納品したソフトウェアについて顧客から脆弱性確認を求められましたか?
ここでOSS脆弱性レポートを作成できます
脆弱性を確認せよと言われても…
CVE1、SBOM2、Dependabot3、SCA4ツールの結果について、顧客から「影響はありますか」「対応状況を教えてください」と聞かれたとき、すぐに最終判断まで出せないことがあります。
このページでは、依存関係ファイルやSBOMをブラウザで読み取り、ブラウザ内で匿名化加工することで、ソースコードを送らずに公開OSS名・versionなど必要最小限の情報だけを使った OSS脆弱性レポート を作成できます。
OSS脆弱性レポートとは
OSS脆弱性レポートとは、依存関係ファイルやSBOMに含まれる公開OSS5をもとに、既知脆弱性候補、顧客回答前の確認事項、社内確認依頼、監査・委託先審査向けの記録を整理するための資料です。
OSS脆弱性レポートでは、次を整理します。
- どの公開OSSとversionが確認されたか。
- 既知脆弱性候補があるか。
- 顧客回答前に何を追加確認すべきか。
- 開発者へ何を確認依頼すべきか。
- 現時点で断定できない事項は何か。
初動整理に役立つOSS脆弱性レポートを、このページからすぐ作成できます。作成するレポートは、顧客提出前の社内確認、開発者確認、監査準備に使う一次資料です。
OSS脆弱性レポートを作成して、顧客回答前の社内初動整理をすることができます
顧客からCVE影響確認やOSS脆弱性対応状況の説明を求められたときに必要なことは、アラート一覧を作成することではありません。まず必要なのは、確認済み事項・未確認事項・次に確認すべきことを分けた社内共有資料 です。
社内初動整理でできることを確認する
この表は、OSS脆弱性レポートで顧客回答前に整理できる主な内容をまとめたものです。
| 題 | 概要 |
|---|---|
| 依存関係を整理 | lockfile、manifest、SBOMなどから、公開OSS名とversionを整理します。 |
| 公開脆弱性候補を確認 | 加工済みデータを公開脆弱性情報と照合し、既知脆弱性候補を整理します。 |
| 確認事項を分離 | 本番利用、該当機能利用、外部到達可能性、更新可否など、御社側で確認すべき事項を明確にします。 |
| 社内共有資料として確認 | 営業、開発、セキュリティ担当、責任者、監査担当が同じ資料を見て会話できるよう、確認済み事項、未確認事項、次に確認すべきことを分けて整理します。 |
このページで最初に作成するレポートは、最終的な「影響なし」証明ではありません。顧客回答・開発者確認・監査準備を始めるための社内初動対応用一次調査資料です。
OSS脆弱性レポートに含まれる主な内容
OSS脆弱性レポートに含まれる内容を確認する
この表は、クイックチェックレポートで確認できる主な内容と、詳細レポートで追加・具体化される内容をまとめたものです。クイックチェックでは顧客回答前の要点と確認観点を整理し、詳細レポートでは顧客向け文面、社内確認依頼、監査記録、改善提案を実務で使いやすい粒度まで整えます。
| 題 | 概要 |
|---|---|
| 責任者向けサマリ | 初動整理サマリー、責任者がまず読む3つの要点、現状理解と判断メモ、顧客向け説明方針、社内担当者への確認事項、この後の進め方を整理します。 |
| 監査・委託先審査向けの記録 | 対象データ、照合結果、照合対象外、作成条件、提出時注意を後から確認できる形で残します。 |
| 次回以降の改善提案 | 今回の確認結果を一回限りにせず、次回の顧客回答・監査・委託先審査で短時間に判断するための改善案を整理します。 |
| エビデンスデータ(確認根拠) | 入力データ概要、公開脆弱性照合結果サマリー、照合結果内容、優先確認項目、候補一覧とOSV ID参照を整理します。 |
| 免責・注意事項 | 自動照合資料としての限界、最終判断ではないこと、診断・到達可能性解析・法令判断の代替ではないことを明記します。 |
| 作成日時・レポートID | 作成日時、レポートID、入力種別、作成根拠など、後から照合するための管理情報を残します。 |
| クイックチェックで確認できる範囲 | 候補数、未確認範囲、優先確認項目を中心に、顧客回答前の初動整理に必要な内容を確認できます。 |
| 詳細レポートで追加される文面・記録 | 顧客向け文面案、社内確認依頼、監査記録、改善提案などを、顧客説明や社内確認に使いやすい粒度まで具体化します。 |
