ワールドニュース

米国 ニュースリリース


最高技術責任者ジョン・スチュワートへのインタビュー:セキュリティ上の脆弱性が疑われる場合のシスコの対応策について

2006年7月31日

インターネットやプライベート ネットワーク向けにネットワーク機器を提供する世界最大手の企業として、シスコは、ハードウェアやソフトウェアの中でセキュリティ上の脆弱性が疑われるあらゆる箇所を特定・調査・対処するための包括的なプロセスを確立しています。シスコは1997年以来、セキュリティに対応するための正式なフレームワークを設け、お客様に尽くすことをあらゆるセキュリティ問題の包括的な目標として掲げています。News@Ciscoでは、製品にセキュリティ上の脆弱性があると疑われる場合のシスコの対応策について、企業安全対策プログラムを担当する最高技術責任者、ジョン スチュワート氏にインタビューを行いました。

製品にセキュリティ上の脆弱性の疑いがあると気づいたとき、シスコではどのように対応することになっているのですか。

ジョン・スチュワート:研究者や関係機関から、製品にセキュリティ上の脆弱性の疑いがあるという報告があると、その情報は直接Cisco Product Security Incident Response Team(PSIRT)に送られます。PSIRTは、セキュリティ専門のエンジニアを集めた極めて専門的なグループで、製品に脆弱性があると疑われる場合や、お客様のネットワークに脅威が迫っている場合など、深刻なセキュリティ問題に対処しています。PSIRTはまず、適正評価を行って、脆弱性や脅威が本当に存在するのかを検証し、情報が正しいものであるかどうかを確認します。次に、問題の根本原因を突き止めるための調査を行います。この調査では、脆弱性のあらゆる要因と影響の可能性を把握することが目標となります。このプロセスを経た後、PSIRTは、社内の他のエンジニアと協力して修正プログラムを開発し、検査、検討、再検査を徹底して行います。このプロセスが完了した時点で、お客様に告知し、修正プログラムの提供を開始することになります。

脆弱性についての情報公開は、「お客様に最善を尽くす」という最重要原則にもとづいて行なわれています。把握できている範囲では脆弱性がまだ悪用されていないことが前提ですが、脆弱性の問題が解決して、修正プログラムをお客様に提供できるようになってはじめて、業界に広く情報を公開しています。修正プログラムが開発される前にセキュリティ上の脆弱性について公表すれば、悪意のある存在につけこまれる隙を増やすだけであり、それは、ボクサーがガードを下げるようなものです。ネットワークの防衛機能が適切に配備されていなければ、お客様は大きな打撃を受けることになりかねません。ですから、シスコでは、脆弱性に関する発表は、お客様に修正プログラムを提供することができるようになった時点で行なうことにしています。深刻なセキュリティ上の脆弱性に関しては、研究者や関係機関と可能なかぎり協力して調査を行なうよう努めております。そのプロセスは、インフラストラクチャに関する重要な問題について連邦政府の指針を示し、政府や民間組織による関連事業の調整を行うために、大統領によって設置されたNational Infrastructure Advisory Council(国家インフラストラクチャ諮問委員会:NIAC)が定める、セキュリティ上の脅威に対処するためのフレームワークにしたがって進められています。

製品に潜むセキュリティ上の脆弱性を発見するために、シスコは、研究者をはじめとするセキュリティの専門家とどのように協力しているのですか。

ジョン・スチュワート:シスコは、情報技術の研究を行う関係諸機関と長年にわたって信頼関係を築いてきました。その関係は、大学や独立系コンサルタントから、ベンダー各社やFIRST(Forum of Incident Response and Security Teams)をはじめとするセキュリティ業界フォーラムにいたるまで、あらゆる組織や団体におよんでいます。PSIRTのスタッフは、日常的にこれらの機関と連絡を取っており、研究者から、セキュリティ上の脆弱性の疑いについて連絡を受けると、シスコはその研究者と協力して、問題の検証と修正プログラムの開発に全力で取り組みます。そして、先にも述べましたが、問題が解決し、情報が公開されれば、その発見者の功績にしかるべき評価を与えることにやぶさかではありません。

業界のマスコミの間では、シスコ製品のセキュリティ上の問題を公表しようと考える研究団体や研究者らに対して、シスコが対立的な態度をとっているとの憶測が飛び交っています。しかし、我々と仕事をした経験のあるセキュリティの専門家に聞いていただければ、シスコがいかにオープンで積極的かつ協力的な関係を研究団体と築いているかがおわかりいただけるでしょう。我々は、常に研究者にフィードバックを求め、実際に数々のフィードバックを受け取っているほか、シスコに協力していただきやすい環境づくりに精一杯努めています。先にも申し上げましたが、当社の行動はすべて、いかにお客様に最善を尽くすことができるかということが基準になっています。研究者がセキュリティ上の脆弱性についてシスコとは関係なく独自に公表したいと考えるのであれば、我々はそれを尊重しなければなりません。ただ、シスコでは、シスコの知的財産に関して、研究者が独自に発見したのであれ、セキュリティ問題についてシスコと協力するなかで知り得たのであれ、特定のセキュリティ問題に対処するのに相応しくない、あるいは必要でない情報が公表されることを非常に危惧しています。PSIRTは、1995年に活動を開始し、セキュリティ上の脆弱性に関して年間30~50件の問題を扱っており、これまでに何度も研究者と協力してセキュリティ上の脆弱性に対処し、お客様を守ることに成功した実績を持っています。

シスコの製品や、シスコの機器が使用されているネットワークに、セキュリティ上の脆弱性があると疑われる場合、シスコにどのように連絡すればよいのですか。

ジョン・スチュワート:深刻なセキュリティ問題については、Cisco Product Security Incident Response Team(PSIRT)が唯一の窓口となっています。お客様や研究者、ベンダー各社を問わず、どなたでもPSIRTにご連絡いただくことができます。PSIRTの電話番号や電子メール、その他の連絡方法については、当社のウェブサイトに掲載されておりますので、http://www.cisco.com/securityの「Cisco Product Security(シスコ製品セキュリティ)」のリンクをクリックしてご確認ください。ウェブサイトでは、お問い合わせ先や脆弱性の疑いに関する情報のほか、ネットワーク セキュリティの問題に対処するための体系的なプロセスについても概要をご説明しています。

シスコ製品で構成されたネットワークのセキュリティに関する一般的な問題については、技術サポート サービスを提供しているシスコのTechnical Assistance Center(TAC)にお問い合わせください。経験豊富なTACのエンジニアが、お客様が抱えるセキュリティ問題について評価するお手伝いをいたします。TACは、PSIRTと緊密に協力しており、TACのスタッフでは対処できないと判断した場合は、PSIRTに連絡しています。

シスコ製品のセキュリティ上の脆弱性に関する最新の情報は、どうすれば入手できますか。

ジョン・スチュワート:それにはいくつか方法があります。シスコでは、シスコ製品に直接かかわるセキュリティ問題については「セキュリティ アドバイザリ」を発行し、修復や修正など、お客様に何らかの対策をとっていただくようお願いしています。また、ネットワークの安定性にかかわる一般的な問題を緩和するための提案を行なったり、公開フォーラムに掲載された情報に対して何らかの対応が求められる場合には、「セキュリティ レスポンス」を発行しています。そしてさらに、セキュリティ関連の「フィールド ノーティス」やその他重要なセキュリティ情報を電子メールでお客様にお送りしています。これらの方法やネットワーク セキュリティに関する詳細については、シスコのウェブサイトをご覧ください。シスコではさらに、ご契約のお客様にセキュリティ ソフトウェア アップデートをお送りしているほか、状況に応じて、その他のサポートをお客様に提供しています。セキュリティ上の脆弱性についてPSIRTが提供する情報はすべて、シスコのウェブサイト(http://www.cisco.com/securityおよびhttp://www.cisco.com/go/psirt)でご覧いただけます。

セキュリティ上の脆弱性が疑われる場合の対策として、シスコでは他にはどんな手段を講じていますか。

ジョン・スチュワート:シスコは常に、業界で最高の品質を誇る製品の開発に努めています。そして、我々がそれを成し遂げてきたことは、シスコの成功が示しています。しかし、どんな企業や人間もそうであるように、シスコも決して間違いを犯さないというわけではありません。我々はみな間違いを犯します。シスコがセキュリティ上の脆弱性に対する対応策をこれほど広範囲にわたって定めているのは、我々がその事実を認識していることの証に他なりません。とはいえ、シスコは、すべてのお客様がそうであるように、セキュリティの問題は少なければ少ないほどよいと考えています。ネットワーキングのさまざまな側面の中でも、セキュリティはお客様の最大の関心事だといってよいでしょう。したがって、我々は、この問題に関してエンジニアリングの知識を結集し、製品を一般にリリースする前に、製品の設計から開発、テスト、再テストにいたるまで、徹底して取り組んでいます。シスコはまた、セキュリティに対してシステムベースの多層的かつ総合的なアプローチをとることによって業界をリードするとともに、ネットワークベースの攻撃や犯罪に対するより効果的で新しいツールの開発を常に行っています。そして、最終的には、お客様と緊密に協力し、世界で最も安全なネットワークを実現するためにお客様が必要とされる製品を提供していきたいと考えています。お客様をはじめとする何百万人もの人々が、日々、シスコのネットワークをご利用になっています。我々はその責任を非常に重く受けとめているのです。

▲Return to Top

お問い合わせ