<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2109257909350072&amp;ev=PageView&amp;noscript= 1">

導入について

Q FutureVulsとはどのようなサービスですか?

Answer

FutureVulsとは、フューチャー株式会社が提供するクラウド型(SaaS)の脆弱性管理サービスです。

 

サーバやソフトウェアの構成情報を自動収集して脆弱性を検知し、優先度判断からタスク(チケット)による対応管理までを一元化します。

 

OSS脆弱性スキャナ「Vuls」の開発チームが開発および提供をしています。

Q FutureVulsの読み方は何ですか?

Answer

FutureVulsの読み方は「フューチャーバルス」です。

Q FutureVulsを使い始めるには何をすればよいですか?

Answer

FutureVulsを使い始めるには、アカウントを作成し、オーガニゼーションとグループを作成した後、管理対象サーバにスキャナをインストールするだけで利用を開始できます。

 

初回ログインから初回トリアージまでの手順はチュートリアル「基本的な操作方法の確認」でご案内しています。

Q FutureVulsはどこの会社が提供していますか?

Answer

FutureVulsは、日本のITコンサルティング企業であるフューチャー株式会社(Future Corporation)が開発・提供しています。

 

OSS脆弱性スキャナ「Vuls」の開発チームが手がける国産の脆弱性管理サービスです。

Q OSSの「Vuls」とは何ですか?

Answer

Vulsは、日本発のオープンソース(OSS)の脆弱性スキャナで、LinuxやFreeBSDなどのサーバに存在する脆弱性をエージェントレスで検知できます。

 

FutureVulsは、このVulsの開発チームが提供する商用クラウドサービスです。

Q OSSのVulsとFutureVulsの違いは何ですか?

Answer

OSSのVulsは脆弱性の「検知」を行うスキャナであるのに対し、FutureVulsは検知だけではなくSSVCによる優先度の自動判断、タスク(チケット)による対応管理、自動トリアージ、SBOM管理、通知・外部連携、日本語サポートまでを提供する企業や組織向けの商用クラウドサービスです。

 

なお、OSS版Vulsの仕様に関する質問はFutureVulsの標準サポートの対象外となります。

Q 脆弱性管理ツールでは何ができますか?

Answer

脆弱性管理ツールでは、一般に「IT資産・ソフトウェア構成の自動収集」「脆弱性情報との突合による検知」「リスクに応じた優先順位付け」「対応状況のチケット管理・レポート」ができます。

 

FutureVulsはこれらに加え、SSVCによる優先度の自動判断、対応方法(アップデートコマンド)の提示、SBOM管理、自社独自の脆弱性情報の登録(PSIRTプラン)、各種外部サービスとの連携に対応しています。

Q FutureVulsでスキャン可能な資産を教えてください。

Answer

FutureVulsは、OS(Linux/Windows)、コンテナイメージ、アプリケーションライブラリ、ミドルウェア、NW機器、WordPress、SBOMの管理・登録が可能です。

Q FutureVulsはどのような規模の組織が利用していますか?

Answer

FutureVulsは100台規模から数千台規模まで、業界問わずさまざまな企業や組織での導入実績がございます。

Q FutureVulsの導入手順が難しくないか不安です。

Answer

FutureVulsの導入は非常に簡単で、アカウントを作成するだけですぐに使い始めることができます。

 

サーバーの登録も5分で完了します。

Q FutureVulsの二次利用と再販について教えてください。

Answer

FutureVulsの情報を二次利用する場合や、FutureVulsを再販する場合は、別途パートナー契約の締結が必要となります。以下に具体的なケースを挙げますが、これら以外で判断が難しい場合はお気軽にお問い合わせください。

  • FutureVulsの情報を脆弱性管理オプションとして自社サービスに組み込み、契約者以外の組織のエンドユーザに提供したい場合。
  • FutureVulsの情報を二次利用し、加工したレポートを契約者以外の組織のエンドユーザに送付したい場合。
  • FutureVulsのライセンスを契約者以外の組織に再販したい場合。

上記のいずれかに該当する場合、パートナー契約の手続きが必要となります。詳細はお問い合わせください。

Q FutureVulsの通信要件について教えてください。

Answer

サービスご利用時は、ご利用の環境から当サービスに対して以下の通信が発生します。
これらに必要な通信が行えるよう設定頂く必要があります。

目的

プロトコル

ポート

通信発信元

通信の向き

宛先

ポータルサイト閲覧

HTTPS

443

任意の端末

Outgoing

https://console.vuls.biz/
https://api.vuls.biz/
https://cognito-idp.ap-northeast-1.amazonaws.com/

