方が考えられます。

  • SSVCで immediate に分類されたどのタスクから対応するか
  • SSVCで scheduled に分類されたがEPSSスコアが高いタスクを調べたい

詳しくはこちらの「マニュアル」や、EPSSについて解説した「ブログ記事」、脆弱性対応の戦略とフレームワークについて解説した「ブログ記事」などをご参照ください。

実際にEPSSを利用する中で、なにかご要望やご提案が出てきましたら、改良のインプットにさせていただきますので、「サポート」までお知らせください。

SBOMインポートの強化:SBOMからFutureVulsのサーバを作成可能に

SBOMのインポート対象に、新たにOSおよびOSパッケージを追加しました。「以前のリリース」では、TrivyやSyftによる依存ライブラリの登録に限定されていましたが、本リリースにより対応範囲をOSまで拡充しました。これにより、SBOMが含むソフトウェア資産と、関連する脆弱性をFutureVulsのサーバとしてまとめて管理できるようになりました。 詳細はマニュアルをご参照ください。

SBOM機能は今後も継続的に改良する予定です。要望やご提案がありましたら、「サポート」までお知らせください。

通知強化:immediateタスク通知範囲のカスタマイズ

SSVCにより immediate と判定されたタスクの通知範囲を「グループ全体」から「主担当者と副担当者のみ」に変更する機能を追加しました。詳細はマニュアルをご参照ください。

通知強化:Daily/Weekly Reportで対応予定日を超過したタスク数を確認できるように

Daily / Weekly Reportに対応予定日を超過したタスク数を追加しました。 詳細はマニュアルをご参照ください。

サーバの保護機能:意図しないサーバ削除を防げるように

サーバ削除保護」機能が追加されました。
本機能を「有効」にすると、FutureVuls画面や「開発者 REST API」による「サーバの削除」操作を制限し、意図しないサーバの削除が防げるようになります。

サーバ削除保護

SSVCによる自動トリアージ:再検知したタスクに自動トリアージを適用

パッチ適用等でCloseされたタスクが、脆弱性情報の変更等で再検知された場合でも、SSVC Priorityに応じた自動トリアージが適応されるようになりました。従来は「再検知されたタスクのステータスを手動で更新すること」が必要でしたが、本リリースにより、再検知されたタスクのステータス更新が自動化されました。

再検知時の自動トリアージ

仕様変更

メール通知の文言変更

メールタイトルのプレフィックスを、[FutureVuls]から[FVuls]に変更しました。

また、以下のようにメールタイトル本文を変更しました。

タイミング 変更前 変更後
タスク一括更新時 [タスク] 一括更新通知 - グループ名:グループ名 タスクコメントの1行目 [タスク更新] グループ名 タスクコメントの1行目
タスクコメント追加時 [タスク] タスクコメントの1行目 [タスクコメント] タスクコメントの1行目 - グループ名
タスク更新時 [タスク タスクID] 更新通知 - グループ名: グループ名 [タスク更新] グループ名
Daily Report (対応期限切れタスク有) [対応期限切れ有] Daily Report(オーガニゼーション名 / グループ名) [期限切れ有] Daily Report(オーガニゼーション名 / グループ名)
Weekly Report (対応期限切れタスク有) [対応期限切れ有] Weekly Report(オーガニゼーション名 / グループ名) [期限切れ有] Weekly Report(オーガニゼーョン名 / グループ名)
Daily Report (予定日切れタスク有) - [予定日切れ有] Daily Report(オーガニゼーション名 / グループ名)
Weekly Report (予定日切れタスク有) - [予定日切れ有] Weekly Report(オーガニゼーション名 / グループ名)
Daily Report (予定日/期限切れタスク有) - [予定日/期限切れ有] Daily Report(オーガニゼーション名 / グループ名)
Weekly Report (予定日/期限切れタスク有) - [予定日/期限切れ有] Weekly Report(オーガニゼーション名 / グループ名)

グループ・グループセットのリストを名前順で表示するように

コンソールのヘッダにあるグループ・グループセット選択リスト、および オーガニゼーション設定 > 「グループ」「グループセット」 に表示される一覧の並び順を変更しました。 これまでは登録順で表示されていましたが、今後は名前の昇順でソートして表示されるようになります。

「脆弱性タブ」のSSVC最高優先度の改善

従来、「脆弱性タブ」における「SSVC最高優先度」は、脆弱性に関連するタスクの中で最も高い優先度を基に設定されていました。例えば、いずれかの「対応済みタスク」が immediate と評価される場合、それが最高優先度として選ばれていました。しかし、この方法では、「対応済みではないタスク」をトリアージする際に「対応済みタスクのImmediate」が表示されてしまい、ノイズとなるケースがありました。

今回のアップデートにより、「脆弱性タブ」の「未対応/対応中/保留中」サブタブにおいて、関連するタスクの中から「対応済み以外」のステータス New/Investigating/Ongoing/Defer)を持つタスクを基にSSVC最高優先度を決定します。これにより、各サブタブ内でトリアージがより容易になりました。

グループセット管理者の権限拡張

グループセット管理者がグループ・グループセットを新規作成できるようにしました。

これに伴い、グループセット管理者がオーガニゼーション設定の「グループ」「グループセット」のページを閲覧できるようになりました。 グループセット管理者が「グループ」「グループセット」のページを閲覧した際、そのユーザがアクセス権限をもつグループ・グループセットのみが表示されます。

また、グループセット管理者が新規作成するグループは、グループセットに紐づくグループのみに制限されます。

その他の仕様変更

  • 未対応タスク等取得時の処理速度を改善しました。
  • 脆弱性タブの一覧を Immediateな未対応タスク数警戒情報 が強調されるようなスタイルに変更しました。
  • CSIRT権限でできることを「課金処理系・オーガニゼーション情報変更」以外のすべてに変更しました。
  • グループセット>タスクタブに「グループ名」「サーバ名」「警戒情報」列を追加しました。
  • vuls-v0.24.1 build-9d8e510 よりも古いWindows用スキャナのサポートを終了しました。
  • 脆弱性詳細 > CWE に OWASP TOP 10 2021の情報を追加しました。
  • CSVをエクスポートした際に一部で列がずれる不具合を修正しました。
  • Slack Webhookによる連携」は廃止予定です。現在Webhookを使用しているユーザは「Slack APPによる連携」に速やかに移行してください。
  • FutureVulsコンソールのサーバタブのロード処理をチューニングし、読み込みを高速化しました。