PSIRT ブログ

パッチと脆弱性の管理

投稿者 Carl Windsor | 2021年4月5日

セキュリティの脆弱性を喜ぶ企業はありません。特にフォーティネットのようにセキュリティ業界で事業を展開している企業にとってはなおさらです。しかし私たちは、より堅牢なソリューションをお客様にお届けするために、積極的にコードをテストし、社内外で検出された問題を修正するなど、プロセスの改善に継続的に取り組んでいます。

2019年5月、フォーティネットは、第三者の調査チームによって確認され、当社が解決したSSLの脆弱性に関して、PSIRTアドバイザリを発行しました。このプロセスの一環として、当社はCustomer Support Bulletin (CSB-200716-1)を発行し、お客様が影響を受けるシステムをアップグレードする必要性を強調しました。また、2019年8月にBlack Hatでこの解決済みの脆弱性が取り上げられた際には、お客様向けにこの件に関するブログを公開しました。それから1年以上が経過し、英国NCSCは、これらの同じ脆弱性がまだ実際に狙われていることを共有しました。私たちは、お客様への教育とコミュニケーションを継続することを目的として、2020年7月に別のブログを、さらに2020年11月にさらに別のブログを公開しました。また、影響を受けたファームウェアを使用しているすべてのお客様にメールで連絡を取り、その時点で15ヵ月以上前に修正されていたファームウェアを使用しているお客様には、再度リスクについて説明し、影響を受けたソリューションをアップグレードするように促しました。

継続的な学習の一環として、私たちはいくつかのプロセスを変更しました。PSIRTポリシーをISO基準により近いものに調整し、毎月のPatch Tuesdayリリースモデルに移行し、通知サービスを追加することで、お客様が直面する可能性のある潜在的な脆弱性に関して、より積極的なリスク管理と減災プロセスを採用することをサポートし、奨励しています。

しかし、2021年4月2日に掲載されたFBIとCISAの共同勧告は、パッチが適用されていない機器が依然として悪用されていることを示しており、エンドユーザーが積極的に機器を更新しないことによるリスクを強調しています。そのため、このリスクを減災するために、以下のアドバイザリに記載されている推奨事項に直ちに従うことを推奨するために、再度お客様にご連絡いたします。勧告で言及されている具体的なPSIRTは以下の通りです。

FG-IR-19-037 / CVE-2019-5591
FG-IR-18-384 / CVE-2018-13379
FG-IR-19-283 / CVE-2020-12812

また、お使いのリリーストレインで最新のリリースを実行していない場合は、フォーティネットPSIRTウェブサイトをご覧になり、お客様の環境で起こりうるリスクを評価することをお勧めします。

フォーティネットでは、お客様の組織を最善の方法で保護し、セキュリティを確保するために、常にお客様と共に歩んでいます。この継続的なプロセスにおいて、より良い協力関係を築くために、お客様からのフィードバックをお待ちしております。ご提案やご意見がございましたら、ウェブ投稿フォームからPSIRTにご連絡ください。

また、現在のフォーティネットPSIRTポリシーの詳細や潜在的な脆弱性の提出方法については、こちらのリンクをご参照ください。

 

タグ: