このページの日本語による情報は、ページに含まれる各リンク先の英語原文の非公式な補足であり、英語原文との間で内容の齟齬のある場合は、英語原文が優先します。
セキュリティ脆弱性ポリシー
シスコは製品の脆弱性に関する情報をセキュリティ脆弱性ポリシーに基づき、重要なセキュリティ問題と考えられるものをセキュリティ アドバイザリとして公開します。
シスコは製品について報告された全ての脆弱性を評価する社内標準プロセスの一部として CVSS バージョン 2.0(2009 年 8 月 12 日現在)を使用しており、各セキュリティ アドバイザリで基本評価(Base Score)および現状評価スコア(Temporal Score)を提供します。CVSS については、Common Vulnerability Scoring System Q & A もしくは独立行政法人情報処理推進機構 
(2009 年 8 月 12 日現在:CVSS のバージョンアップにより URL が変更になる場合があります。)を参照してください。
Cisco PSIRT(Product Security Incident Response Team)の公開するセキュリティ情報の種類
1. セキュリティ アドバイザリ(Security Advisory)
CVSS スコアを含む社内標準プロセスに基づき、シスコ製品が直接対象となり、アップグレード、修正、その他のお客様のアクションが必要となる重要なセキュリティ問題と判定したものについての公開を行います。セキュリティ アドバイザリは Cisco.com に掲載され、カスタマー セキュリティ アナウンス リストや外部のメーリングリスト、ニュースグループに送信されます。
2. セキュリティ レスポンス(Security Response)
CVSS スコアを含む社内標準プロセスに基づき、ネットワーク セキュリティに影響するが相対的に深刻度が高くないと考えられる問題に対応する場合や一般のディスカッション フォーラムなどに投稿された情報に対してシスコからの応答が必要な場合に公開を行います。
公開を行うのは通常、以下の 2 つの場合です。
- サードパーティの方、組織がシスコ製品に影響する脆弱性の報告や公開を行い、その問題が過去にシスコで標準公開プロセスに従い公開済みの場合、もしくはその問題の特性がシスコセキュリティ アドバイザリでの公開に適合しないもの
- 他ベンダーの製品における重要なセキュリティ脆弱性が発見され、その製品との相互運用や不正利用によりシスコ製品に影響をおよぼす可能性のあるもの
セキュリティ レスポンスは、以前セキュリティ通知(Security Notice)の名称で公開を行っていたものです。
脆弱性の重要度、緊急性および対応の優先度は個々のネットワーク環境により異なります。シスコでは環境影響度を算出する CVSS 計算ツールを、以下のぺージにて提供しています。
Common Vulnerability Scoring System (CVSS) Online Calculator, version 2.0 
情報の配信について
1. Cisco.com
セキュリティ アドバイザリおよびセキュリティ レスポンスは、以下に掲載されます。
http://www.cisco.com/go/psirt
IOS に関するセキュリティ アドバイザリは上記に記載されているように毎年 3 月および 9 月の第 4 水曜日(UTC: 協定世界時、日本時間では翌木曜日)に公開を行います。標準プロトコルの実装に関わる問題などのため業界団体による調整が必要な場合や広範な攻撃が確認された場合、サードパーティによる脆弱性の公開などがある場合などはこの限りではなく、随時公開を行います。IOS についてのセキュリティ レスポンスおよび IOS 製品以外についてのセキュリティ アドバイザリとレスポンスについては随時公開を行います。
日本語版については、毎年 3 月および 9 月の IOS 製品に関する定例公開分について原文の機械翻訳を簡易レビューしたものを日本語版 Security Advisory に掲載します。日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。また、IOS 製品に関する定例公開分以外について日本語版の掲載を行う場合があります。
2. E-mail(電子メール)
セキュリティ アドバイザリおよびセキュリティ レスポンスは、Cisco.com へ掲載すると共に、電子メールにてカスタマー セキュリティアナウンスリスト(cust-security-announce@cisco.com)の購読者へも配信されます。
この購読は、どなたでも可能です。購読のためには、購読を行う電子メールアカウントより cust-security-announce-join@cisco.com 宛てに電子メールを送信してください(本文は不要です)。購読確認手順とポリシーが返信されますので、それを確認してください。
3.RSS フィード
セキュリティ アドバイザリおよびセキュリティ レスポンスは、Cisco.com の RSS フィードでも入手可能です。フィードの購読には Cisco.com へのユーザ登録は必要ありません。RSS フィードの購読に必要な情報は PSIRT RSS Feed で確認してください。
4.メーリングリスト/ニュースグループ
シスコの管理していない外部のメーリングリストやニュースグループへ投稿を行う場合、Cisco.com で公開するセキュリティ アドバイザリの情報配信(Distribution)にて投稿先を記載します。なお、公開内容に更新がある場合、メーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。最新の情報については Security Advisories にて確認してください。
その他
セキュリティ アドバイザリのソフトウエアバージョンおよび修正(Software Versions and Fixes)において Vulnerable; contact TAC と記載のある IOS トレインはハードウェアおよびソフトウェア定義に依存して複数のマイグレーション パスのあるものなどです。脆弱性に対する修正の適用された IOS リリースの内、ご使用のハードウェア、ソフトウェア定義で使用可能なものをご選択ください。マイグレーション パスについてご質問のある場合は、ハードウェア名とソフトウェア定義情報を添えて、サービス契約に基づきコンタクトいただくか、Cisco Technical Assistance Center(TAC)へ問い合わせください。アクセス権のあるお客様は Cisco Software Advisor 
をお使いいただくことも出来ます。
サードパーティによる脆弱性の公開などで、詳細な技術情報が不明の場合や修正バージョンが存在しない場合には、セキュリティ アドバイザリおよびレスポンスの Status of this Notice(この通知のステータス)を INTERIM として公開する場合があります。また、ステータスを FINAL とした後であっても重要な内容の変更がある場合は更新を行う場合があります。変更点は Revision History(更新履歴)で確認できます。なお、不具合の修正リリースはアドバイザリのステータスが FINAL となった後でも追加される場合がありますので、ご使用の IOS トレインについての修正情報がアドバイザリにない場合は Bug Toolkit も併せて参照してください。