シスコは、Cisco Security Portal サイトに含まれる正式な情報を英語でのみ提供しています。 このページの日本語による情報は Security Vulnerability Policy ページの非公式な補足であり、英語原文との間で内容の齟齬のある場合は、英語原文が優先します。
目次
セキュリティ脆弱性情報の配信
セキュリティ リスクの評価:共通脆弱性評価システムとセキュリティ影響評価
サードパーティ製ソフトウェアの脆弱性
セキュリティ開示の種類
コミュニケーション プラン
情報開示スケジュール
Cisco Product Security Incident Response Team
Cisco Product Security Incident Response Team(PSIRT)は、シスコの製品とネットワークに関係するセキュリティ脆弱性情報の収集、調査、およびレポートの公開を管理する専門のグローバル チームです。
セキュリティ脆弱性情報の配信
Cisco PSIRT は、シスコのセキュリティ脆弱性情報を以下の複数の方法で配信しています。
|
Cisco.com |
http://www.cisco.com/security/ https://sec.cloudapps.cisco.com/security/center/publicationListing.x |
|
電子メール |
cust-security-announce@cisco.com |
|
RSS |
|
|
Cisco PSIRT openVuln API |
|
|
Cisco Notification Service |
https://www.cisco.com/c/en/us/support/web/tools/cns/notifications.html |
Cisco.com
Cisco.com のCisco Security Portal では、Cisco Security Advisory(日本語訳)などのシスコのセキュリティ脆弱性関連ドキュメントと、関連するセキュリティ製品およびサービスを含むシスコのセキュリティ機能の情報を提供しています。
電子メール
セキュリティ影響評価が「緊急」および「重要」のセキュリティ脆弱性に関する情報は PSIRT PGP キー 
によってクリア署名され、cust-security-announce@cisco.com メーリング リストに配信されます。
電子メールで配信されるのは、セキュリティ影響評価が「緊急」および「重要」のセキュリティ脆弱性に関するシスコ セキュリティ アドバイザリの初版リリースと、それの大幅な改訂情報のみです。ドキュメントに小規模な改定があった場合、更新は Cisco.com に反映されますが、電子メール メッセージは送信されません。小規模な更新の自動通知を必要とするお客様は、シスコのセキュリティ アドバイザリ Really Simple Syndication(RSS)フィード、または Cisco Notification Service に登録する必要があります。
cust-security-announce@cisco.com メーリング リストの購読手順は以下です。
- cust-security-announce-join@cisco.com に電子メールを送信します(メッセージの内容は問いません)。
- 購読確認のメールが cust-security-announce-request@cisco.com より送信されますので、内容を確認の上、サブジェクトを変更せずに返信を行ないます(メール本文の編集は必要ありません)。
- 購読手続きの完了を通知するメールが送信されます。このメールには購読オプションなどの変更に必要なパスワードが記載されていますので、大切に保管してください。
メーリング リストの購読解除やオプション変更手順は以下です。
- 登録に用いたメールアドレスから cust-security-announce-request@cisco.com 宛にサブジェクトに help とだけ記載したメールを送信します。
- メーリングリストの操作について説明したメールが返信されますので、記載された URL へアクセスするか、行いたい操作に応じたコマンドを記述したメールを送信します。
- 購読解除は、cust-security-announce-request@cisco.com 宛にサブジェクトに unsubscribe とだけ記載したメールを送信し、確認メールに対してブジェクトを変更せずに返信することでも行えます。
これらの操作は、cust-security-announce@cisco.com リスト自体ではなく、cust-security-announce-join@cisco.com または cust-security-announce-request@cisco.com に送信する必要がありますのでご注意ください。
登録・解除・変更操作は、購読メールアドレスからのメール送信によって行なう必要があります。別のメールアドレスを用いた操作は行なえません。
RSS フィード
シスコのセキュリティ脆弱性情報は、Cisco.com の RSS フィードからも入手可能です。これらフィードは無償で入手でき、Cisco.com への登録も不要です。RSS フィードへの登録方法については、Cisco Security RSS Feeds page を参照してください。
Cisco PSIRT openVuln API
Cisco PSIRT openVuln API は、シスコのセキュリティ脆弱性情報を機械処理可能な形式で配信する RESTful API です。この API へのアクセス方法と使用方法については、Cisco DevNet Web サイトの PSIRT page を参照してください。
Cisco Notification Service
