FutureVuls新機能でCPE割り当てを効率化！適切なCPEの選び方ガイド | FutureVuls Blog

はじめに

脆弱性管理において、管理対象のソフトウェアに適切なCPE（Common Platform Enumeration）を割り当てることは非常に重要です。しかし、「どのCPEを選べばいいのか分からない」「確認作業に手間がかかる」といった課題を感じている方も多いのではないでしょうか。

この記事では、そんなCPE割り当て時の判断をサポートするため、より効率的な脆弱性管理を実現するためのFutureVulsの新機能と、それらを活用した実践的なCPEの調査方法をご紹介します。

なお本記事は、主にFutureVulsの「CPE割り当て」機能利用時のシナリオに沿って説明しますが、適切なCPEの判断方法は、「CPE追加」を行う際にも同様に役立ちます。是非CPE追加時にもご活用ください。

記事の目的

• 適切なCPEを判断する上で、FutureVulsの新機能がどのように役立つかを理解する
• 具体的なユースケースを通じて、CPE割り当て時/CPE追加時の適切なCPEの判断方法について学ぶ

💡 誰に向けた記事？

1. Windowsサーバの脆弱性管理の担当者
2. 特にWindowsサーバのCPE割り当て時、適切なCPEを判断しづらい、といった課題感を持っている人
3. CPE 追加時、適切なCPEを判断しづらい、といった課題感を持っている人 (本記事で紹介している適切なCPEの判断方法は、「CPE追加」の際にも参考にしていただけます。)

CPE割り当ての重要性

WindowsスキャンによるKBを用いた脆弱性管理では、製品に提供された更新プログラムが修正する脆弱性を、更新プログラムに紐づく KB-ID を利用して検知します。

一方、KBで管理されていないWindows製品やソフトウェア (すなわち、更新プログラムの管理対象外のソフトウェア、あるいは更新プログラムに KB-ID が紐づいていないソフトウェア) の脆弱性については、Windowsスキャンだけでは検知することができません。

このようなKB管理外の製品についても脆弱性管理を行えるようにするため、FutureVulsでは「CPE割り当て機能」を提供しています。この機能により、ユーザー自身が製品に対応するCPEを登録することで、NVD（National Vulnerability Database）などの脆弱性情報データベースと紐づけ、脆弱性情報を検知できるようになります。

CPE割り当て時の課題

手動でCPEを割り当てる際には、以下のような課題がありました。

• 候補が複数ある場合の選択の難しさ: 類似のCPEが複数ヒットした際、どれが本当に適切なCPEなのかを判断するのが困難でした。
• CPEの妥当性確認の手間: 選択したCPEが現在も一般的に使われているものなのかを確認するために、NVDのサイトを行き来する必要があり、手間と時間がかかっていました。

これらの課題を解決し、よりスムーズなCPE割り当てを実現するために、2025-04-21のリリースでFutureVulsに新しい機能が追加されました！

新機能紹介：CPE割り当てを強力サポート

FutureVulsでは、CPE割り当て時の負担を軽減するための2つの新機能をリリースしました。機能の使用方法については、いずれも こちらのマニュアル で詳しく確認いただけます。

新機能①: 割り当て実績が多いCPE候補上位3件表示 (よく利用されるCPE)

• 現状の課題: 多くのCPE候補の中から適切なものを選ぶ負担が大きい。
• 機能概要: FutureVuls内部でのCPE割り当て実績が多いCPEを、最大3件まで絞り込んで表示するようになりました。「よく利用されるCPE」として画面上に表示されます。
• 運用者にとっての嬉しさ:
  • FutureVuls を利用している他のユーザに多く選ばれている CPE を知ることで、その CPE が適切かの判断材料にできます。