このページで最初に作成するクイックチェックレポートは、一次資料として自動作成するものです。詳細レポートでは、顧客向け文面案、社内確認依頼、監査記録、次回改善提案などをより具体的に整理します。CVSS詳細、EPSS、KEV、本番影響判断、到達可能性解析、法令または契約上の通知義務判断、専門家による個別確認は本レポート単体では取り扱いません。
OSS脆弱性レポート(クイックチェックレポート)サンプルを見る
実際に作成されるOSS脆弱性レポート(クイックチェックレポート)の雰囲気を確認できるよう、サンプルを用意しています。レポートに含まれる内容、凡例・バッジの見方、責任者向けサマリ、監査・委託先審査向けの記録、エビデンスデータ(確認根拠)、免責・注意事項、作成日時・レポートIDを確認できます。
これはOSS脆弱性レポートサンプル公開用に用意したCycloneDX形式のSBOMサンプルを入力して作成したものです。このSBOMサンプルには、主にOSV_ID表示を確認できるよう、既知の脆弱性情報が多く返るように古い公開npm packageを含めています。実際にレポートを作成するときは、御社の対象システムから作成したSBOMまたは依存関係ファイルを使ってください。
OSS脆弱性レポートを作成するために手元に準備するファイル
OSS脆弱性レポートを作成するために必要なのはソースコード一式ではありません。対象システムの 依存関係が分かるファイル または SBOM を準備してください。
このうちのいずれかを準備してください
| プロジェクト種別 | 準備するファイルの例 | 補足 |
|---|---|---|
| Node.js / npm | package-lock.json | 実際に解決されたpackageとversionを確認しやすい形式です。 |
| Yarn / pnpm | yarn.lock, pnpm-lock.yaml | フロントエンドやNode.jsサービスの依存関係確認に使います。 |
| Go | go.mod、必要に応じて go.sum | module名とversionをもとに確認します。 |
| Python | requirements.txt, poetry.lock, Pipfile.lock | versionが固定されているlockfileの方が、確認精度が上がります。 |
| Java / Maven | pom.xml | 直接依存を中心に確認します。推移的依存まで含めたい場合は、SBOMの利用も検討してください。 |
| R | renv.lock, DESCRIPTION | renv.lock はversionを確認しやすく、DESCRIPTION は制約が残る場合があります。 |
| SBOM | CycloneDX, SPDX | 複数言語やコンテナ由来のcomponentをまとめたい場合に向いています。 |
DependabotやSCAツールのアラートが出ている場合
DependabotやSCAツールの画面キャプチャではなく、対象リポジトリのlockfile、manifest、またはSBOMを準備してください。アラート画面は「何が検出されたか」を見るには便利ですが、レポート作成では依存関係データとして扱えるファイルが必要です。
- GitHubのDependabotアラートを見ている場合: 対象リポジトリの
package-lock.jsonyarn.lockgo.modrequirements.txtなどを準備します。 - Snyk、Trivy、Grypeなどを使っている場合: 可能であれば、CycloneDXまたはSPDX形式のSBOMを出力して使います。
- 複数リポジトリが関係する場合: まず、顧客から確認されたサービス、または本番影響が大きいサービス単位で1つずつ作成してください。
顧客からSBOM提出やCVE回答を求められている場合
顧客からSBOMやCVE回答を求められている場合は、顧客に提出予定のSBOMそのもの、または対象システムの依存関係ファイルを準備してください。
- SBOMをすでに作成済みの場合: CycloneDX JSON/XML、SPDX JSON/tag-valueなどを使えます。
- SBOMがまだない場合: 対象アプリケーションのlockfileやmanifestを使ってレポートを作成できます。
- 顧客が特定CVEを指定している場合: そのCVEに関係しそうなサービスやリポジトリの依存関係ファイルを選んでください。
納品前・保守案件・委託先審査で使う場合