DNSクエリー
(インストーラ実行時、スキャナプログラム実行時に利用)

DNS

53

スキャナ導入サーバ

スキャン対象サーバ

Outgoing

ご利用システム内の外部アドレス正引き用DNSサーバ

インストーラ/スキャナプログラムダウンロード

HTTP(S)

80 or 443

スキャナ導入サーバ

Outgoing

https://installer.vuls.biz/
※スキャナ導入時、アップデート時のみ必要

スキャン結果アップロード

HTTPS

443

スキャナ導入サーバ

Outgoing

https://auth.vuls.biz/
vuls-results-tmp-prd.s3.ap-northeast-1.amazonaws.com

OSディストリビューション

リポジトリデータダウンロード

HTTP(S)

80 or 443

スキャン対象サーバ

Outgoing

各OSディストリビュータが用意するパッケージリポジトリサーバ

Windows Update

HTTPS

443

スキャン対象サーバ

Outgoing

Microsoft Windows Update 提供サイト
※参考:Windows Update/Microsoft Updateの接続先URLについて

SSH接続

SSH

22

スキャン対象サーバ

Outgoing

スキャン対象サーバ(リモートスキャンモード時のみ)
※鍵認証(ノンパスワード)

RestAPI操作

HTTPS

443

任意の端末

Outgoing

https://rest.vuls.biz/
※API操作を行う場合のみ必要

Q FutureVulsのスキャナはサーバに対してどの程度の負荷がかかりますか?

Answer

FutureVulsのスキャナは、バイナリファイルで、cron などのタスクスケジューラで実行されます。スキャン実行では、サーバには負荷はほとんどかかりません。

 

また、スキャナは常駐エージェントではないため、スキャナの導入による定常的な影響もほぼありません。

 

心配な場合はScan時に実行しているコマンドを確認してください。 いずれも、サーバに対して高い負荷をかけるものではありません。

[スキャナのファイルサイズ]

スキャナは /opt/vuls-saas 以下に配備されます。 2024年07月01日現在のスキャナの容量は 100MB 程度です。

※2024年4月リリースにて、依存ライブラリスキャンの機能追加の都合上、スキャナのバイナリサイズが 40MB 程度から100MB 程度まで増加しました。

Q FutureVulsのスキャナはどこにインストールされますか?

Answer

FutureVulsのスキャナはOSによって格納先が異なります。

 

Linuxでは /opt/vuls-saas 配下、Windowsでは C:\Program Files\vuls-saas 配下にインストールされます。

Q プロキシ経由の環境でもFutureVulsを利用できますか?

Answer

プロキシ経由の環境でもFutureVulsは利用できます。

 

スキャナはプロキシサーバ経由の通信に対応しており、設定方法はマニュアル「プロキシ設定」で案内しています。

Q FutureVulsの利用約款やサービス仕様書はどこで確認できますか?

Answer

クラウドサービス利用約款とサービス仕様書は、ヘルプサイトの「規約・ガイドライン」ページで公開しています。

Q FutureVulsに保存されるデータの保存場所はどこですか?

Answer

データの保存場所はヘルプページ「データの保存場所」で公開しています。

 

海外へのデータ送信の有無については、サポートFAQ記事「データが外国に送信されることはありますか」も参照してください。

Q 脆弱性管理とは何ですか?

Answer

脆弱性管理とは、組織のIT資産(サーバ、ソフトウェア、ネットワーク機器など)を把握し、それらに存在する脆弱性を継続的に検知・評価し、優先順位を付けて対応するまでの一連のプロセスです。

 

FutureVulsは、組織のIT資産の把握・検知・優先度判断・対応管理の全プロセスを自動化するクラウドサービスです。

Q 脆弱性診断と脆弱性管理の違いは何ですか?

Answer

脆弱性診断は特定の時点でシステムの脆弱性を検査する「点」の活動であるのに対し、脆弱性管理は日々公開される脆弱性を継続的に検知・トリアージ・対応する「線」の活動です。

 

新しい脆弱性は毎日公開されるため、診断だけでなく継続的な管理が必要であり、FutureVulsは脆弱性管理の継続運用を自動化します。

Q 脆弱性管理ツールを選ぶときのポイントは何ですか?