新機能②: CPE割り当てダイアログにNVD検索リンクを追加

• 現状の課題: CPEの妥当性を確認するために、FutureVulsとNVDを行き来する必要がある。
• 機能概要: CPE割り当てダイアログ内に、表示されているCPE候補に対応するNVDのCPE検索ページへ直接遷移できるリンクが追加されました。これにより、すぐにNVDでの登録状況を確認できます。
• 運用者にとっての嬉しさ:
  • CPEの妥当性を簡単に確認できるようになります。
  • 外部サイトを開く手間が省け、確認作業がスムーズになります。
  • JVN（Japan Vulnerability Notes）の情報を収集するかどうかの判断材料にもなります。

FutureVulsの新機能を活用した、適切なCPEの調査方法

新機能によってCPEの候補選定やNVDでの確認が容易になりましたが、最終的にどのCPEを割り当てるべきか迷う場面もあるかと思います。ここでは、新機能を活用しつつ、CPEが適切かを判断するための調査方法を具体例とともにご紹介します。

ここでご紹介する調査方法は、CPE割り当て時のみでなく、CPE追加時にも応用できます。 (「CPE追加」については、こちらのマニュアル をご参照ください。)

推奨される調査の流れ

まず、ソフトウェアベンダがセキュリティアドバイザリなどでCPE情報を公開している場合は、その情報を最優先で信頼します。

一方、多くの製品では、ベンダから直接CPE情報が提供されないこともあります。その場合は、以下の手順で「一般的にどのCPEが採用されているか」を判断します。

1. 「よく利用されるCPE」と「リコメンドCPE」を確認する:
   • 新機能の「よく利用されるCPE」を用いて、他の多くのユーザが実際に採用しているCPEを確認します。現在もアクティブである可能性が高いCPEを見つける際の参考にします。
   • 「リコメンドCPE」も合わせて確認します。
2. NVDで詳細を確認する:
   • 上記で確認できたCPEについて、NVDで以下の情報を確認し、現在もアクティブで適切かどうかを判断します。
     • 最新バージョン: 登録されているCPEのバージョンが、ソフトウェアのリリース状況にある程度追随しているか。
     • 最終更新日: CPE情報の最終更新日が極端に古くないか。
     • 紐づいているCVE: 新しい脆弱性情報（CVE）が紐づいているか。古いCVEしか紐づいていない場合、そのCPEが現在は脆弱性情報の紐付けに使われていない可能性があります。

具体例で見るCPEの調査・判断フロー

実際に適切なCPEを判断するためのフローについてイメージしていただくため、以下の3つのユースケースについて、適切なCPEを判断していく方針を紹介します。

1. ベンダに情報がある場合
2. ベンダからCPEが発表されておらず、「よく利用されるCPE」が表示される場合
3. 「よく利用されるCPE」が表示されない場合 / 候補のCPEが複数存在する場合

例1: ベンダに情報がある場合 (Palo Alto Networks PAN-OS を例に)

Windows OS 製品でベンダ情報がある CPE が見当たらなかったため、ネットワーク系の OS を例に挙げています。この点ご承知おきください。

1. ベンダ情報の確認:
   Palo Alto Networks の場合、セキュリティアドバイザリで影響を受ける製品バージョンと共にCPEが記載されていることがあります。
   例えば、CVE-2024-9474 のアドバイザリ (https://securityadvisories.paloaltonetworks.com/CVE-2024-9474) には、関連するCPE情報が含まれています。

   このようにベンダから明確な情報が提供されている場合は、それを信頼してCPEを割り当てます。

例2: ベンダからCPEが発表されておらず、「よく利用されるCPE」が表示される場合 (Google Chrome を例に)

多くの製品では、ベンダから直接CPE情報が提供されていません。そのような場合の対応方針について、Google Chrome を例に紹介します。

1. 「よく利用されるCPE」を確認:
   FutureVulsで「Google Chrome」のCPEを割り当てようとすると、「よく利用されるCPE」に google / chrome が表示されました。こちらを確認してみます。

2. NVDで確認:
   選択欄の下に表示されているNVD検索リンクをクリックし、NVDページで情報を確認してみます。
   

   該当の vendor / product (google / chrome) に紐づく CPE が多く存在していることが確認できます。(赤枠)
   CPEのリンク (黄色枠) からCPE詳細を、「View CVEs」(青枠) で紐づく脆弱性情報をそれぞれ確認しておきましょう。

