IBM テクニカル・サポート

IBM 製品の脆弱性についてお問合せをいただく前に – IBM PSIRT をご確認ください

2022年01月21日

記事をシェアする:

こんにちは。IBM システムズ・ストレージ・テクニカル・サポートの山下涼です。いったん発覚すると非常に重大かつ大問題になりうる脆弱性、皆さんはお使いの製品の脆弱性について、どのようにして確認されていますか？ 2021年12月に、Java ベースのオープンソースのロギングライブラリ Apache Log4j に関して、複数の脆弱性が報告された際に、IBM テクニカル・サポートにも大変多くのお問い合わせをいただきました。IBM では脆弱性情報について、より早く的確に皆さんに情報をお届けできるよう取り組みを行なっており、お客様ご自身で内容をご確認いただくことができます。そこで今回は、IBM からの脆弱性情報についてご紹介いたします。

脆弱性 (Vulnerabilities) とは？

悩む人のイラスト OS やプログラムなど、ソフトウェア製品の不具合や設計上のミス等が原因となり発生する情報セキュリティ上の欠陥を指します。
その欠陥をつくことで、不正アクセスに利用されたり、ウィルスに感染したりする危険性があります。それらを未然に防止するため、脆弱性に対して、迅速に的確な対応を行うことは非常に重要です。対応を取らない状態の場合、セキュリティに穴が開いている状態となることから、脆弱性は「セキュリティホール」とも呼ばれます。

脆弱性はどこで、どうやって確認できるのか？

脆弱性は「誰かがどこかで」発見しています。それが悪意あるユーザーだった場合は「セキュリティホール」となってしまいます。一方で、善意のユーザーが脆弱性を発見した場合にはその脆弱性を脆弱性情報データベースを管理している組織に報告します。
脆弱性情報データベースはいくつかありますが、日本では一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) と情報処理推進機構 (IPA) が共同で管理している脆弱性情報データベース Japan Vulnerability Notes (JVN) が一般的です。このデータベースは経済産業省の告示に基づき、脆弱性関連情報の受付と安全な流通を目的とする活動の一環として JPCERT/CC と IPA により共同運営されています。
公開された情報は JVN で確認できます。

個々の脆弱性番号についている CVE とは何か？ (共通脆弱性識別子)

データベースに登録された脆弱性には識別子 (ID) が振られます。それが CVE (Common Vulnerabilities and Exposures) ＝共通脆弱性識別子です。この識別子を国際的な一意の ID として利用することで、該当の脆弱性に対する対策情報やそれを取り扱う組織の相互参照・関連付けが可能になります。JVN 上では別途レポート番号が割り振られていますが、そのレポート内において一意の脆弱性を示す ID として CVE が利用されています。

IBM の取り組みとご案内について

発見された脆弱性は、さまざまな製品上で利用されているソフトウェア技術に内包されている可能性があり、IBM 製品もその例外ではありません。セキュリティホールが存在し、そのセキュリティホールに対応が行われていない場合、それは大きな危険であり脅威となります。そのため脆弱性情報がリリースされた場合には、各メーカーはどのような製品でも安全を確保することに尽力しますが、IBM では安全性を確保し、その情報を皆さんに速やかにお届けするためのツール IBM Product Security Incident Response (IBM PSIRT) を用意しています。このツールは IBM 製品に特化した情報ツールとして、どなたにでもご利用していただくことができます。

PSIRT では IBM 製品およびソリューションのセキュリティに影響を与える可能性のある脆弱性と、IBM 各製品の対応について、重要な最新情報を提供しています。 PSIRT からご案内する脆弱性情報は、常に対応策 (修正モジュールや回避策等) とセットになっています。これは対応策とセットでご案内できなければ、単にセキュリティホールが存在することだけを周知してしまう結果になってしまうためです。

皆さんが気になる脆弱性情報がある場合には、CVE 識別子で PSIRT から検索を行ってください。脆弱性にヒットした場合には、ご案内している対応策を速やかに実施してください。また、対応方法についてご質問がある場合には、IBM テクニカル・サポートまでご相談ください。