Answer

脆弱性管理ツールの選定するポイントは以下の4点です。

①管理したい資産(OS、コンテナ、ライブラリ、ネットワーク機器等)をカバーできるか

②CVSSスコアだけでなく悪用状況や資産の重要度を加味した優先順位付けができるか

③検知後の対応管理(チケット・通知・自動消込)まで運用を支援できるか

④日本語の脆弱性情報(JVN)やサポートに対応しているか

FutureVulsはこれらの観点を国産サービスとしてカバーしています。

Q CSIRTとPSIRTとの違いは何ですか?

Answer

CSIRT(Computer Security Incident Response Team)は自組織のセキュリティインシデントに対応する体制、PSIRT(Product Security Incident Response Team)は自社が提供する製品・サービスの脆弱性に対応する体制です。

 

FutureVulsは、社内システムを横断管理するCSIRT用途と、自社製品の脆弱性を管理するPSIRT用途の両方で利用されています。

Q Excelや手作業での脆弱性管理には限界がありますか?

Answer

Excelや手作業での脆弱性管理には、①日々公開される脆弱性情報の収集・突合に膨大な工数がかかる、②資産情報が最新に保たれず検知漏れが生じる、③対応状況の追跡や報告が属人化する、といった限界があります。

 

FutureVulsは資産情報の自動収集と脆弱性の自動検知・突合により、これらの手作業を自動化します。

Q FutureVulsはLog4Shellのような緊急の脆弱性が公開されたとき、自社への影響をすぐに調べられますか?

Answer

緊急の脆弱性が公開された際、FutureVulsでは日頃のスキャンで資産・ソフトウェア構成が登録済みのため、該当ソフトウェアを利用しているサーバを画面から即座に特定できます。

 

脆弱性データベースは1日複数回更新されるため、公開されたばかりの脆弱性もいち早く検知することが可能です。

Q 脆弱性対応の優先順位はどのように決めるべきですか?

Answer

脆弱性対応の優先順位は、CVSSスコア(深刻度)だけでなく、攻撃コードの公開状況や実際の悪用有無、組織の対象資産の重要度・公開状況を組み合わせて判断することが推奨されます。

 

この考え方を体系化したフレームワークがSSVCで、FutureVulsはSSVCに基づく優先度の自動判断機能を提供しています。

Q 欧州サイバーレジリエンス法(CRA)への対応にFutureVulsは役立ちますか?

Answer

欧州サイバーレジリエンス法(CRA)が求める継続的な脆弱性ハンドリングやSBOMの整備に対して、FutureVulsのSBOMインポート・エクスポート機能や脆弱性の検知・対応管理機能を活用できます。

 

製造業向けの活用方法は本サイトの製造業向けページPSIRT向けページで案内しています。

Q 金融機関の脆弱性管理にもFutureVulsは利用できますか?

Answer

金融機関の脆弱性管理にもFutureVulsは利用できます。

 

金融業界における活用方法は製品サイトの金融業向けページで案内しており、業界を問わず数台規模から数千台規模まで導入実績がございます。

Q FutureVulsの導入事例はどこで確認できますか?

Answer

FutureVulsの導入事例は、製品サイトの事例ページで公開しています。業界・規模ごとの活用イメージの参考にできます。

運用について

Q FutureVulsはエアギャップ環境で利用できますか?

Answer

FutureVulsはエアギャップ環境でも利用可能です。

インターネット経由で資産情報をアップロードできない場合でも脆弱性管理を行える機能を提供しております。

Q FutureVulsは企業の階層やグループに合わせて利用できますか?

Answer

FutureVulsはオーガニゼーション、グループセット、グループという機能を利用することで階層分けを実現可能です。

 

多岐にわたる部門・部署や複数のグループ企業など大規模な組織のかたにも利用できる機能を提供しています。

Q FutureVulsはシングルサインオン(SSO)に対応していますか?

Answer

FutureVulsはSSOに対応しています。SAMLと連携することで利用することが可能です。

 

OktaやOneLoginとの連携手順をマニュアルで公開しています。その他のSAML対応IdPについてはSSOログインのマニュアルを参照してください。

Q FutureVulsでは既存ユーザーを後からSSOログイン必須に変更できますか?