納品前や保守案件では、実際に納品・運用対象となるアプリケーションの依存関係ファイルを準備してください。開発用サンプルや古いbranchのファイルでは、顧客説明の材料として弱くなる場合があります。
- Webアプリケーション: フロントエンドとバックエンドを分けて作成するか、SBOMでまとめます。
- 受託開発案件: 納品対象のリポジトリ、または納品buildに対応するlockfileを使います。
- 監査・委託先審査: いつの時点の依存関係かを、社内で説明できるファイルを選びます。
準備するファイルで迷う場合
次の順で選ぶと、判断しやすくなります。
- 本番で使うアプリケーションのlockfile。
- 対象サービスのSBOM。
- lockfileがない場合は、manifestや依存関係定義ファイル。
- 複数ある場合は、顧客から確認されたサービス単位で1つずつ。
versionが不明な形式や、推移的依存を完全に解決できない形式では、レポート内に「追加確認が必要」と表示される場合があります。
lockfileは、実際に使われるversionが分かりやすい形式です。SBOMは、複数言語・複数componentをまとめて渡しやすいため、脆弱性レポートの入力として扱いやすい形式です。
OSS脆弱性レポートを作ると、社内確認を進めやすくなります
OSS脆弱性対応で時間がかかるのは、OSS脆弱性情報を探すことだけではありません。それよりも顧客へ何を答えるか、開発者へ何を確認するか、監査向けに何を記録するかを整理することに時間がかかります。
このページで作成するレポートは、最終判断ではなく、判断を始めるための共通資料です。
| 効果 | 具体的に進めやすくなること |
|---|---|
| 顧客回答の初動が早くなる | 何を確認済みで、何を追加確認中と説明すべきかを整理できます。 |
| 開発者への確認依頼が具体的になる | 対象package、version、scope、relationship、確認事項を渡せます。 |
| 監査・委託先審査で説明しやすくなる | 検知後にどのように一次整理したかを記録できます。 |
| 無責任な断定を避けられる | 影響なしと断定できない理由と、次に確認すべき事項を分けられます。 |
ソースコードを送らずに作成できます
依存関係ファイルやSBOMはそもそもソースコード本体ではなくアプリケーションを構成するものの一つですが、技術スタック、利用OSS、version、private package名、private registry URL6、git URL、社内ドメイン、認証情報候補を含む可能性があります。
OSS脆弱性レポート作成にはソースコード一式を送る必要はありません。依存関係ファイルやSBOMをブラウザで読み取り、レポート作成に必要な情報だけにブラウザ内で加工し、送信前にデータ内容をあなたの目で確認してから安心して作成できます。
OSS脆弱性レポートでは、レポート作成のためサーバーへ送信した加工済みSBOM/依存関係データ、公開脆弱性情報との照合結果、作成したレポートを、作成から規定日数後に自動削除します。また前項で何度も申し上げているように元のSBOMファイル、lockfile本文、ソースコード全文を生のままで送信・保存する設計ではありません。
送信する情報・送信しない情報を詳しく見る
| 区分 | 扱い |
|---|---|
| public package名 | 公開脆弱性情報との照合に使います。 |
| version | 既知脆弱性候補の照合に使います。version不明の場合は、制約として表示します。 |
| ecosystem | npm、PyPI(Python Package Index)、Maven、Go、CRAN(Comprehensive R Archive Network)などの分類として使います。 |
| scope / relationship | Runtime / Dev、Direct / Transitiveなどの一次仕分けに使います。 |
| ソースコード | 送信しません。 |
| lockfile / SBOM本文 | 生ファイルのまま送信しません。ブラウザ内で加工した依存関係データだけを送ります。 |
| ファイル名 | 送信しません。 |
| private package名 | 匿名化し、公開脆弱性DB(Database)の照合対象外として扱います。 |
| private registry URL / git URL / VCS URL | 削除します。VCSはGitなどの変更履歴管理システムを指します。 |
| 認証情報候補 | 検出時は送信へ進ませません。候補文字列そのものは送りません。 |
送信前加工を確認できるJavaScriptを見る
このページの説明だけを信じる必要はありません。このページにおける送信前加工、匿名化、secret検出、形式判定に関わるJavaScriptを公開しているのであなたの目で確認できます。
| 確認対象 | 役割 |
|---|---|
oss-report-sanitize-payload.js | 送信してよい最小限のpayloadを組み立てる中心処理です。 |
oss-report-sanitize-redact.js | private package名、registry URL、git URL、local pathなどを匿名化または削除します。 |
oss-report-sanitize-secret-scan.js | tokenや認証情報らしき文字列を検出した場合に、送信へ進ませないための処理です。 |
oss-report-detect-format.js | 選択されたファイル形式を判定します。 |
oss-report-format-detectors.js | 初期読み込みを軽くするため、形式だけを判定します。 |
oss-report-parser-errors.js | 形式別の失敗理由を共通化し、表示を分かりやすくします。 |
OSS脆弱性レポートを作成する
ここから、OSS脆弱性レポートを作成できます。このページで最初に作成できるレポートを「クイックチェックレポート」と呼びます。クイックチェックレポートでは、顧客回答前に必要な初動整理と追加確認事項を確認できます。詳細レポートで追加される文面・記録の内容はクイックチェックレポート作成後にこのページの後半で確認できます。
もしここを見ているあなたが営業担当者なら、「顧客からSBOMやOSS脆弱性への対応状況を求められたこと」と「今見ているこのページを見つけたこと」を開発担当者へ共有してください。このページでの実際のSBOMファイル選択や送信前確認は、対象システムの依存関係ファイルまたはSBOMを理解して取り扱うことができる開発担当者が行うのが安全です。
クイックチェックレポート
クイックチェックレポートは、次の目的で利用してください。
- 顧客からのCVE確認に対する初動整理。
- 開発者への確認依頼の準備。
- DependabotやSBOMの脆弱性候補整理。
- 納品前のOSS脆弱性確認。
- ISMS7、SOC28、委託先審査に向けた証跡準備。
- 顧客提出向けに文面を整える追加資料や、専門家レビューが必要かどうかの判断。
詳細レポート
詳細レポートはクイックチェックレポート出力の後で購入することができます。詳細レポートを出力する場合は、クイックチェックレポートの作成に使ったSBOMまたは依存関係ファイルが必要です。クイックチェック作成直後であれば、引き続き同じデータを使って詳細レポート出力へ進めます。社内稟議などで日数が空いた場合は、同じSBOMまたは依存関係ファイルでもう一度クイックチェックレポート作成から始めてください。
ではクイックチェックレポートを作成しよう
- ソースコード全文送信は不要です。
- 依存関係ファイルやSBOMは、ブラウザで読み取ってブラウザ内で加工してから送信します。
- 送信前に、送信される情報と送信しない情報を確認できます。
- 送信前加工の検証で認証情報らしき文字列が検出された場合は、送信へ進ませません。
- このクイックチェックレポートは一次調査資料であり、最終的な影響判断ではありません。
- サーバーへ送信された加工済みデータと作成されたレポートは作成から規定日数後に自動削除します。
- クイックチェックレポートにはストラテジアエキスパート担当者による個別確認を含みません。
どのような場面でOSS脆弱性レポートを使えるか
代表的な利用シーンを見る
顧客からCVEの影響確認が届いた
対象OSSが依存関係上に含まれるかの確認材料、公開脆弱性候補、照合できなかった範囲、顧客回答前の確認観点を整理できます。
DependabotやSCAツールのアラートが多い
脆弱性検出ツールを置き換えるものではありませんが、lockfileやSBOMをもとに、候補数、依存種別、照合可否を整理し、開発チームへ確認依頼しやすい候補をまとめられます。
SBOMを提出する前に脆弱性説明も整理したい
SBOMに含まれるcomponent情報をもとに、公開脆弱性情報との照合結果、照合対象外の範囲、社内確認事項を整理できます。顧客提出向けの文面案が必要な場合は、詳細レポートで確認できます。
納品前・保守契約中にOSS脆弱性説明が必要になった
納品対象や保守対象の依存関係から、確認すべき候補、未確認範囲、社内で補うべき論点を整理できます。
ISMS・SOC2・委託先審査の準備
自動照合の前提、照合結果、照合対象外の理由、作成条件を残し、検知後に何を確認し、どこが未確認かを説明する一次記録として使えます。
クイックチェックレポートで分かること・分からないこと
クイックチェックレポートで分かることを見る
| 項目 | 内容 |
|---|---|
| OSS名 | 加工済みデータに含まれる公開OSS名。 |
| version | 検出されたOSSのversion。 |
| ecosystem | npm、PyPI、Maven、Go、CRANなどの分類。 |
| 依存種別 | Direct / Transitive、Runtime / Devなどの推定。 |
| 既知脆弱性候補 | 公開脆弱性情報で返った候補IDと、先頭1件の参照リンク。 |
| 優先確認項目 | 候補数、scope、relationshipにもとづく自動一次仕分け。 |
| 顧客回答前の確認観点 | 顧客へ断定的に回答する前に分けて確認すべき、確認済み範囲、未確認範囲、追加確認事項。 |
クイックチェックレポートでは分からないことを見る
| 項目 | 理由 |
|---|---|
| 本番環境で実際に使われているか。 | 依存関係ファイルだけでは、実行時の構成を確認できないため。 |
| 外部から到達可能か。 | ネットワーク構成やアプリケーション経路の確認が必要なため。 |
| 脆弱な関数や機能を呼び出しているか。 | ソースコード解析や到達可能性解析が必要なため。 |
| 顧客通知義務があるか。 | 契約条件、影響範囲、社内基準の確認が必要なため。 |
| 影響なしと最終判断できるか。 | 実装、設定、運用、利用経路の確認が必要なため。 |
詳細レポートで分かること・分からないこと
詳細レポートは、クイックチェックレポートで整理した候補と確認観点をもとに、顧客説明、責任者判断、社内確認依頼、監査記録に使いやすい資料へ整えるためのレポートです。詳細レポートはクイックチェックレポート出力の後で購入することができます。
詳細レポートで分かること・分からないことを見る
このセクションは、クイックチェックレポート作成後に読めます。
詳細レポートで分かること
| 項目 | 内容 |
|---|---|
| 顧客向け説明方針と文面案 | 確認済み事項、未確認事項、対応予定を分け、顧客へ説明しやすい文面案として整理します。 |
| 責任者向け判断メモ | 責任者がまず読む要点、判断前の確認質問、次に決めることを整理します。 |
| 社内担当者への確認依頼 | 開発チームへ渡すチケット本文案、調査手順案、確認依頼チェックリスト、完了条件案を整理します。 |
| 監査・委託先審査向けの記録 | 照合条件、対象データ、照合対象外の理由、監査で残す根拠、証跡として説明しやすい記録を整理します。 |
| 次回以降の改善提案 | 次回の顧客回答、監査、委託先審査で短時間に判断するための改善案を整理します。 |
| エビデンスデータ(確認根拠) | 入力データ概要、公開脆弱性照合結果、優先確認項目、候補dependency一覧、OSV ID参照を確認できます。 |
| 作成日時・レポートID | 作成日時、レポートID、入力種別、作成根拠、免責・注意事項を後から確認できるように残します。 |
詳細レポートでも分からないこと
| 項目 | 理由 |
|---|---|
| 本番環境で実際に使われているか。 | 実行時の構成、設定、運用状況を御社側で確認する必要があるため。 |
| 外部から到達可能か。 | ネットワーク構成、認証条件、アプリケーション経路の確認が必要なため。 |
| 脆弱な関数や機能を呼び出しているか。 | ソースコード解析、到達可能性解析、実装確認が必要なため。 |
| 顧客通知義務があるか。 | 契約条件、法令、影響範囲、社内基準にもとづく判断が必要なため。 |
| 影響なしと最終判断できるか。 | 実装、設定、利用経路、補完統制を御社責任者が確認する必要があるため。 |
| 専門家レビュー済みの保証になるか。 | 詳細レポート単体には、ストラテジアエキスパート担当者による個別確認を含まないため。 |
よくある不安
ソースコードを送る必要がありますか