Cisco Notification Service に登録することで、重要度が「緊急」および「重要」のセキュリティ脆弱性に関するシスコ セキュリティ アドバイザリを含めた、重要なシスコの製品および技術情報を受け取ることができます。このサービスでは、情報を統一して購読でき、通知のタイミングと配信方法(電子メール メッセージまたは RSS フィード)も選択できます。情報へのアクセス レベルは、Cisco.com ID のアクセス レベルに依存します。
通知の作成手順
- Cisco.com の Cisco Notification Service Web サイトに、Cisco.com に登録済みのアカウント名とパスワードを使用してログインします。
- Create Subscription ボタンをクリックし、指示に従って操作します。
セキュリティ リスクの評価:共通脆弱性評価システムとセキュリティ影響評価
シスコ製品の脆弱性を評価する標準プロセスでは、共通脆弱性評価システム(CVSS)バージョン 3.0 を使用します。CVSS モデルは、基本評価、現状評価、環境評価という 3 つの異なる評価(スコア)を使用します。シスコは基本脆弱性スコアの評価を開示し、現状脆弱性スコアを開示する場合もあります。エンド ユーザは、各自のネットワーク パラメータに基づいて環境スコアを評価することが推奨されます。これら 3 つのスコアの合計値は最終スコアとなります。つまり、この値がその時点における特定環境のスコアです。最終スコアを基に、社内環境における対応に優先順位を付けることを推奨します。
注:シスコでは、2017 年 1 月に共通脆弱性評価システム バージョン 3(CVSSv3)を採用しました。
CVSS スコア以外にも、脆弱性の重要度を容易に分類するためセキュリティ影響評価(SIR)を使用しています。SIR は、CVSS のベース スコアである Qualitative Severity Rating Scale に基づいていますが、シスコ固有の変数を考慮して PSIRT によって調整されます。SIR スコアはすべてのシスコ セキュリティ アドバイザリで利用されます。脆弱性情報を開示するセキュリティ開示の種類は、以下のガイドラインを使用して決定されます。
| セキュリティ影響評価 | CVSS スコア | PSIRT 開示 |
緊急 |
9.0 – 10.0 |
シスコ セキュアリティ アドバイザリ |
重要 |
7.0 – 8.9 |
|
警告 |
4.0 – 6.9 |
|
低 |
3.9 以下 |
Bug Release Note Enclosure(RNE) |
CVSS スコアへ追加要因が適切に反映されていない特定のケースについて、シスコはガイダンスから逸脱する権利を留保します。
シスコ製品で使用されるサードパーティ ソフトウェア コンポーネントにセキュリティ問題がある場合は通常、シスコはコンポーネントの作成者によって提供される CVSS スコアを使用します。ただしシスコは、シスコ製品への影響を反映して CVSS スコアを調整することがあります。
CVSS の詳細については、FIRST.org の Web サイトや 独立行政法人 情報処理推進機構の Web サイト を参照してください。
サードパーティ ソフトウェアの脆弱性
シスコ製品で使用されるサードパーティ ソフトウェア コンポーネントに脆弱性がある場合は通常、コンポーネントの作成者によって提供される CVSS スコアを使用します。ただし、シスコ製品への影響を反映して CVSS スコアを調整することがあります。
シスコでは、次の条件を満たしている場合にサードパーティの脆弱性を「ハイ プロファイル」として扱います。
- 脆弱性がサードパーティ コンポーネントに存在する場合。
- 複数のシスコ製品が影響を受ける場合。
- CVSS スコアが 5.0 以上。
- 脆弱性が大きく注目され、エクスプロイトが作成される可能性が高く、積極的に悪用されることが予想される場合。
「ハイ プロファイル」と分類されるサードパーティ製品の脆弱性についてはセキュリティ アドバイザリで情報を開示します。「ハイ プロファイル」として分類されていないサードパーティの脆弱性は、Release Note Enclosure(RNE)で情報開示されます。
セキュリティ開示の種類
シスコはセキュリティ開示で、エンド ユーザが脆弱性の影響を評価する際に必要となる最小限の情報と、システムの保護に必要と思われる緩和策を開示します(存在する場合)。エクスプロイトの作成に役立つような脆弱性の詳細情報を提供することはありません。
シスコは、Cisco.com の Cisco Security Portal で次の種類のセキュリティ関連開示を提供しています。
シスコ セキュリティ アドバイザリ
Cisco Security Advisory(日本語訳)では、シスコの製品に直接関連し、アップグレード、修正、お客様によるその他のアクションを必要とするセキュリティ問題の詳細情報を提供します。セキュリティ アドバイザリでは、セキュリティ影響評価が「緊急」、「重要」および「警告」の脆弱性について情報を開示します。セキュリティ影響評価が「緊急」、「重要」、「警告」の脆弱性情報を開示する全てのシスコ セキュリティ アドバイザリには、Common Vulnerability Reporting Framework(CVRF)コンテンツをダウンロードするためのリンクが含まれます。Cisco IOS ソフトウェアのセキュリティ影響評価が「緊急」または「重要」の脆弱性情報を開示する全てのシスコ セキュリティ アドバイザリには、Open Vulnerability and Assessment Language(OVAL)定義をダウンロードするためのリンクも含まれます。
CVRF および OVAL は、コンピュータで読み取り可能な形式(XML ファイル)で脆弱性情報を提供するための業界標準です。コンピュータで読み取り可能なコンテンツは他のツールでも使用できるため、セキュリティ アドバイザリに含まれるデータの解釈プロセスを自動化することができます。CVRF と OVAL の内容は、セキュリティ アドバイザリから直接ダウンロードできます。CVRF と OVAL の詳細については、上記のリンクを参照してください。