Answer

FutureVulsでは既存ユーザーを後からSSOログイン必須に変更することは可能です。

Q FutureVulsのオーガニゼーション・グループセット・グループの違いは何ですか?

Answer

FutureVulsのオーガニゼーションは契約単位となる最上位の組織、グループはサーバやタスクを管理する基本単位、グループセットは複数のグループを束ねて横断管理するCSIRTプラン向けの機能です。

 

企業の組織階層やシステム構成に合わせた階層管理ができます。

 

参考ページ:オーガニゼーション・グループ

Q FutureVulsの画面を英語表示に切り替えられますか?

Answer

FutureVulsの画面は英語表示に切り替えられます。ポータル画面はブラウザの言語設定に従って日本語・英語を自動で切り替え、英語モードではメニューが英語表示になりJVNの情報は表示されません。通知の言語は画面表示とは別に設定できます。

 

詳しくはマニュアルの「画面の基本的な使い方」のページ内にある言語設定のセクションをご確認ください。

Q FutureVulsの一覧画面の表示項目(カラム)をカスタマイズできますか?

Answer

FutureVulsの一覧画面の表示項目(カラム)はカスタマイズできます。

 

「列一覧」ボタンから表示項目を選択でき、デフォルトはすべて表示です。データテーブルはカラムの並び替えやインクリメンタルサーチにも対応しています。

 

詳しくはマニュアルの「画面の基本的な使い方」にあるカラム並び替えのセクションをご確認ください。

Q FutureVulsの「タスク」とは何ですか?

Answer

FutureVulsのタスクとは「どのサーバの、どの脆弱性に、誰が、どう対応するか」を管理するチケットです。

 

脆弱性(CVE)が検知されると、サーバと脆弱性の組み合わせごとにタスクが作成され、ステータス・担当者・コメントで対応状況を管理できます。

Q FutureVulsのスキャンにはどのような種類(方法)がありますか?

Answer

スキャナをサーバに導入するローカルスキャン、SSH経由のリモートスキャン、コマンド実行結果を貼り付けるペーストスキャン、Trivyによるコンテナイメージスキャン、CPE登録による管理(CPEスキャン)、WordPressスキャンなどがあります。

 

環境に応じた選び方はマニュアル「スキャン方法の選び方」を参照してください。

Q FutureVulsのスキャンは自動で実行されますか?

Answer

FutureVulsのスキャンは自動で実行されます。

 

スキャナ導入時に定期自動スキャンが設定され、cronなどのタスクスケジューラにより定期的に実行されます。画面からの手動スキャンも可能です。

 

詳しくはマニュアル「定期自動スキャン」のページをご覧ください。

Q FutureVulsではスキャンの実行タイミングや頻度は変更できますか?

Answer

FutureVulsではスキャンの実行タイミングや頻度は変更できます。

 

スキャンはcronなどのタスクスケジューラで実行されるため、スケジュール設定を変更することで調整できます。

 

詳しくはマニュアル「スキャナ動作の設定」のページをご覧ください。

Q FutureVulsのスキャナは自動でアップデートされますか?

Answer

FutureVulsのスキャン実行スクリプト(vuls-saas.sh)内の変数 AUTO_REFRESH_BINARY を true に設定すると、スキャン実行時にスキャナバイナリが自動更新されます。false の場合は手動更新が必要です。

 

詳しくはマニュアル「スキャナの更新」のページをご覧ください。

Q FutureVulsのスキャナを手動でアップデートするにはどうすればよいですか?

Answer

FutureVulsの画面からインストールコマンドをコピーし、対象環境で再実行してください。サーバ・製品一覧の「スキャナバージョン」列が old になっているサーバはアップデートが必要です。なお、config.tomlに登録済みのスキャン対象など一部設定は再インストールでは更新されません。

 

詳しくはマニュアル「スキャナの更新」のページをご覧ください。

Q FutureVulsはソースコードからインストールしたソフトウェアの脆弱性は検知できますか?

Answer

FutureVulsはソースコードからインストールしたソフトウェアの脆弱性は、スキャナによる自動検知の対象外です。

 

公式リポジトリ由来ではないソフトウェア(ソースビルドや独自インストールのミドルウェアなど)は、CPEを登録することでFutureVuls上で脆弱性を管理できます。

Q FutureVulsは、Windowsサーバの管理にスキャナのインストールは必須ですか?

