NEC、CVE Numbering Authority(CNA)としての活動を開始
日本電気株式会社
NECは、国内では数少ないCVE(Common Vulnerabilities and Exposures, 注1)採番機関であるCNA(CVE Numbering Authority, 注2)となりました。
これにより、NECグループにて発見および社外から報告を受けた脆弱性に対して、自ら識別子(CVE ID)を付与することが可能となり、自社製品・サービスの脆弱性対応のさらなる迅速化を図ることができます。
近年、報告される脆弱性は急激に増加しており、2020年にCVE Listに登録された脆弱性情報は、17,000件以上になります。日々新しく発見される脆弱性への対応のために、正確かつ迅速な脆弱性情報の特定、公開が求められています。
NECグループでは、2002年7月にPSIRT(注3)を設置し、「情報セキュリティ早期警戒パートナーシップ(注4)」にも発足当初から参加するなど、脆弱性情報の収集、影響範囲の調査、自社の製品・サービス開発部門と連携した対策準備、お客様や関係団体・企業への情報公開など、NECグループ製品に影響のある脆弱性への対策に取り組んできました。
このたび、長年にわたる脆弱性対応の活動が定着し、国際的な活動をさらに拡大するために、Root CNA(注5)である一般社団法人JPCERTコーディネーションセンター(以下、JPCERT/CC, 注6)の招致を受けCNAとなることといたしました。これにより、脆弱性情報開示の透明性を高め、円滑な流通・対策普及に、より一層寄与してまいります。
NECは今後も、CNAとしての活動を通して、新たな脆弱性の検知、迅速な対応を進めることで、安全・安心な社会の実現に貢献していきます。
なお、本発表にあたり、JPCERT/CCより以下のエンドースメントを頂戴しております。
”CNAコミュニティへようこそ。CNAの活動やCVD(Coordinated Vulnerability Disclosure)の重要性に共感し、ともに役割を果たすことができる仲間を得られたことは、大変嬉しく、心より歓迎いたします。CNAの機能を備えたPSIRTとして、さらなる活躍を期待しています。脆弱性情報流通のより一層効果的な取り組みを進めてまいりましょう。”(JPCERT/CC)
以上
(注1)米国MITRE 社が管理運営を行っている、一般公表されている脆弱性情報を掲載している脆弱性情報辞書(データベース)。世界各国の製品開発企業、セキュリティ関連企業、調整機関等が広く利用。脆弱性情報を一意に識別するためにCVE番号を割り当て登録される。
(注2)脆弱性に対して、CVE番号を割り当てる組織(https://www.jpcert.or.jp/vh/cna.html)
(注3) Product Security Incident Response Teamの略。お客様に提供する製品・サービスの脆弱性に起因するリスクに対応する組織
(注4)ソフトウェア製品及びウェブアプリケーションに関する脆弱性関連情報の円滑な流通、および対策の普及を図るため、公的ルールに基づく官民の連携体制(https://www.ipa.go.jp/security/ciadr/partnership_guide.html)
(注5)CNAの勧誘・招致およびトレーニング、管理等を行う組織。2021年5月時点は、MITRE社、CISA ICS、JPCERT/CCの3組織のみ
(注6)インターネットを介して発生するコンピューターセキュリティインシデントに関する情報の収集・分析・対応支援などをはじめ、国際連携が必要なオペレーションや情報連携に関する日本の窓口CSIRTとして活動する中立組織(https://www.jpcert.or.jp/)
本件に関するNECのセキュリティブログ記事
https://jpn.nec.com/cybersecurity/blog/210423/index.html
<本件に関するお客様からのお問い合わせ先>
NEC サイバーセキュリティ戦略本部
E-Mail:info@cybersecurity.jp.nec.com
<NECグループ製品の脆弱性に関するお問い合わせ>
https://jpn.nec.com/security-info/policy.html
英文については、こちらから参照ください。
https://jpn.nec.com/cybersecurity/efforts/index.html#anc-efforts02