IBM テクニカル・サポート

IBM 製品の脆弱性についてお問合せをいただく前に – IBM PSIRT をご確認ください

記事をシェアする:

こんにちは。IBM システムズ・ストレージ・テクニカル・サポートの山下涼子です。いったん発覚すると非常に重大かつ大問題になりる脆弱性、皆さんはお使いの製品の脆弱性について、どのようにして確認されていますか? 2021年12月に、Java ベースのオープンソースのロギングライブラリ Apache Log4j に関して、複数の脆弱性が報告された際に、IBM テクニカル・サポートにも大変多くのお問い合わせをいただきました。IBM では脆弱性情報について、より早く的確に皆さんに情報をお届けできるよう取り組みを行なっており、お客様ご自身で内容をご確認いただくことができます。そこで今回は、IBM からの脆弱性情報についてご紹介いたします。

 

脆弱性 (Vulnerabilities) とは?

悩む人のイラストOS やプログラムなど、ソフトウェア製品の不具合や設計上のミス等が原因となり発生する情報セキュリティ上の欠陥を指します。
その欠陥をつくことで、不正アクセスに利用されたり、ウィルスに感染したりする危険性があります。それらを未然に防止するため、脆弱性に対して、迅速に的確な対応を行うことは非常に重要です。対応を取らない状態の場合、セキュリティに穴が開いている状態となることから、脆弱性は「セキュリティホール」とも呼ばれます。

 

脆弱性はどこで、どうやって確認できるのか?

脆弱性は「誰かがどこかで」発見しています。それが悪意あるユーザーだった場合は「セキュリティホール」となってしまいます。一方で、善意のユーザーが脆弱性を発見した場合にはその脆弱性を脆弱性情報データベースを管理している組織に報告します。
脆弱性情報データベースはいくつかありますが、日本では一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) と情報処理推進機構 (IPA) が共同で管理している脆弱性情報データベース Japan Vulnerability Notes (JVN) が一般的です。このデータベースは経済産業省の告示に基づき、脆弱性関連情報の受付と安全な流通を目的とする活動の一環として JPCERT/CC と IPA により共同運営されています。
公開された情報は JVN で確認できます。

 

個々の脆弱性番号についている CVE とは何か? (共通脆弱性識別子)

データベースに登録された脆弱性には識別子 (ID) が振られます。それが CVE (Common Vulnerabilities and Exposures) = 共通脆弱性識別子です。この識別子を国際的な一意の ID として利用することで、該当の脆弱性に対する対策情報やそれを取り扱う組織の相互参照・関連付けが可能になります。JVN 上では別途レポート番号が割り振られていますが、そのレポート内において一意の脆弱性を示す ID として CVE が利用されています。

 

IBM の取り組みとご案内について

発見された脆弱性は、さまざまな製品上で利用されているソフトウェア技術に内包されている可能性があり、IBM 製品もその例外ではありません。セキュリティホールが存在し、そのセキュリティホールに対応が行われていない場合、それは大きな危険であり脅威となります。そのため脆弱性情報がリリースされた場合には、各メーカーはどのような製品でも安全を確保することに尽力しますが、IBM では安全性を確保し、その情報を皆さんに速やかにお届けするためのツール IBM Product Security Incident Response (IBM PSIRT) を用意しています。このツールは IBM  製品に特化した情報ツールとして、どなたにでもご利用していただくことができます。

PSIRT では IBM 製品およびソリューションのセキュリティに影響を与える可能性のある脆弱性と、IBM 各製品の対応について、重要な最新情報を提供しています。 PSIRT からご案内する脆弱性情報は、常に対応策 (修正モジュールや回避策等) とセットになっています。これは対応策とセットでご案内できなければ、単にセキュリティホールが存在することだけを周知してしまう結果になってしまうためです。

皆さんが気になる脆弱性情報がある場合には、CVE 識別子で PSIRT から検索を行ってください。脆弱性にヒットした場合には、ご案内している対応策を速やかに実施してください。また、対応方法についてご質問がある場合には、IBM テクニカル・サポートまでご相談ください

 

PSIRT で脆弱性該当製品を確認する方法

IBM PSIRT ページ内に CVE 検索枠 (赤枠部分) が用意されています。ここに目的の脆弱性の CVE 番号を入力し、Searchをクリックします。

IBM PSIRTの画面

例えば Search Posts に CVE-2021-44228 と入力して、Search をクリックします。

IBM PSIRTの検索画面
以下のように入力したキーワードを含む記事の一覧が表示されます。記事内でその脆弱性に対する IBM 製品の対応策などをご案内しています。

IBM PSIRTでの検索結果の画面

 

最後に

IBM PSIRT ツールについては、残念ながら英語サイトでのご案内のみになります。英語で記載された内容について不明な点がありましたら、各製品サポートまでご相談ください

※ 英語でご案内している内容を超える情報のご提供はお約束できません。これは、悪意のある攻撃者に脆弱性の攻撃方法などのヒントを与えないためです。また同じ理由で、サポートにお問い合わせをいただいても PSIRT で公開している以外の情報は開示できません。あらかじめご了承ください。

 

参考情報リンク

IBM Product Security Incident Response (IBM PSIRT)

総務省「国民のためのセキュリティサイト」「脆弱性(ぜいじゃくせい)とは?」

IPA「脆弱性関連情報の届出受付」

IPA「共通脆弱性識別子CVE概説」

Japan Vulnerability Notes (JVN)


山下さん画像

山下 涼子

ソフトウェア&システム開発研究所(TSDL)システムズ・ストレージ・テクニカル・サポート


IBMテクニカル・サポートブログ:ピックアップ

IBM ソフトウェア製品のサポート終了日を確認する方法

 

More IBM テクニカル・サポート stories

IBM テクニカル・サポートの知らない世界 (3) ー 重大トラブルを防いだ気づきと行動

IBM テクニカル・サポート

IBM テクニカル・サポートは、Web サイトや電話などを通してサービスを提供しているため、その実態をご存知の方は少ないのではないでしょうか。謎(?)に包まれたテクニカル・サポートの日常を「IBM テクニカル・サポートの ...続きを読む


サポート・コニュニティーが使えない! ー ユーザー登録が承認されない場合の対応方法

IBM テクニカル・サポート

IBM のお問い合わせシステム「サポート・コミュニティー」を利用するためにユーザー登録を申請したのに、なかなか承認されず、いくら待ってもお問い合わせができない!このようなケースでは、ユーザー登録の承認者に連絡していただく ...続きを読む