Answer

FutureVulsは、Windowsサーバの管理において、スキャナのインストールは必須ではありません。

スキャナを導入するローカルスキャンのほか、コマンド実行結果を画面に貼り付けるペーストスキャン(Windows対応)でもWindowsサーバを登録することが可能です。

詳しくはマニュアル「Windowのペーストスキャン」のページをご覧ください。

Q FutureVulsは、Windowsの脆弱性はどのような情報をもとに検知されますか?

Answer

FutureVulsは、Windows Updateの適用状況をもとに検知します。

 

OSがWindowsの場合、未適用のKB(KBID)はアドバイザリとして表示されます。

 

保持している情報や実際の画面はマニュアル「アドバイザリ」のページからご覧ください。

Q FutureVulsは、Windowsのサードパーティソフトウェアの脆弱性も管理できますか?

Answer

FutureVulsは、Windowsのサードパーティソフトウェアの脆弱性も、FutureVulsで管理できます。

 

CPEを登録することで脆弱性を検知でき、CPE登録を簡単にする機能も提供しています。

 

詳しくは弊社ブログ「FutureVuls新機能でCPE割り当てを効率化!適切なCPEの選び方ガイド」をご覧ください。

機能について

Q FutureVulsは外部ツールとの連携は可能ですか?

Answer

FutureVulsは外部ツールとの連携にも対応しています。
APIを提供しているため、情報の入出力が可能です。

Q CPEスキャンとは何ですか?

Answer

スキャナを導入できない機器やソフトウェアについて、CPE(共通プラットフォーム一覧)を登録することで脆弱性を検知・管理する方法です。ネットワーク機器、アプライアンス、商用ソフトウェアなどの管理に利用できます。CPEは基本的にFormatted String形式で表示されます(URI形式でも登録可能)。

 

詳しくはマニュアル「CPEスキャン」をご覧ください。

Q FutureVulsはネットワーク機器の脆弱性も管理できますか?

Answer

ネットワーク機器の脆弱性もFutureVulsで管理できます。CPEスキャンにより検知・管理でき、登録方法は画面からの手動登録と、コマンド(future-vuls add-cpe)による自動検知・登録の2種類があります。

 

詳しくはマニュアル「ネットワーク機器のスキャン」をご覧ください。

Q FutureVulsのネットワーク機器の脆弱性情報のデータソースは何ですか?

Answer

FutureVulsのネットワーク機器の脆弱性情報は、NVDとJVNに加えて、FortinetやCisco Systems、Palo Alto Networksなどベンダ公開の一次情報(セキュリティアドバイザリ)も取り込んでいます。

 

ベンダ情報をNVDへの登録に先んじて取り込むことで、NVD参照のみの場合と比べて脆弱性の検知が迅速になり、検知精度も向上しています。

Q FutureVulsはCPEをまとめて(一括で)登録できますか?

Answer

FutureVulsはCPEの一括登録が可能です。画面からの個別登録に加えてCSV形式での一括登録に対応しており、future-vuls add-cpe コマンドによる登録もできます(「更新」権限付きのAPIトークンが必要)。

Q FutureVulsはコンテナイメージの脆弱性はどのようにスキャンしますか?

Answer

FutureVulsはOSSスキャナのTrivyを利用したコンテナイメージスキャンに対応しています。Amazon ECRやGoogle Artifact Registry(GAR)のコンテナレジストリ連携や、CI/CDパイプラインへの組み込みも可能です。対応するコンテナイメージの要件はマニュアル「対応環境」を参照してください。

Q FutureVulsはアプリケーションの依存ライブラリの脆弱性を検知できますか?

Answer

アプリケーションの依存ライブラリの脆弱性は、FutureVulsで検知できます。

 

VulsスキャナでLockfileを指定したスキャン、Trivyによるファイルシステム上のパス指定スキャン、コンテナイメージ内の依存ライブラリスキャンなどに対応しています。対応するLockfileの種類はマニュアル「対応環境」を参照してください。

Q FutureVulsはOSSライセンスの管理はできますか?

