WordPress Plugin コアは無料、プレミアムはライセンス制 v1.0.0
CRA Vulnerability Monitor

WordPressのためのサイバーレジリエンス法対応

WordPressのサイバーレジリエンス法(Cyber Resilience Act)対応:CycloneDX SBOMを作成し、脆弱性を監視し、監査担当者が求めるドキュメントをwp-adminから出力できます。

WordPress 6.0+ PHP 7.4+

WordPressにとってのCyber Resilience Actの意味

EUのサイバーレジリエンス法(Cyber Resilience Act)は、デジタル要素を持つ製品を市場に出すすべての者に対し、自社のソフトウェアが何で構成されているかを把握し、脆弱性を追跡し、それを証明できることを求めています。WordPressサイトにとっては、実際の部品表、継続的な脆弱性監視、そしてそれを裏付ける書類を意味します。

不適合は高くつきます。 サイバーレジリエンス法(Cyber Resilience Act)は、最大1,500万ユーロ、または企業の全世界年間売上高の2.5%のいずれか高い方の制裁金を科すことを認めており、当局は不適合な製品をEU市場から排除することができます。

CRA Vulnerability Monitorは、そのすべてをwp-adminに集約します。 無料コアは、完全なコンポーネントインベントリを作成し、標準準拠のCycloneDX SBOMをエクスポートし、サイバーレジリエンス法(Cyber Resilience Act)が求めるCSAF/VEXアドバイザリとEU適合宣言書を、すべてお客様自身のサーバー上で生成します。ライセンスを追加すると、プラグインはお客様のコンポーネントをNational Vulnerability Database(NVD)、OSV.dev、Wordfence Intelligenceと継続的に照合し、CVSS、EPSS、CISA KEVのシグナルでスコア付けし、ご利用中のものが脆弱になった瞬間に通知し、それらの文書を実際の検出結果で埋めます。

プレミアムの脆弱性データは当社のサーバー上で照合されるため、サードパーティのAPIキーやスキャン用認証情報がGPLプラグイン内に同梱されることは一切ありません。お客様のインベントリが送信され、補強された検出結果が返ってきます。コンテンツ、ユーザー、訪問者に関するものは一切関与しません。

EUサイバーレジリエンス法への対応をWordPressサイトにもたらす最速の方法です。当社の他のWordPressプラグインもぜひご覧ください。あるいは、対応を当社にお任せいただきたい場合は、WordPressセキュリティサービスをご覧ください。

コアは無料、これからも無料です

コンポーネントインベントリ、CycloneDX SBOM、WP-CLI、そしてCSAF/VEXおよび適合宣言書は、お客様自身のサーバー上でGPLライセンスのもと、アカウント不要で動作します。ライセンスを追加すると、ライブの脆弱性データとアラートがその上に加わります。

ライセンスこそが、文書を実際の保護へと変えるものです

無料コアは書類を一度だけ作成します。ライセンスは監査と監査の間もお客様を守り続けます。すべてのプラグイン、テーマ、コアをNational Vulnerability Database(NVD)OSV.devWordfence Intelligenceと照合する毎日の自動スキャン、CVSS、EPSS、CISA KEVのシグナルによるスコア付け、そしてご利用中のものが脆弱になった瞬間に届くメール、Slack、Webhookによるアラートを提供します。

ライセンス料金を見る

ライセンスで利用できるもの

無料コアのすべての機能に加えて、継続的で強化された脆弱性インテリジェンスとアラートを提供します。

機能無料プレミアム
コンポーネントインベントリ(プラグイン、テーマ、コア、must-use、ドロップイン)
推移的依存関係を含むCycloneDX 1.6 SBOMのエクスポート
インベントリおよびSBOM向けのWP-CLIコマンド
プラグインおよびテーマのヘルスチェックとファイル整合性チェック
コンプライアンス文書:CSAF / VEX、適合宣言書、SECURITY.md
コンプライアンスレポートのエクスポート(コンポーネント別ステータス、修正までの時間)
継続的な脆弱性スキャン(CVEマッチング)
深刻度、EPSS、CISA KEVシグナルを備えたリスクダッシュボード
自動アラート:メール、Slack、Webhook、定期ダイジェスト
毎日のスケジュールスキャンと設定可能なしきい値
コンプライアンス活動の監査ログ

ライセンスを選択

どちらのプランにもプレミアム機能一式がすべて含まれます。運用しているサイト数に応じてお選びください。

最もお得

エージェンシー

最大100サイト
$9,900 $899 / 年 91%オフ

シングルサイトライセンス100件との比較

  • シングルサイトプランのすべての機能
  • 1つのキーで最大100サイトに有効化
  • 1サイトあたり年間およそ$9
  • 優先メールサポート
  • 年単位で更新、いつでも解約可能
エージェンシーライセンスを購入
Stripeによる安全なお支払い ドメイン単位でのライセンス 年単位で更新、いつでも解約可能

主な機能

完全なコンポーネントインベントリ

すべてのプラグイン、テーマ、WordPressコア、must-useプラグイン、ドロップインを、名称、スラッグ、バージョン、提供元とともに記録します。あらゆるCRA適合文書の基盤となります。

標準準拠のSBOM

PURL識別子と推移的依存関係を含むCycloneDX 1.6のソフトウェア部品表(SBOM)を生成します。監査担当者への提出や適合宣言書への添付にすぐ使えます。

脆弱性監視

お客様のインベントリは当社のサーバー上でNational Vulnerability Database(NVD)、OSV.dev、Wordfence Intelligenceと照合され、CVSS深刻度、EPSSによる悪用確率、CISA KEVステータスで補強されます。サードパーティのAPIキーがプラグインに同梱されることはありません。