   まず、CPEの詳細を確認します。

   • 最終更新日が「2025/04/07」となっています。かなり最近アップデートされたものであることが分かります。

   次に、脆弱性情報を確認します。

   • 脆弱性が複数紐づいていることが分かります。
   • また、比較的新しい CVE 情報 (CVE-2025-3620) が紐づいています。
     

   NVDのページで、バージョン情報が定期的に更新されており、新しいCVEも紐づいていることが確認できたので、google / chrome はアクティブであり、適切であると判断して CPE を割り当てます。

例3: 「よく利用されるCPE」が表示されない場合 / 候補のCPEが複数存在する場合 (Docker Desktop を例に)

1. リコメンドCPEを確認:
   「よく利用されるCPE」が存在していないケースもあります。例えば、「Docker Desktop」は2025年5月現在、「よく利用されるCPE」が存在しません。
   この場合は、レコメンドCPEから選択します。以下のように似た vendor / product が2つ表示されています。

   • docker / desktop
   • docker / docker_desktop

   どちらを選ぶべきか迷います。NVD検索リンクを使用して、それぞれの CPE の運用状況を確認してみます。

2. docker / desktop に対応するCPEのNVD情報を確認:

   • NVDの docker / desktop のリンク を確認すると、かなり新しいバージョン（4.41.1）まで登録されており、CVEも紐づいていることが分かります。
   • Docker Desktop の公式サイトのリリースノート で確認できる、2025年5月時点の最新バージョン（4.41.2）よりは少し古いですが、ほぼ追随できていることが分かります。

3. docker / docker_desktop に対応するCPEのNVD情報を確認:

   • NVD の docker / docker_desktop のリンク を確認すると、最新バージョンが比較的古く（4.17）、最終更新日も2023年3月で止まっています。

   紐づいているCVEも古いものが多いです。
   

4. 結論と対応:

   • この場合、cpe:/a:docker:desktop は、NVD上での更新は最新の製品リリースに完全には追随できていないものの、cpe:/a:docker:docker_desktop よりもアクティブである可能性が高いと判断できます。そのため、まずは docker / desktop を割り当てるのが適切と判断します。
   • cpe:/a:docker:docker_desktop にしか紐づかない脆弱性情報もケアしたい、あるいはどちらのCPEがより多くの脆弱性をカバーできるか確信が持てない場合は、cpe:/a:docker:docker_desktop を「CPE追加」から別途追加することも検討します。

それでも割り当てたCPEが妥当か不安な時は

上記の方法で調査しても、本当にこのCPEが妥当なのか不安が残る場合もあります。
そのような場合は、以下のような対応も検討してください。

• 最も適切と思われるCPEを「CPE割り当て」機能で割り当てます。
• その上で、他のCPE候補も気になる場合は、FutureVulsの「CPE追加」機能などを活用して、そのCPEも登録しておきます。

まとめ

今回は、FutureVulsに追加されたCPE割り当てを支援する2つの新機能と、それらを活用してより適切なCPEを判断するための調査方法について、具体例を交えながらご紹介しました。

• 新機能「割り当て実績の多いCPE」を、CPEが適切かの判断材料に。
• 新機能「NVD検索リンク」で、FutureVulsからシームレスにNVD情報を確認可能に。
• これらの機能を活用しつつ、ベンダ情報やNVDの詳細情報を確認することで、より自信を持ってCPEを割り当てることができるようになります。

本記事が「どのCPEを割り当てたらよいか / 追加すれば良いか分からない」という課題解決の一助となれば幸いです。

FutureVulsは、今後もお客様の運用がよりスムーズになるよう、継続的に機能改善を行ってまいります。運用でお困りの点や、「こういった機能が欲しい」といったご要望がございましたら、お気軽にフィードバックをお寄せください。

お問い合わせフォーム: https://futurevuls.zendesk.com/hc/ja/requests/new