Answer

FutureVulsはOSSライセンスの管理は可能です。

 

FutureVulsはアプリケーション依存ライブラリのOSSライセンスを検知してソフトウェア一覧に表示し、AGPLやGPLに分類されるライセンスには注意喚起のヘルプリンクを表示します。

 

詳しくはマニュアル「ソフトウェア」をご覧ください。

Q FutureVulsはライブラリやソフトウェアのEOL(サポート終了)は検知できますか?

Answer

ライブラリやソフトウェアのEOL(サポート終了)は、FutureVulsで検知できます。

 

endoflife.dateが提供するAPIを情報源として主要なソフトウェア・ライブラリのEOL情報を表示します。EOL検知に対応するのは、Lockfileを指定したVulsスキャン、Trivyのパス指定スキャン、コンテナイメージ内の依存ライブラリスキャンなど一部のスキャン方法です。

 

詳しくはマニュアル「ソフトウェア」をご覧ください。

Q FutureVulsはマリシャスパッケージ(悪意のあるパッケージ)は確認できますか?

Answer

マリシャスパッケージ(悪意のあるパッケージ)の情報は、FutureVulsで確認できます。

 

ソフトウェア種別がlibraryの場合、OSV(Open Source Vulnerability)が提供するマリシャスパッケージの情報をURL経由で確認できます。

 

詳しくはマニュアル「ソフトウェア」をご覧ください。

Q FutureVulsでSBOMのインポートに対応しているフォーマットは何ですか?

Answer

FutureVulsでは、CycloneDX形式とSPDX形式のSBOMインポートに対応しています。

 

フォーマットごとの詳細はマニュアルの「インポート仕様」を参照してください。

Q FutureVulsはSBOMをエクスポートできますか?どの形式で出力されますか?

Answer

FutureVulsで登録されたSBOMのエクスポートは可能です。

 

FutureVulsはCycloneDXフォーマットのSBOMを、JSONまたはXMLファイルで出力できます。詳細はマニュアルの「SBOMのエクスポート」を参照してください。

Q FutureVulsに取り込んだSBOMファイルを後から確認できますか?

Answer

FutureVulsに取り込んだSBOMファイルは後から確認できます。

 

サーバ詳細画面の「SBOMインポート」からインポート済みのSBOMファイルを確認できます。詳細はマニュアル「登録元SBOMファイルの確認」で案内しています。

Q FutureVulsの脆弱性情報のデータソースには何を使っていますか?

Answer

NVDやJVNをはじめ、各Linuxディストリビュータのセキュリティアドバイザリ、ネットワーク機器ベンダの一次情報、WordPress脆弱性データベース(wpscan.com)、OSV、ExploitDBなど、複数のデータソースを利用しています。

 

詳細は以下の通りです。

■4時間に1回の更新頻度

■12時間に1回の更新頻度

■不定期

  • Fortinet PSIRT
    • Fortinet PSIRTの脆弱性情報は手動での調整・更新が行われているため、更新タイミングは不定期となります。

■ライブラリ・言語フレームワーク・その他OS

  • ライブラリ・言語フレームワーク・その他OSの脆弱性情報 は Trivy の情報をご参照ください。

Q FutureVulsに搭載されている自動トリアージのSSVCとは何ですか?

Answer

SSVC(Stakeholder-Specific Vulnerability Categorization)は、CVSSスコアだけに頼らず、攻撃コードの有無や資産の重要度などの判断材料から対応優先度を決めるフレームワークです。

 

FutureVulsはSSVCによる優先度の自動判断に対応しており、CSIRTとPSIRTプランで利用できます。

 

CVSSの課題とSSVCの解説は「脆弱性管理・対応プロセス実態調査」を参照してください。

Q 自動トリアージとはどのような機能ですか?

Answer

事前に定義したルールに基づいて、注意喚起やタスクの消込などを自動で行う機能です。SSVCのトリガー&アクション設定により、条件に合致したタスクのステータスを自動で変更できます。

 

SSVCの良い点や特長の解説は「脆弱性管理・対応プロセス実態調査」を参照してください。

Q FutureVulsはEPSSには対応していますか?

Answer

FutureVulsはEPSSに対応しています。EPSS(脆弱性が実際に悪用される確率を示す指標)の情報を優先度判断に活用できます。EPSSの解説はヘルプの用語解説を参照してください。

Q 脆弱性に対応するためのアップデートコマンドをFutureVulsで確認できますか?