ありません。このページでは、クイックチェックレポート作成時も詳細レポート作成時も、ソースコード全文や選択した生ファイルを直接送信しません。依存関係ファイルやSBOMをブラウザ内で読み取り、レポート作成に必要な公開OSS名、version、分類などに加工したデータだけを送信します。
依存関係情報だけで意味がありますか
意味はあります。依存関係情報だけでも、公開OSS名とversion、公開脆弱性情報との照合結果、照合できなかった範囲、顧客回答前の追加確認事項を整理できます。ただし、本番利用有無、利用箇所、外部到達可能性、更新可否、契約上の通知義務などの最終判断には、社内確認が必要です。
顧客にそのまま提出できますか
クイックチェックレポートは顧客提出前の一次調査資料です。詳細レポートでは顧客向け文面案や社内確認依頼を追加できますが、どちらもそのまま提出できる完成保証文書ではありません。顧客へ提出する場合は、対象製品、対象version、確認日、社内確認結果、回答責任者を御社で補い、御社の責任で提出してください。専門家レビューが必要な場面には、エキスパートレビューを今後の選択肢として検討しています。
ストラテジアのエキスパート担当者がデータやレポートの中身を個別確認しますか
いいえ。クイックチェックレポートと詳細レポートはいずれもオンラインで自動作成され、ストラテジアエキスパート担当者による個別確認、署名付き見解、顧客提出文書としての保証は含みません。
Google Analyticsでファイルの中身を取られませんか
取りません。Google Analyticsで収集しているのは、このページ上の操作状況などの行動データです。ファイル名、package名、version、CVE ID、OSV ID、private package名、URL、社内ドメイン、JSON本文、認証情報候補の実値はGoogle Analyticsへ送りません。
よくある質問
このページは何のためのページですか
顧客、監査人、社内責任者からOSS脆弱性やCVEの影響確認を求められたとき、最初に確認すべき候補、未確認範囲、次に社内で確認する事項を整理するためのページです。依存関係ファイルやSBOMをブラウザ内で加工し、公開OSS名とversionなど必要最小限の情報だけを送信して、まずクイックチェックレポートを作成します。必要に応じて、その結果をもとに詳細レポートを購入できます。
顧客への一次回答文は作られますか
クイックチェックレポートでは、顧客回答前に確認すべき候補、照合できなかった範囲、追加確認事項を整理します。顧客へ送る本文案そのものは詳細レポートで確認できます。詳細レポートの文面案も、社内確認結果を追記するためのたたき台であり、最終回答としてそのまま提出する前に、対象製品、対象version、確認日、回答責任者、契約上の要求を御社で補ってください。専門家レビューが必要な場面には、エキスパートレビューを今後の選択肢として検討しています。
DependabotやSnykやTrivyの代わりになりますか
代わりにはなりません。このページの成果物は、脆弱性検出ツールや継続監視を置き換えるものではありません。Dependabot、Snyk、Trivy、Grype、OSV-Scannerなどで得られた情報やlockfile、SBOMをもとに、顧客説明、社内確認、監査記録へつなげるための一次調査資料を作る位置づけです。
private packageはどう扱いますか
private package名は匿名化して扱います。private packageは公開脆弱性情報と同一package/versionとして照合できないため、レポートでは匿名化されたprivate packageとして件数や追加確認対象であることを表示します。社内packageの由来、fork元、社内既知脆弱性管理、利用箇所は御社側で確認してください。
認証情報らしき文字列を検出した場合はどうなりますか
このページのクイックチェックレポート作成では、認証情報やトークンの可能性がある文字列を検出した場合、送信用データを作成せず、送信へ進ませません。認証情報らしき文字列そのものは画面表示や送信をしません。御社側で対象箇所を確認し、必要に応じて削除、修正、ローテーションを行ってから再度利用してください。
requirements.txtでversionを固定していない場合はどうなりますか
