1. 機能概要
この機能は、スキャンで自動検出されなかったサーバーやミドルウェア、アプリケーションなどのテクノロジー情報を、手動でお客様自身が登録・管理できる機能です。
この機能で実現できること:
- より正確な資産管理: 自動スキャンでは検出が難しいテクノロジー情報も資産として登録し、管理台帳として活用できます。
- 脆弱性(CVE)検出の網羅性向上: 手動で登録したテクノロジー情報(CPE)に基づき、関連する脆弱性(CVE)を自動で検出します。これにより、潜在的なセキュリティリスクの見逃しを防ぎます。
2. 使い方(操作方法)
【登録済みテクノロジー情報の見方】
テクノロジー情報の一覧では、情報の左端にある「手動」ラベルの有無で、登録種別を判別できます。
- 手動ラベルあり: お客様自身が手動で登録した情報です。バージョンの編集や削除が可能です。
- 手動ラベルなし: システムがスキャンによって自動で検出した情報です。編集や削除はできません。
【テクノロジー情報の登録】
画面の指示に従い、STEP1
、STEP2
の順で情報を入力します。
- 「+ テクノロジー情報の登録」ボタンをクリックします。画面上部に登録フォームが表示されます。
-
STEP1
ベンダー/製品名を選択- 検索ボックスに、登録したいソフトウェアのベンダー名や製品名(例:
apache http_server
)を入力します。 - 入力内容に合致する候補が下に表示されるので、該当するものをクリックして選択します。
- 検索ボックスに、登録したいソフトウェアのベンダー名や製品名(例:
-
STEP2
バージョンを選択- 「バージョンを選択」のプルダウンメニューから、該当するバージョンを選択します。
- 「手動登録」ボタンをクリックします。一覧に「手動」ラベル付きで情報が追加されます。
【解説】テクノロジーの検索のコツと具体例
手動によるテクノロジー登録はCPEを利用しています。
CPE(Common Platform Enumeration)とは、IT製品を識別するための世界共通の識別子です。本機能の検索は、このCPEのデータベースを利用しているため、検索には少しコツが必要です。
ポイント:
-
正式名称に近い単語で検索する
- 通称や略称、カタカナ(例:アパッチ)ではヒットしません。
-
ベンダー名と製品名をスペースで区切って入力する
- より正確な候補に絞り込むことができます。
具体例:Apache HTTP Server バージョン2.4.58 を登録したい場合
CPEがわからない、または検索で見つからない場合
- 公式サイトを確認する: 登録したいソフトウェアの公式サイトで、正式な製品名を確認してください。
-
単語を変えて試す:
WebServer
をhttp server
に変えるなど、別の表現で検索をお試しください。 - サポートへ連絡: どうしても見つからない場合は、お気軽に弊社カスタマーサポートまでお問い合わせください。
【テクノロジー情報の編集】
登録済みのテクノロジー情報のバージョンを編集する手順です。
- 編集したいテクノロジー情報の右側にある「編集」(鉛筆アイコン)をクリックします。
- 「バージョン」をプルダウンメニューから選択し直し、「保存」ボタンをクリックします。
※ベンダー/製品名自体を変更することはできません。変更が必要な場合は、一度対象を削除し、再度新規でご登録ください。
【テクノロジー情報の削除】
- 削除したい手動登録情報の右端にある「削除」(ゴミ箱アイコン)をクリックします。
- 確認メッセージが表示されますので、内容を確認の上、削除を実行してください。
3. 注意点
- 操作可能な権限: 本機能をご利用いただけるのは、「オーナー」権限を持つユーザーのみです。
- 編集・削除の対象: リストの左端に「手動」ラベルが付いている情報のみが編集・削除可能です。システムが自動検出した情報は変更できません。
- CVE検出のタイミング: テクノロジー情報を登録・編集後に即時で脆弱性は検出されません。関連する脆弱性(CVE)が検出はASMの診断が完了した際に反映されます
- 登録情報の正確性: 検出される脆弱性は、登録された情報に依存します。製品名やバージョンに誤りがあると、セキュリティリスクを正しく評価できない可能性があるため、正確な情報をご入力ください。
-
手動テクノロジー情報からのCVEの検出: CVE情報の参照元データにおいて、手動登録したテクノロジー情報(CPE)のバージョン情報まで入ってない場合があります。
上記の場合、ベンダー/製品名のみで検出されるため、バージョンが考慮されません
例:https://nvd.nist.gov/vuln/detail/CVE-1999-0678#match-13447048