Answer

脆弱性に対応するためのアップデートコマンドは、FutureVulsの画面で確認できます。タスクに対して該当パッケージを更新するコマンドが表示されます。

 

詳細はマニュアル「アップデートコマンド」で案内しています。

Q FutureVulsを確認し、対応不要と判断した脆弱性(タスク)を非表示にできますか?

Answer

FutureVulsで検知後、対応不要と判断した脆弱性(タスク)は非表示にすることができます。

 

タスク非表示設定により、リスク受容した脆弱性やノイズとなるタスクを非表示にできます。詳細はマニュアル「タスク非表示設定」で案内しています。

Q FutureVulsは同じ構成のサーバを追加したとき、タスクのステータスを引き継げますか?

Answer

FutureVulsは同じ構成のサーバを追加した際、タスクのステータスを他のサーバから引き継げます。

 

同一グループ内の他サーバからタスク情報をコピーして一括同期でき、グループを跨ぐ場合は「サーバ情報を他グループへ移動」を利用します。なお、SSVCのトリガー&アクションによる自動ステータス変更が有効な場合、コピーが正常に行われないことがあります。

Q FutureVulsは脆弱性ごとにパッチ提供の有無を確認できますか?

Answer

FutureVulsは脆弱性ごとのパッチ提供の有無を画面で確認できます。

 

脆弱性やタスクごとにパッチ提供の有無が表示され、パッチ適用か回避策かの対応方針の判断に利用できます。

Q FutureVulsはどのような通知手段に対応していますか?

Answer

メール通知のほか、SlackおよびMicrosoft Teamsへの通知に対応しています。また、FutureVulsに登録されていないメールアドレスへ送信できるメーリングリスト通知も利用できます(グループ設定>通知)。

 

詳しくはマニュアル「通知機能」をご覧ください。

Q FutureVulsは緊急度の高い脆弱性を即時に通知できますか?

Answer

緊急度の高い脆弱性の即時通知に、FutureVulsは対応しています。Immediate(即時対応)と判断されたタスクの即時通知が可能です。

Q FutureVulsからSlackに通知するにはどうすればよいですか?

Answer

SlackのWorkspaceにFutureVulsアプリを登録することで、各種通知をSlackのチャンネルで受け取れます。

 

設定手順はマニュアル「Slack App」を参照してください。

Q FutureVulsはAWSとの連携では何ができますか?

Answer

FutureVulsはAWSと連携することで、Amazon Inspectorのスキャン結果取り込み(EC2・ECR・AWS Lambda)、SSMを利用したスキャンやパッケージアップデート、EC2タグの連携などができます。

 

詳細はマニュアル「AWS連携」を参照してください。

Q FutureVulsは、AWS Lambdaの脆弱性も管理できますか?

Answer

AWS Lambdaの脆弱性もFutureVulsで管理できます。Amazon Inspectorとの連携により、AWS Lambda関数の脆弱性情報をFutureVulsに取り込み、SSVCを活用した優先度判断とタスク管理ができます。

Q GitHubのDependabotアラートをFutureVulsに取り込めますか?

Answer

GitHubのDependabotアラートは、FutureVulsに取り込めます。GitHub Security Alerts(Dependabot)との連携により、GitHubリポジトリで検知された脆弱性をFutureVuls上で一元管理できます。連携で得られる情報はマニュアル「GitHub連携」でも解説しています。

Q FutureVulsは、Google Cloud(GCP)との連携はできますか?

Answer

FutureVulsは、Google Cloud(GCP)との連携はできます。

 

Google Artifact Registry(GAR)のコンテナレジストリ連携に対応しています。旧Container Registry(GCR)を対象としたGCP連携は、Googleのサービス終了に伴い非推奨となっており、Artifact Registryへの移行を推奨しています。

 

詳しくはマニュアル「GCP連携」のページをご覧ください。

Q FutureVuls API(REST API)のドキュメントはどこにありますか?

Answer

FutureVulsマニュアルの「FutureVuls API」ページでAPIの仕様とサンプルを公開しています。

 

APIにはレートリミットがあるため、「FutureVulsのレートリミット」のページも併せて確認してください。

Q FutureVulsへのアクセスをIPアドレスで制限できますか?

