HIRT-PUB22001:CVE Numbering Authority (CNA)
更新日:2022年07月05日
2022年6月7日より、HIRTはCVE IDを日立製品の脆弱性に割り当て、CVEレコードを作成し公開することのできるCVE Numbering Authority(CNA)になりました。
HIRTはCNAとして、弊社製品に脆弱性が報告された際にはCVE IDを割り当て、適宜脆弱性情報を公表することで、お客さまに安心して弊社製品をご利用いただけるよう努めてまいります。
1. CVEとは
Common Vulnerabilities and Exposures(CVE®)プログラムのミッションは、公開されているサイバーセキュリティ上の脆弱性を特定し、定義し、そしてカタログ化することにあります。
CVE Identifier (CVE ID)は、CVEプログラムによって割り当てられた一意の英数字の識別子です。各識別子は特定の脆弱性を参照しています。CVE IDを使用すると、自動化や複数の関係者が同じ脆弱性を参照していることを認識しながら、その脆弱性に関する情報について話し合い、共有し、相互に関連付けることができます。
CVEレコードは、CNAが提供するCVE IDに紐づく脆弱性に関する情報です。この情報は、人や機械が可読できるデータ形式(Human-readable and Machine-readable format)で提供されます。
CVE Numbering Authority (CNA)は、脆弱性にCVE IDを割り当て、CVEレコードとして紐づく脆弱性に関する情報を作成し公開することを担当する組織です。
List of Partners
https://www.cve.org/PartnerInformation/ListofPartners
2. 日立の活動
日立では、HIRT、Hitachi Energy PSIRT Team、Hitachi Vantara 製品部門がCNAとして活動しています。
Hitachi Ltd.
Scope: Hitachi products excluding Hitachi Energy and Hitachi Vantara products
https://www.cve.org/PartnerInformation/ListofPartners/partner/Hitachi
Hitachi Energy
Scope: Hitachi Energy products only
https://www.cve.org/PartnerInformation/ListofPartners/partner/Hitachi_Energy
Hitachi Vantara
Scope: Hitachi Vantara products only
https://www.cve.org/PartnerInformation/ListofPartners/partner/Hitachi_Vantara
3. 関連情報
HIRT-PUB10008:日立グループにおける製品脆弱性情報の開示プロセス
https://www.hitachi.com/ja-jp/hirt/publications/hirt-pub/hirt-pub10008/
4. 更新履歴
2022年07月05日
- Hitachi Vantaraを追記しました。
2022年06月07日
- このページを新規作成および公開しました。
担当:寺田、大西