照合精度が限定されます。requests>=2.28 や django のように実際のversionが確定しない場合は、公開脆弱性の該当version範囲と正確に照合できないことがあります。その場合は、version不明または追加確認が必要な項目として扱い、lockfile、ビルドログ、コンテナイメージ、SBOM再作成結果などで実際のversionを確認する前提で表示します。
RのDESCRIPTIONやrenv.lockには対応していますか
対応しています。DESCRIPTIONでは依存関係名と依存制約を取得できますが、実際にインストールされているversionとは限らないため、versionはunknownとして扱います。renv.lockでは固定されたpackage versionを取得できるため、CRAN packageやBioconductor packageの名称とversionを一次照合に使います。private package候補は匿名化し、公開脆弱性情報との自動照合対象外として扱います。
KEVやEPSSのような悪用状況も見ますか
クイックチェックレポート、詳細レポートのいずれも、KEV、EPSS、CVSS、悪用状況、修正版候補の外部連携評価を自動では行いません。レポートでは、OSV IDなど公開脆弱性情報との照合結果をもとに、候補package、照合対象外範囲、社内で確認すべき観点を整理します。悪用状況や悪用可能性まで判断する場合は、社内確認または専門家確認を行ってください。
CVSSだけで優先度を決めますか
いいえ。クイックチェックレポート、詳細レポートのいずれも、CVSSだけで優先度や影響有無を断定しません。候補数、利用場面、直接依存か間接依存か、照合可否をもとに初動で見る順番を整理します。CVSS、EPSS、KEV、悪用状況、修正版候補は、必要に応じて社内で追加確認する事項として扱います。
クイックチェックレポートと詳細レポートはどれくらい保存されますか
クイックチェックレポートおよび詳細レポートは取得可能になった時点で、利用者自身で速やかに保存してください。レポートの再取得は原則としてできません。システムトラブルに備えた参考データとして、作成したレポートとその関連データは、作成からクイックチェックレポートは3日、詳細レポートは14日を目安に保存します。それを過ぎると自動削除します。保存期間経過後はトラブルシューティングや再発行を保証できません。またこのことを理由にする返金は行いません。自動削除処理の都合により、物理削除には時間差が生じる場合があります。
このFAQで解決しない場合はどうすればよいですか
クイックチェックレポートや詳細レポートの範囲で解決できない高度な判断、契約上の通知義務、顧客提出前レビュー、影響なし判断、専門家確認が必要な場合は、社内で追加確認を行ってください。顧客提出向け文面の整理はクイックチェックレポート出力後に購入できる詳細レポートで補えますが、専門家確認や署名付き見解は含みません。専門家確認はエキスパートレビューの今後の選択肢として検討しています。
詳細レポートで追加される内容と今後の選択肢
このページで現在作成できるクイックチェックレポートは、顧客回答前の初動整理を目的としています。詳細レポートはクイックチェックレポート出力の後で購入することができます。現在提供する詳細レポートは「OSS脆弱性レポート 詳細レポート 標準版」です。「OSS脆弱性レポート 詳細レポート AI補助版」は準備中、「OSS脆弱性レポート エキスパートレビュー付き」は今後提供予定の上位メニューとして検討しています。
詳細レポートで追加される内容と今後の選択肢を見る
OSS脆弱性レポート 詳細レポート 標準版
生成AIを使わずに、依存関係情報と公開脆弱性情報をもとに作成します。
OSS脆弱性レポート 詳細レポート AI補助版(準備中)
AI補助版は、入力情報をもとに生成AIで文章を整える作成方式です。顧客説明や社内確認に使いやすい文面へ整えることを目的としており、専門家による個別確認や署名付き見解は含みません。現在は購入できません。
OSS脆弱性レポート エキスパートレビュー付き(今後提供予定)
エキスパートレビュー付きは、詳細レポートをもとに専門家が確認範囲、補足所見、顧客回答時の留保事項、追加確認事項を追補する上位メニューです。本文をもう一度長く書き直すのではなく、専門家が確認した結果と見解を追加します。現在は申し込めません。
AI補助版とエキスパートレビュー付きの違い
AI補助版は文章を整える作成方式です。エキスパートレビュー付きは、専門家が確認して所見を付ける上位メニューです。AI補助版が専門家レビュー済みになるわけではありません。