自動アラート

ご利用中のコンポーネントが脆弱になった瞬間に、メール、Slack、Webhook、または定期ダイジェストで通知します。しきい値はお客様が制御できます。

監査対応ドキュメント

CSAF / VEXアドバイザリと適合宣言書を、ダッシュボードから直接エクスポートできます。これはサイバーレジリエンス法(Cyber Resilience Act)が実際に求める書類です。

コンプライアンス監査ログ

すべてのスキャン、エクスポート、判断は、フィルタリング可能で日付付きの監査証跡に記録されます。何をいつ把握していたかを示すことができます。

プライバシー・バイ・デザイン

サイトから外部に出るのは技術データのみです。脆弱性データの取得、コンプライアンス文書の生成、WordPress.orgとのファイル照合に使用するコンポーネントインベントリとプラグイン/テーマのスラッグだけです。投稿内容、ユーザーデータ、訪問者データが収集または送信されることはなく、サードパーティのAPIキーがプラグインに同梱されることもありません。

マルチサイトおよびCLI対応

マルチサイトネットワーク全体で動作し、すべてのサイトを集約したビューを提供します。インベントリからSBOM、スキャン、ポリシーゲートに至るコアタスクは、CIパイプライン向けにWP-CLIでスクリプト化できます。

3ステップで利用開始

無料コアをインストール

WordPressプラグインディレクトリからCRA Vulnerability Monitorをインストールするか、「プラグイン」→「新規追加」→「プラグインのアップロード」からZIPをアップロードします。他のプラグインと同様に有効化してください。

インベントリとSBOMを作成

wp-adminでCRAメニューを開きます。コンポーネントインベントリはすぐに利用でき、アカウント不要でCycloneDX SBOMをそのままエクスポートできます。

ライセンスを追加して監視を有効化

ライセンス画面でライセンスキーを貼り付けると、そのサイトの継続的な脆弱性スキャン、リスクダッシュボード、自動アラートが有効になります。

よくある質問

このプラグインを使えば、私のWordPressサイトはサイバーレジリエンス法(Cyber Resilience Act)に適合しますか?
本プラグインは、サイバーレジリエンス法(Cyber Resilience Act)がWordPressサイトに期待する中核的な技術的要素を提供します。完全なコンポーネントインベントリ、CycloneDXのソフトウェア部品表、継続的な脆弱性監視、そしてすぐにエクスポートできるCSAF/VEXおよび適合宣言書です。CRAへの完全な対応には、単一のプラグインを超えたプロセスや義務も含まれますが、本プラグインはWordPressに関する証跡と書類をカバーします。
EUサイバーレジリエンス法はWordPressに何を求めていますか?
サイバーレジリエンス法(Cyber Resilience Act、規則 (EU) 2024/2847)は、デジタル要素を持つ製品の製造者に対し、自社のソフトウェアが何で構成されているかを把握し、脆弱性を追跡・対処し、適合性を文書化することを期待しています。WordPressサイトにとっては、最新のSBOMを維持し、プラグイン、テーマ、コアの既知の脆弱性を監視し、監査対応の記録を保持することを意味します。これはまさに本プラグインが生成するものです。
プラグインは無料ですか?
はい。コアは無料で、WordPress.org上でGPL-3.0-or-laterのもとライセンスされています。コンポーネントインベントリ、CycloneDX SBOMのエクスポート、CSAF/VEX、SECURITY.md、EU適合宣言書、コンプライアンスレポートのエクスポート、プラグインおよびテーマのヘルス・整合性チェック、画面上のコンプライアンスダッシュボード、監査ログ、WP-CLIコマンドが含まれます。継続的な脆弱性スキャン、リスクダッシュボード、自動アラートにはプレミアムライセンスが必要です。そのライセンスこそが、無料の各文書を実際の脆弱性検出結果で埋めるものです。
ライセンスはどのように機能しますか?
1つのライセンスで1サイトを有効化でき、ドメインによって識別されます。プレミアム機能はライセンスが有効な間、利用できます。ライセンス画面または会員エリアから、ライセンスをサイト間で移動できます。
SBOMを生成するのにライセンスは必要ですか?
いいえ。コンポーネントインベントリ、CycloneDX SBOM、およびすべての文書エクスポート(CSAF/VEX、SECURITY.md、適合宣言書、コンプライアンスレポート)は、お客様のサーバー上でローカルに実行され、完全に無料で、アカウントも不要です。ライセンスはライブの脆弱性データとアラートを追加します。スキャンが実行されるまで、各文書には脆弱性が記載されないだけです。
脆弱性データはどこから取得されますか?
お客様のインベントリはMecanik APIに送信され、米国のNational Vulnerability Database(NVD)、OSV.dev、Wordfence Intelligenceと照合され、CVSS、EPSS、CISA KEVのシグナルで補強された検出結果が返されます。投稿内容、ユーザーデータ、訪問者データが送信されることは一切なく、上流のAPIキーがプラグインに同梱されることもありません。
エージェンシーまたはマルチサイト向けのオプションはありますか?
はい。シングルサイトプランは1サイトをカバーし、エージェンシープランは1つのキーで最大100サイトを有効化します。100サイトを超える場合や特別なマルチサイト構成が必要な場合は、[email protected] までお問い合わせください。対応いたします。
動作要件は何ですか?
WordPress 6.0以降およびPHP 7.4以降です。プレミアム機能では、サイトがスキャンサービスに接続できるよう、api.mecanik.dev への送信方向のHTTPSが必要です。

関連記事

当社のガイドや関連するセキュリティサービスで、さらに理解を深めましょう。