はじめに
2023年7月31日にFutureVulsの新機能がリリースされました。その中で特に注目されるのは、予測検索によるCPE登録機能です。
Windowsにインストールされたサードパーティー製ソフトウェアのCPEを、簡単に予測登録できる機能が追加されました。
CPEの意義と概要
CPEは「Common Platform Enumeration」の略で、情報システムを構成するハードウェアやソフトウェアを識別するための識別子として利用されています。CPEの詳細はIPA>共通プラットフォーム一覧CPE概説を参照してください。
FutureVulsでCPEを登録してサードパーティソフトウェアの脆弱性を検知する
FutureVulsでは、CPEを登録することで、OSパッケージ以外の脆弱性も検知できます。ネットワーク機器のファームウェア、商用ミドルウェア、またはソースから自らコンパイルしてインストールしたシステムも対象に登録でき、包括的な脆弱性管理が可能となります。
しかし、これまではユーザが手動でNVDやJVNを用いてWindows上サードパーティー製ソフトウェアのCPEを調査し、該当のCPEを手動でFutureVulsに登録する必要があり、調査と登録に手間がかかるという課題がありました。
2023/7/31のリリースにより、CPEの候補が画面上に表示され、ユーザが画面上で選択するだけでCPEを関連付けることができる機能が追加されました。これにより、Windows Updateの対象外のソフトウェアも、脆弱性検出の対象に簡単に取り入れることができました。
この記事では、新機能によってCPE登録がどれだけ簡単になったのかを詳しく紹介します。
新機能の詳細と効果
具体的な登録方法や操作の流れを、実際の画面を用いて紹介します。
以下の説明ではWindowsサーバがFutureVulsに登録されている状態からスタートします。
FutureVuls画面上のサーバタブよりサーバを選択し、右側のペインの「ソフトウェア」タブから「CPE割り当て」したいサードパーティー製ソフトウェアを選択し「CPE割り当て」ボタン押下します。
選択したソフトウェアにCPEを関連付けするためのダイアログがひらきます。
左側にFutureVulsに登録されているソフトウェア名が表示されます。
右列にはソフトウェア名を元にFutureVulsが推測したCPEの候補のリストが表示されます。
もしデフォルトで表示されているCPEが間違っている場合はプルダウンから選択してください。
まとめ
以前はサードパーティ製ソフトウェアの脆弱性を検出するために、対応するCPEを調査し、手動でCPEを登録する必要がありました。
新機能であるCPE推測機能により、従来手間がかかっていたCPE登録作業が簡単に出来るようになり、Windows Updateの対象外のソフトウェアでも脆弱性検出が容易になりました。
FutureVulsを既に使用している方、OSS版やテスト版、他製品を使用している方も、新機能をぜひ一度試してみてください。
デモも用意していますので、機能の詳細を知りたい方はお気軽にお問い合わせください。