| 項目 | AI補助版 | エキスパートレビュー付き |
|---|---|---|
| 文章作成 | 生成AIで整える | 詳細レポートを材料にする |
| 専門家確認 | 含まない | 含む |
| 署名または確認記録 | 含まない | 含む |
| 主な価値 | 説明文の整理 | 確認範囲と専門家所見 |
| 本文との関係 | 本文そのもの | 本文への追補 |
月次OSS脆弱性監視レポート(今後検討)
単発対応ではなく、継続的に顧客説明・監査証跡を残したい企業向けに検討しています。
Agencyプラン(今後検討)
受託開発会社、Web制作会社、セキュリティ診断会社、情報システム支援会社など、自社顧客向け成果物としてOSS脆弱性レポートを使いたい企業向けに検討しています。
追加資料や専門家レビューを検討する稟議理由例を見る
顧客からのCVE影響確認に対応するため
顧客からOSS脆弱性およびCVE影響確認を求められており、回答文および社内確認資料の作成が必要です。
手作業での調査・文書作成には開発担当者およびセキュリティ担当者の工数が発生するため、OSS脆弱性レポートを利用し、確認済み事項・未確認事項・対応優先度など、顧客向け回答案の整理を効率化します。
監査・委託先審査の証跡を整備するため
脆弱性検知後の一次確認、未確認事項、対応方針、顧客回答準備の記録を残すことで、ISMS・SOC2・委託先審査等における脆弱性管理の説明資料として活用します。
注意事項
このページで作成するOSS脆弱性レポートには、クイックチェックレポートと、クイックチェックレポート出力後に購入できる詳細レポートがあります。
クイックチェックレポートは、このページで入力された加工済みデータおよび公開脆弱性情報に基づくOSS脆弱性の一次調査資料です。
詳細レポートは、クイックチェックレポートで整理した候補と確認観点をもとに、顧客向け文面案、社内確認依頼、監査・委託先審査向けの記録、改善提案を具体化する資料です。
クイックチェックレポートおよび詳細レポートは、脆弱性診断、侵入テスト、ソースコードレビュー、到達可能性解析、法的判断、契約上の通知義務判断を代替するものではありません。
クイックチェックレポートおよび詳細レポートは、入力データの完全性、依存関係解決の完全性、公開脆弱性情報の網羅性、実行環境における影響有無を保証するものではありません。
詳細レポートに含まれる顧客向け文面案や社内確認依頼は、御社の状況確認と責任者確認を前提に利用するたたき台です。顧客提出、リスク受容、修正方針の確定、影響なし判断は、御社の責任で確認してください。
クイックチェックレポートおよび詳細レポートには、ストラテジアエキスパート担当者による個別確認、専門家レビュー、顧客提出文書としての保証を含みません。
ストラテジアについて
ストラテジアは、中小企業の情報セキュリティ基盤の構築と運用を伴走支援しています。
OSS脆弱性レポートは、情報セキュリティ判断を属人的な作業にせず、企業が顧客・開発者・監査人に説明できる状態を作るための取り組みです。
必要なのは、単にアラートを増やすことではありません。必要なのは、企業が自社の状況を整理し、顧客に誠実に説明し、開発者に具体的に依頼し、監査で説明できる記録を残すことです。
-
Common Vulnerabilities and Exposures の略。公開された既知脆弱性に付与される識別番号です。 ↩︎
-
Software Bill of Materials の略。ソフトウェアに含まれる部品や依存関係を一覧化した情報です。 ↩︎
-
GitHubが提供する依存関係更新・脆弱性通知の機能です。リポジトリ内の依存関係をもとに、更新候補や既知脆弱性を知らせます。 ↩︎
-
Software Composition Analysis の略。OSSなどの依存関係を解析し、脆弱性やライセンス等を確認する手法・ツール群です。 ↩︎
-
Open Source Software の略。ソースコードが公開され、一定のライセンス条件のもとで利用・改変・再配布できるソフトウェアです。 ↩︎
-
Uniform Resource Locator の略。Web上の場所やリソースを示す文字列です。 ↩︎
-
Information Security Management System の略。情報セキュリティを継続的に管理する仕組みです。 ↩︎
-
Service Organization Control 2 の略。主にクラウドサービス等の統制状況を評価する監査報告の枠組みです。 ↩︎