本ブログは、Toward greater transparency: Unveiling Cloud Service CVEs の抄訳版です。最新の情報は原文を参照してください。
このブログは、Microsoft Security Response Center (MSRC) の透明性の向上に関するシリーズの第 2 弾です。この継続的なディスカッションでは、包括的な脆弱性情報をお客様に提供するというマイクロソフトの取り組みについて説明します。
MSRC の使命は、セキュリティとプライバシーに対する現在および新たな脅威から、お客様、コミュニティ、および マイクロソフトを保護することです。前回のブログ記事 では、CWE によって脆弱性の背後にある根本原因を明文化しました。このブログでは、新しいクラスの脆弱性であるクラウドサービスの CVE を明文化する方法について説明します。
Common Vulnerabilities and Exposures (CVE) プログラムは今年で 25 周年を迎え、マイクロソフトは常に積極的に参加しています。時が経つにつれて、業界は大きく変化し、クラウドベースのサービスは私たちの日常生活にますます不可欠になっています。これまで、クラウド サービス プロバイダー (CSP) は、お客様のアクションが必要でない限り、クラウド サービスで発見および解決された脆弱性に関する情報の開示を控えていました。お客様が更新プログラムをインストールする必要がない場合、セキュリティを保つための追加情報は提供する必要がないという考えが一般的でした。しかし、業界が成熟するにつれて、私たちは透明性の価値を認識しています。そのため、クラウドサービスの重大な脆弱性に対して、お客様が更新プログラムをインストールする必要があるか、その他のアクションによって自分を保護する必要があるかに関係なく、CVE を発行することをお知らせします。
業界が成熟し、クラウドベースのサービスへの移行が進む中、サイバーセキュリティの重大な脆弱性が発見され、修正される可能性について透明性を確保する必要があります。検出および解決された脆弱性に関する情報をオープンに共有することで、マイクロソフトとパートナーが学習し、改善できるようにします。この共同の取り組みは、当社の重要インフラの安全性とレジリエンスに貢献しています。
この取り組みは、エンジニアリングの優先事項を概説するマイクロソフトの Secure Future Initiative (SFI) の目標と一致しています。これらの優先事項には、ソフトウェア開発の変革、新しい ID 保護の実装、透明性の向上と脆弱性対応の迅速化が含まれると、Microsoft Security のエグゼクティブ バイス プレジデントである Charlie Bell は述べています。
最近、CVE プログラムは、マイクロソフトなどの CVE 採番機関 (CNA) におけるガイダンス提供時のルールを更新しました。透明性の向上に向けたこの取り組みは、新しいルールによって促進されます。ルールのセクション 4.2.2.2 には次のように記載されています。
4.2.2.2 CNAは、脆弱性が以下の場合、CVE IDを公に開示し、割り当てるべきである。
- 重大な危害を及ぼす可能性がある
または
- CNA またはサプライヤー以外の当事者によるアクションまたはリスク評価が必要である
項目 1 と 2 の間の 「または」 は、顧客のアクションに関係なく CNA が重大な脆弱性に CVE を割り当てることを奨励するために、重要です。すべての CNA に対し、新しいルールが自社製品にどのような影響を与えるかを評価することを奨励しています。
MSRC は、すべてのお客様が、アクションを必要としない新しいクラスの CVE に対処するために時間とエネルギーを費やすことを望んでいるわけではないことを認識しています。このことを考慮し、セキュリティ更新プログラム ガイドと API を更新して、この条件に基づいてフィルター処理を行います。
-
API には、フィルタリングプロセスのための新しい Notes Type があります。
-
CVE.org レコードでは、exclusively-hosted-service タグ を使用して、お客様が必要とするアクションがないことを示します。
CVE-2024-35260 は、この新しいクラスの CVE の一例です。
本件に関して、いつものように、フィードバックをお待ちしています。フィードバックは、セキュリティ更新プログラムガイドの各CVEページの下部にある評価バナーをクリックして提供できます。
Lisa Olson, Senior Program Manager, Security Release