シスコ セキュリティ レスポンス
シスコ セキュリティ レスポンスは、ブログやディスカッション リストなどで議論された情報へのレスポンスが要求される状況に対応します。通常は、サードパーティがシスコ製品の脆弱性について公的な発表を行った場合にレスポンスが公開されます。シスコ イベント レスポンス
シスコのイベント レスポンスは、お客様のネットワーク、アプリケーション、デバイスに幅広く影響を与える可能性があるセキュリティ イベントに関する情報を提供します。シスコ イベント レスポンスには、サマリー情報、脅威分析、シスコの製品が提供する緩和技法が含まれています。通常は、次の状況で公開されます。- 他ベンダーの製品に重大なセキュリティ脆弱性が存在し、シスコ製品とベンダー製品との相互運用性、または悪用ベクタとしてネットワークが使用される場合
- Cisco IOS および IOS XE ソフトウェアのバンドル開示への対応として
Release Note Enclosure
Release Note Enclosure は、セキュリティ影響評価の低い問題の情報開示に使用されます。登録されたお客様は、シスコが開示したすべての Cisco Bug ID を シスコ バグ サーチ ツールを介して確認できます。 シスコ セキュリティ アドバイザリでバグが参照されている場合、シスコ バグ サーチ ツールのバグ エントリから関連するシスコ アドバイザリにリンクが作成されます。
Cisco PSIRT によって評価されたシスコのバグには、リリース ノートの補足として「PSIRT Evaluation」セクションが必ず含まれます。この新しいセクションには、シスコが適切かつ関連性があると判断した場合に、基本および現状 CVSS スコアと CVE ID が表示されます。この情報は、シスコ エンド ユーザ ライセンス契約に記載された、ソフトウェア に適用される標準的な保証を補足するものではありません。
次の表に、セキュリティ開示をお客様に通知するための方法の概要を示します。特定のドキュメントに対するコミュニケーションを促進するために、個別に例外措置が取られることがあります。
電子メール |
セキュリティ ポータル |
RSS |
CNS |
openVuln API |
バグ サーチ ツール |
|
シスコ セキュリティ アドバイザリ - 重要度「緊急」および「重要」 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
シスコ セキュリティ アドバイザリ - 重要度「警告」 |
No |
Yes |
Yes |
No |
Yes |
Yes |
シスコ セキュリティ レスポンス |
Yes |
Yes |
Yes |
No |
No |
Yes |
シスコ イベント レスポンス |
No |
Yes |
Yes |
No |
No |
No |
脅威アウトブレイク アラート |
No |
Yes |
Yes |
No |
No |
No |
Release Note Enclosure |
No |
No |
No |
No |
No |
Yes |
コミュニケーション プラン
シスコは、次の条件が 1 つ以上存在するときにシスコ セキュリティ アドバイザリを開示します。
-
Cisco PSIRT がインシデント対応プロセスを完了し、脆弱性に対応する十分なソフトウェア パッチまたは回避策があると判断したか、あるいは重要度が高い脆弱性に対応するコード修正の公開が今後計画されている場合。
-
Cisco PSIRT が脆弱性のアクティブな不正利用を確認し、お客様へのリスクを増大する危険性がある場合。この場合、シスコは脆弱性について説明したセキュリティ通知の公開を早めますが、完全なパッチや回避策が含まれない場合があります。
-
シスコ製品に影響を及ぼす脆弱性への認識が広まり、シスコのお客様へのリスクが増大する可能性がある場合。この場合、シスコは脆弱性について説明したセキュリティ通知の公開を早めますが、完全なパッチや回避策が含まれない場合があります。
すべてのシスコ セキュリティ開示は、お客様と一般向けに同時に開示されます。ただしシスコでは、Cisco.com におけるソフトウェア パッチの準備状況に応じて例外的に本ポリシーから逸脱する権利を留保します。
サードパーティと情報の開示を調整する際、Cisco PSIRT では、Cisco PSIRT 公開スケジュールからの変更をすべて通知するよう努めます。
このドキュメントの「セキュリティ脆弱性情報配信」セクションに記載されているように、シスコは複数のチャネルを通じてシスコ製品のソフトウェア修正に関する技術セキュリティ情報を提供し、製品アップデートを配布します。
情報開示スケジュール
Cisco IOS および IOS XE ソフトウェア
シスコは毎年 3 月と 9 月の第四水曜日の 16 時(GMT)に、Cisco IOS および IOS XE ソフトウェア セキュリティ アドバイザリのバンドルをリリースしています。このスケジュールは、Cisco IOS および IOS XE ソフトウェアの脆弱性の情報開示に適用されるもので、他のシスコ製品の脆弱性の情報開示には適用されません。
その他の製品
通常シスコは、毎週水曜日の 16 時(GMT)にシスコ セキュリティ アドバイザリを開示しています。
例外
シスコは、上記スケジュール以外の日時に Cisco IOS ソフトウェア、Cisco IOS XE ソフトウェア、またはその他の製品のセキュリティ アドバイザリを個別に発行する権利を留保します。公開サイクルが通常と異なるのは、以下の場合などです。
- 未開示の脆弱性が広く認知されていることをシスコが認識した場合
- アクティブな脆弱性の悪用をシスコが認識した場合
- 脆弱性の開示のためにシスコがサードパーティ対応センターと連携している場合