/
service-specification.txt
262 lines (206 loc) · 19.7 KB
/
service-specification.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
「FutureVuls」 サービス仕様書
フューチャー株式会社
改定履歴
Ver 作成日 改定箇所 改定内容
1.00 2018/3/16 - 初版作成
1.01 2018/9/1 オプションサービス Windows価格改定
1.02 2018/11/1 サポートサービス サービス内容改定
1.0.3 2019/3/5 全体 オンラインサインアップ、クレジットカード決済に対応
1.0.4 2019/10/30 全体 CSIRTプランを追加、対応OS更新
以降の変更はコミット履歴を参照
https://github.com/vuls-saas/legaldocs/commits/master/service-specification.txt
● 本書の知的財産その他一切の権利は、フューチャー株式会社(以下「当社」といいます。)に帰属します。本書の全部又は一部について、当社からの許諾を得ずに、いかなる方法においても無断で複製・改変等をすることは禁じられています。
● 「FutureVuls」は、当社の登録商標です。その他、本書に使用されている商標は、当社又は他社の登録商標若しくは登録出願中の商標です。
1. サービスの概要
FutureVulsサービス(本サービス等)は、インターネット経由で利用できる、脆弱性の検知及び検知した脆弱性の可視化から脆弱性対策の運用・管理までを支援するFutureVulsクラウドサービスとこれに付随するサポートサービス及びコンサルティングサービスから構成される総合サービスです。
1.1. FutureVulsクラウドサービス
1.1.1. 基本機能サービス
1.1.1.1. システム脆弱性スキャン機能
Linuxサーバ、Windowsサーバ用のスキャナプログラム等を提供します。スキャナプログラムをインストールしたサーバで脆弱性のあるLinuxOS管理パッケージ、またはWindowsUpdate管理ソフトウェアを抽出し、検知結果を脆弱性検知結果マネジメントダッシュボードへ連携します。
1.1.1.2. 脆弱性検知結果マネジメントダッシュボード
スキャン機能により連携された結果を元に、脆弱性、検知サーバなどを可視化したマネジメントダッシュボードを提供します。
1.1.1.3. 脆弱性検知結果タスク管理機能
検知した脆弱性を脆弱性ID(CVE-ID)をキーにしてタスクチケット化し、脆弱性対策の運用タスクとして管理できる機能を提供します。
1.1.1.4. グループ・ユーザ管理機能
サーバをグループ単位で管理することで円滑な管理が行えます。また、グループにユーザーを紐付け、操作権限を設定・管理することで閲覧範囲の分離ができます。
1.1.1.5. 通知機能
新しく脆弱性を検知した場合や、脆弱性検知結果タスクへの担当者のアサインなどのイベント発生時、指定された電子メールアドレスへ自動的に通知を行います。
1.1.2. オプション機能サービス
オプション機能サービスは、以下に定めるオプション機能のうち、お客様の業務等に応じて「1.1.1.基本機能サービス」に組み合わせて、お客様が追加で選択した機能を利用することができるサービスです。(オプション機能サービスの利用をご希望の場合、当社へご相談(https://vuls.biz/)ください。)
【オプション機能】
・有償データベース利用
有償の脆弱性データベースを利用することが可能となるサービスです。有償脆弱性データベースを利用することで、脆弱性を発見後、より早く検知することが可能となり、検知範囲も広がります。また攻撃コードの有無、緩和策などの情報についてもご利用いただけます。
・CSIRT*プラン
CSIRTなどのセキュリティ部門担当者向け機能を含むプランのサービスです。検知した脆弱性を複数グループで横断的に管理する機能を含みます。またCSIRTと運用チームが連動して脆弱性を管理する機能や、自動タスク管理機能があるため、大規模環境でも効率的に脆弱性管理が可能となります。
*CSIRT:シーサート、Computer Security Incident Response Teamの略。企業や行政機関などに設置される組織の一種で、コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織のことを言う。
1.2.環境準備提供サービス
環境準備提供サービスは、お客様ご自身でインターネットを利用できる端末から、「1.1.FutureVulsクラウドサービス」に定める機能サービスを利用するための環境設定に必要となる以下をご提供するサービスです。なお、「1.4.1.初期導入支援サービス」に係る契約の締結その他当社と特段の合意をした場合を除き、環境設定はお客様ご自身で行うものとします。
<スキャナプログラム等>
・スキャナプログラム(実行可能バイナリ)
・スキャナインストーラ
・導入マニュアル
1.3.サポートサービス
サポートサービスとは、FutureVulsクラウドサービスに付随して提供される「標準サポートサービス」と標準サポートサービスに加えて、高度なサポートを提供する「オプションサポートサービス」の総称をいいます。
1.3.1.標準サポートサービス
標準サポートサービスは、以下に定める標準のサポートサービスを提供するものです。
➢ アップデートモジュール、対応OSバイナリの提供
➢ 問い合わせ対応
● 下記に関する内容のお問い合わせの受付け
➢ FutureVulsに関する一般的な使用方法に関する内容
➢ FutureVulsに起因する不具合に関する内容
※お問い合わせは、https://vuls.biz/ 上の「お問い合わせ」フォームにて承ります。
※お問い合わせへの対応・回答は努力義務とします。
1.3.1.1.問い合わせ対応(概要)
項目 内容
対応件数 無制限
問い合わせ受付時間 平日9:00~17:00(土日祝日、年末年始(12月30日から1月4日)、当社指定休業日を除く)
初期対応時間 問い合わせ日から2営業日以内
問い合わせ方法 電子メール、またはチャット
1.3.1.2.問い合わせ対応(詳細)
● 問い合わせ内容
以下の内容に関する問い合わせを受け付けます。
・インストール方法
・一般的な操作・設定
・機能案内
・エラー解析
・FutureVulsクラウドサービスの障害
● 問い合わせ対応の終了条件
○ 問い合わせ対応は、以下の何れかの場合をもって終了するものとします。
○ 当社が、お客様の問い合わせ事項に対して回答した場合
○ 当社が、問い合わせ対応の対象外であることをお客様に連絡した場合
○ お客様が、問い合わせ対応の依頼を取り下げた場合
● 初期対応時間
お客様からの問い合わせに対して、「1.3.1.1.問い合わせ対応(概要)」の「初期対応時間」に定めた期間内に一次回答を行います。一次回答とは、お客様のご契約内容と問い合わせ内容を確認の上、問い合わせを承ったことをご連絡するものです。
1.3.1.3.標準サポートサービス提供条件
標準サポートサービスの対象となる範囲は、FutureVulsクラウドサービスとします。従いまして、当社以外の第三者により開発、又は製造された製品(ハードウェア、ファームウェア、ソフトウェア、オペレーティングシステム、データベースシステム又はケーブル等)、当社が開発したものを含むミドルウェア、プラグインソフトウェア、ハードウェア又はネットワーク等は標準サポートサービスの対象から除かれます。
➢ 標準サポートサービスではコンピュータ(サーバ)の再起動に伴う復旧対応等、インフラサービス事業者に起因する障害の復旧対応は含みません。
➢ 標準サポートサービスの対応に際して、対応に必要な範囲で、お客様が保持するバックアップデータやオペレーション履歴等をご提供いただく場合があります。
➢ 標準サポートサービスの提供は、スキャナプログラムが最新のバージョンであることを条件とします。
➢ 当社が公開又は提供しているドキュメント等に記載されていない製品の内部仕様や実装の詳細についてはお答えしかねる場合がございますので予めご了承ください。
➢ 当社所定のシステム要件を満たさない環境での動作保証及び障害の調査は致しかねます。当社所定のシステム要件に関する情報は本仕様書「3. FutureVulsクラウドサービスの動作環境等」をご確認いただくようお願いいたします。
➢ FutureVulsクラウドサービスを使った脆弱性検知システムの設計・提案、運用設計、アセスメントなど、コンサルティング要素を含むご質問については、当社標準サポートサービスでは対応致しかねます。当社担当(窓口)までご相談ください。
➢ パフォーマンス、サイジングに関するお問い合わせは標準サポートサービスでは対応致しかねます。当社担当(窓口)までご相談ください。
➢ 標準サポートサービスでは他社製ソフトウェアとの比較に関する情報は提供しておりません。
➢ 「FutureVulsご利用ガイド」、及びその他当社提供のドキュメント等に記載されていない設定変更などに関しては、動作保証は致しかねます。
➢ スキャナプログラムの変更、個別のお客様向けのカスタマイズは行っておりません。
1.3.2.オプションサポートサービス
オプションサポートサービスとは、標準サポートサービスよりも上位のサポートレベルを必要とするお客様に対して、当社との間で事前に実施条件を協議の上、提供します。内容につきましては当社担当(窓口)までご相談ください。
1.4. コンサルティングサービス
コンサルティングサービスは、以下のとおりです。
1.4.1.初期導入支援サービス
初期導入支援サービスは、FutureVulsクラウドサービスによる脆弱性検知の対象サーバの設定、設計、導入支援まで、一貫して行うサービスです。初期導入支援サービスとして提供されるサービス内容は以下のとおりです。
①環境調査
②脆弱性検知対象の決定支援、絞り込み
③スキャナプログラムのインストール
④動作確認
1.4.2. 初期導入定着支援サービス
初期導入定着支援サービスとして提供されるサービス内容は以下のとおりです。
①FutureVulsクラウドサービスの特徴、基本的な導入手順、操作手順の説明
②運用フローの整備支援
2. 利用料金
利用料金は以下のとおりです。
2.1. FutureVulsクラウドサービス
※本項に記載の金額には消費税等は含まれておりません。
当月の利用料金に対して消費税等を加算した額を請求します。
なお、消費税等については、最新の法令に基づく税率が適用されるものとし、1円未満の端数が発生する場合には、切り捨てとします。
2.1.1. 基本機能サービス
単価 :月額金4,000円(消費税等別途)/ホスト
※大規模導入の場合は、大規模環境向けの機能を追加したCSIRTプランをお勧めします。別途ご相談下さい。
2.1.1.1. 請求単位
基本機能サービスの利用料金は、当月の利用ホスト数(1OS 又は1コンテナ毎)に前「2.1.1.基本機能サービス」記載の月額単価を乗じた金額となります。
※当月の利用ホスト数は、以下の計算式により算出されます。なお、小数点以下の端数は切り上げるものとします。またFutureVulsポータルサイトより「グループ」を複数作成している場合は、「グループ」毎に以下の計算及び小数点以下の端数切り上げを行った上で、各グループのホスト数を合算して集計します。
(当月の1日*1間における利用ホスト数の最大値の和)/当月の初日から末日までの日*2
*1.1日の定義:協定世界時(UTC):0:00~23:59
*2.月中に本契約を締結した場合においても、当月の初日から末日までの利用ホスト数を算出のうえ、利用料金を算定いたします。
2.1.2. オプション機能サービス
・有償データベース利用
お客様・当社間で本契約にて合意した利用料金となります。
※利用料金は、利用するシステム規模に依りますので、事前に当社担当(窓口)にご相談下さい。
・CSIRTプラン
お客様・当社間で本契約にて合意した利用料金となります。
※利用料金は、利用するシステム規模に依りますので、事前に当社担当(窓口)にご相談下さい。
2.2. サポートサービス
2.2.1. 標準サポートサービス
FutureVulsクラウドサービスの利用料金に含まれます。
2.2.2. オプションサポートサービス
お客様・当社間で本契約にて合意した作業料金となります。
※作業料金は、ご希望のサポート内容に依りますので、事前に当社担当(窓口)にご相談下さい。
2.3. コンサルティングサービス
お客様・当社間で本契約にて合意した作業料金となります。
3. FutureVulsクラウドサービスの動作環境等
お客様は、以下に定める環境で利用する場合に限り、FutureVulsクラウドサービスを利用することができるものとします。
3.1. インターネット接続
FutureVulsクラウドサービスは、インターネットへの接続環境を前提に提供しています。またサーバからの接続においては次のネットワークポートを使用しています。
ポート番号:80 インストール操作時にスキャナインストーラ及びスキャナプログラムのダウンロードに使用します。
ポート番号:443 スキャン結果のアップロード時に使用します。
FutureVulsクラウドサービスのサイト閲覧時に使用します。
3.2. 対応OS
FutureVulsクラウドサービスによる脆弱性スキャンが可能なOSは以下のとおりです。スキャナプログラム等は以下の環境において動作させるものとします。
・Red Hat Enterprise Linux 6 (32bit/64bit)
・Red Hat Enterprise Linux 7 (64bit)
・Red Hat Enterprise Linux 8 (64bit)
・CentOS 6 (32bit/64bit)
・CentOS 7 (64bit)
・CentOS 8 (64bit)
・Amazon Linux 最新AMI (64bit)
・Amazon Linux2 最新AMI (64bit)
・Debian 8 (32bit/64bit)
・Debian 9 (32bit/64bit)
・Debian 10 (32bit/64bit)
・Ubuntu 16.04 LTS (32bit/64bit)
・Ubuntu 18.04 LTS (64bit)
・Ubuntu 20.04 LTS (64bit)
・Windows Server 2012 (64bit)
・Windows Server 2012R2 (64bit)
・Windows Server 2016 (64bit)
・Windows Server 2019 (64bit)
・Windows 8 (32bit/64bit)
・Windows 8.1 (32bit/64bit)
・Windows 10 (32bit/64bit)
3.3. 対応ブラウザ
FutureVulsクラウドサービスへのアクセス時に使用できるブラウザ環境は以下のとおりです。
・Google Chrome(最新版)
※ 上記以外のブラウザについては、現在正式対応しておりません。
3.4. スキャナプログラム
スキャナプログラムは常に最新バージョンをご利用ください。
機能追加、不具合修正に関するアップデート時は新バージョンのスキャナプログラムを提供します。
旧バージョンのスキャナプログラムに対する修正パッチの提供は行いません。
4. FutureVulsサービス申込方法・利用期間
https://console.vuls.biz/ よりオンラインでお申し込みください。
・利用期間
お申込みの日からオンラインで解約した日まで
5. ご請求・お支払
・クレジットカード払い
利用料金等の算定期間 :当月 1 日~末日
請求日 :ご利用のクレジットカードの引き落とし日
支払方法 :クレジットカード払い
大規模利用のお客様は請求書払いも可能です。請求書払いをご希望の場合は事前に当社までお問い合わせください。CSIRTプランのお客様は請求書での年間一括払いとなります。
・CSIRTプラン請求書払い
利用料金等の算定期間 :申し込み翌月1日~12ヶ月後の末日
請求日 :申し込み翌月 5営業日
支払期日・支払方法 :請求書発行月の翌月末日までに当社指定の銀行口座に振込にてお支払ください。
※CSIRTプランについて、お客様の都合により利用期間中に当該プランに係る契約を途中解除された場合は、お客様にお支払い済みの利用料金の全部又は一部を返金することはいたしません。
6. 契約終了後について
本契約を終了した場合、本契約終了前にFutureVulsクラウドサービスに蓄積・保存されたデータ等は初期化されます。再度、当社と契約のうえFutureVulsクラウドサービスの利用を再開した場合でも、本契約終了前のデータ等を復元することはできません。
7. サービスレベル目標(SLO)
FutureVulsクラウドサービスは、以下のサービスレベルを努力目標として定め、運用しています。
● サービス時間
24時間365日(本契約第15条に基づく中断・定期保守・計画停止を除く)
● メンテナンスの予定時間
約2週間に1度のペースでバージョンアップを実施しています。メンテナンス日時は3営業日前を目安に事前にFacebook、Twitter、又はポータルサイト上にて告知します。
● アップグレード方針
当社判断により、必要に応じ適宜実施します。
● 障害通知時間
異常検出後、30分以内を目標にFacebook、Twitter、又は電子メールにて通知をする予定です。
● 障害監視間隔
1~10分
8. ご利用上の制限及び注意事項
● 常時多量のスキャンデータをFutureVulsクラウドサービスにアップロードするお客様に対しては、事前予告無く通信を制限又は遮断することがあります。
● FutureVulsクラウドサービスのハードウェア及びソフトウェアは必要に応じて変更することがあります。
9. その他
● 資料の提出、立入検査等、お客様における監査等のための依頼には対応しないものとします。
● 別途契約を締結する場合を除き、お客様の要望にあわせた個別機能の追加は実施しないものとします。
● お客様の消失したデータの復旧サービスは提供していません。
● アクセスログ、操作ログ、エラーログなどのログの開示、提供はいたしません。
以上