Answer

FutureVulsへのアクセスはIPアドレスで制限できます。

 

オーガニゼーション設定の「セキュリティ」からアクセス可能なIPアドレスをCIDR形式で登録できます。制限の対象はコンソール画面とFutureVuls APIで、スキャナからのアップロードは制限されません。

 

詳しくはマニュアル「オーガニゼーション設定」ページをご覧ください。

Q ユーザー操作の監査ログは取得できますか?

Answer

ユーザー操作の監査ログは取得できます。監査ログ機能によりユーザーの操作履歴を確認できます。

 

詳細はマニュアル「監査ログ」で案内しています。

Q サーバを誤って削除しないように保護できますか?

Answer

サーバの誤削除は「サーバの削除保護」機能で防止できます。有効にすると、FutureVulsの画面およびAPIからのサーバ削除操作ができなくなります。

サポートについて

Q サポート体制について教えてください。

Answer

丁寧な導入支援で、 初心者でも安心してご利用いただけます。
また、ご不明点をいち早く解決できるよう、 充実したマニュアルをご提供しております。
お問い合わせには、開発エンジニアが直接サポートさせていただきます。

Q FutureVulsへの問い合わせはどこからできますか?

Answer

FutureVulsへの問い合わせはご契約前とご契約後で分かれています。

ご契約前:
FutureVulsに関するお問い合わせ

ご契約後:
リクエストを送信

Q FutureVulsはメンテナンスの日程や時間帯を指定できますか?

Answer

FutureVulsはクラウドサービスのため、お客様ごとにメンテナンス日時を指定することはできません。メンテナンス情報は事前に告知されますので、告知内容を確認してください。

Q FutureVulsの機能追加の要望はどこから出せますか?

Answer

サポートサイト「リクエストの送信」ページから機能実装の要望を受け付けています。EOLデータソースの追加要望も同様に受け付けています。

Q FutureVulsの新機能やアップデートの内容はどこで確認できますか?

Answer

FutureVulsのマニュアルサイトの「リリースノート」で更新内容を公開しています。また、既存ユーザー様限定にメールでの告知もお送りしています。

 

スキャンスクリプトの更新が必要な場合などもリリースノートで告知されます。

Q FutureVulsのドキュメントをNotebookLMなどのAIツールに読み込ませたい

Answer

FutureVulsでは、AI活用向けにヘルプページの主要URLをまとめた「FutureVuls NotebookLM用URL一覧」をサポートFAQ記事として公開しています。NotebookLMなどのAIツールへの登録に利用できます。

 

また、FutureVulsブログ「Google NotebookLMにマニュアルを連携し「FutureVuls専用AIアシスタント」を作成」に手順などをご案内しています。

Q FutureVulsの最新情報はどこで入手できますか?

Answer

FutureVulsの最新情報は主に、メールマガジンで発信しています。機能アップデートの詳細はヘルプサイトのリリースノートで公開しています。

価格・契約について

Q 具体的な料金を教えてください。

Answer

お客様が導入後も満足できるように、課題や悩みをお聞きした上で、最適なプランと料金をご提案します。

Q 契約期間の制約はありますか?

Answer

CSIRT / PSIRTプランどちらも年単位となります。

Q 最小で契約できるライセンス数を教えてください。

Answer

CSIRT / PSIRTプラン、どちらも100ライセンスからのご案内となります。
※ライセンスのカウント方法に関するご質問や、小規模でのPoC(導入検証)をご希望の場合は、お気軽にご相談ください。

Q 請求書払いは可能ですか?

Answer

CSIRT / PSIRTプランのどちらも請求書払いとなります。

Q FutureVulsにはどのようなプランがありますか?

Answer

FutureVulsのプランは、複数のシステムを横断的・効率的に管理する「CSIRTプラン」と自社製品の脆弱性管理を行う「PSIRTプラン」の2種類をご用意しています。

 

プランごとの違いや詳細は「料金ページ」をご覧ください。

Q FutureVulsの無料トライアルはできますか?

Answer

FutureVulsの無料トライアルは可能です。

 

導入台数の規模や要件によってご案内させていただいています。ご希望の方は、お問い合わせページからリクエストください。

Q FutureVulsを解約したい場合はどうすればよいですか?

Answer

FutureVulsの解約手続きの方法はヘルプページ「解約方法」で案内しています。

 

プランにより手続きが異なるため、該当ページを確認のうえ手続きしてください。

※記載されている会社名、製品名は、各社の商標または登録商標です。