テクニカルサポート

セキュリティ アドバイザリについての補足

このページの日本語による情報は、ページに含まれる各リンク先の英語原文の非公式な補足であり、英語原文との間で内容の齟齬のある場合は、英語原文が優先します。

セキュリティ脆弱性ポリシー

シスコは製品の脆弱性に関する情報を セキュリティ脆弱性ポリシーに基づき、重要なセキュリティ問題と考えられるものをセキュリティ アドバイザリとして公開します。

シスコは製品について報告された全ての脆弱性を評価する社内標準プロセスの一部として CVSS バージョン 2.0 を使用しており、各セキュリティ アドバイザリで基本評価(Base Score)および現状評価スコア(Temporal Score)を提供します。CVSS については、 Common Vulnerability Scoring System Q & Aもしくは 独立行政法人情報処理推進機構 外部リンクを開きますを参照してください。


Return to Top

Cisco PSIRT(Product Security Incident Response Team)の公開するセキュリティ情報の種類

1. セキュリティ アドバイザリ(Security Advisory)

CVSS スコアを含む社内標準プロセスに基づき、シスコ製品が直接対象となり、アップグレード、修正、その他のお客様のアクションが必要となる重要なセキュリティ問題と判定したものについての公開を行います。セキュリティ アドバイザリは Cisco.com に掲載され、カスタマー セキュリティ アナウンス リストや外部のメーリングリスト、ニュースグループに送信されます。

2. セキュリティ レスポンス(Security Response)

CVSS スコアを含む社内標準プロセスに基づき、ネットワーク セキュリティに影響するが相対的に深刻度が高くないと考えられる問題に対応する場合や一般のディスカッション フォーラムなどに投稿された情報に対してシスコからの応答が必要な場合に公開を行います。

公開を行うのは通常、以下の 2 つの場合です。

  • サードパーティの方、組織がシスコ製品に影響する脆弱性の報告や公開を行い、その問題が過去にシスコで標準公開プロセスに従い公開済みの場合、もしくはその問題の特性がシスコセキュリティ アドバイザリでの公開に適合しないもの

  • 他ベンダーの製品における重要なセキュリティ脆弱性が発見され、その製品との相互運用や不正利用によりシスコ製品に影響をおよぼす可能性のあるもの

セキュリティ レスポンスは、以前セキュリティ通知(Security Notice)の名称で公開を行っていたものです。

脆弱性の重要度、緊急性および対応の優先度は個々のネットワーク環境により異なります。シスコでは環境影響度を算出する CVSS 計算ツールを、以下のぺージにて提供しています。
Common Vulnerability Scoring System (CVSS) Online Calculator, version 2.0  新しいウィンドウを開きます


Return to Top

情報の配信について

1. Cisco.com

セキュリティ アドバイザリおよびセキュリティ レスポンスは、以下に掲載されます。
http://www.cisco.com/go/psirt

IOS に関するセキュリティ アドバイザリは上記に記載されているように毎年 3 月および 9 月の第 4 水曜日(UTC: 協定世界時、日本時間では翌木曜日)に公開を行います。標準プロトコルの実装に関わる問題などのため業界団体による調整が必要な場合や広範な攻撃が確認された場合、サードパーティによる脆弱性の公開などがある場合などはこの限りではなく、随時公開を行います。IOS についてのセキュリティ レスポンスおよび IOS 製品以外についてのセキュリティ アドバイザリとレスポンスについては随時公開を行います。

日本語版については、国内向け機器に関するセキュリティ アドバイザリの翻訳を随時 日本語版セキュリティ アドバイザリに掲載します。日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。また、IOS 製品に関する定例公開分以外について日本語版の掲載を行う場合があります。

2. E-mail(電子メール)

セキュリティ アドバイザリおよびセキュリティ レスポンスは、Cisco.com へ掲載すると共に、電子メールにてカスタマー セキュリティアナウンスリスト( cust-security-announce@cisco.com)の購読者へも配信されます。

この購読は、どなたでも可能です。購読のためには、購読を行う電子メールアカウントより cust-security-announce-join@cisco.com宛てに電子メールを送信してください(本文は不要です)。購読確認手順とポリシーが返信されますので、それを確認してください。

3.RSS フィード

セキュリティ アドバイザリおよびセキュリティ レスポンスは、Cisco.com の RSS フィードでも入手可能です。フィードの購読には Cisco.com へのユーザ登録は必要ありません。RSS フィードの購読に必要な情報は PSIRT RSS Feedで確認してください。

4.メーリングリスト/ニュースグループ

シスコの管理していない外部のメーリングリストやニュースグループへ投稿を行う場合、Cisco.com で公開するセキュリティ アドバイザリの情報配信(Distribution)にて投稿先を記載します。なお、公開内容に更新がある場合、メーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。最新の情報については Cisco Security Advisories and Responsesにて確認してください。


Return to Top

その他

セキュリティ アドバイザリのソフトウエアバージョンおよび修正(Software Versions and Fixes)において Vulnerable; contact TACと記載のある IOS トレインはハードウェアおよびソフトウェア定義に依存して複数のマイグレーション パスのあるものなどです。脆弱性に対する修正の適用された IOS リリースの内、ご使用のハードウェア、ソフトウェア定義で使用可能なものをご選択ください。マイグレーション パスについてご質問のある場合は、ハードウェア名とソフトウェア定義情報を添えて、サービス契約に基づきコンタクトいただくか、Cisco Technical Assistance Center(TAC)へ問い合わせください。アクセス権のあるお客様は Cisco Software Advisor ログインして下さい  新しいウィンドウを開きますをお使いいただくことも出来ます。

サードパーティによる脆弱性の公開などで、詳細な技術情報が不明の場合や修正バージョンが存在しない場合には、セキュリティ アドバイザリおよびレスポンスの Status of this Notice(この通知のステータス)を INTERIM として公開する場合があります。また、ステータスを FINAL とした後であっても重要な内容の変更がある場合は更新を行う場合があります。変更点は Revision History(更新履歴)で確認できます。なお、不具合の修正リリースはアドバイザリのステータスが FINAL となった後でも追加される場合がありますので、ご使用の IOS トレインについての修正情報がアドバイザリにない場合は Bug Search ログインして下さい  新しいウィンドウを開きますも併せて参照してください。


Return to Top