VMware Security Response Center について
VMware の最優先事項は、お客様からの信頼を積み重ねながら、その信頼に応えることです。VMware の製品が最高水準のセキュリティを備えていなければ、お客様は安心して VMware の製品を導入できません。これを実現するために、VMware Security Response Center(vSRC)には、脆弱性を特定し、対応と解決を行うためのプログラムがあります。このページでは、企業向けおよびコンシューマー向けの VMware 製品(オンプレミス)の脆弱性に対応する際の弊社のポリシーを明文化するとともに、CVE 識別子および VMware Security Advisory(VMSA)を発行する条件、VMware 管理下のコード内の脆弱性を報告する方法、VMware の発行物および是正措置で使用する用語の定義、セーフ ハーバーの実践に関する VMware の取り組みについて説明します。
脆弱性を報告する方法
VMware Security Response Center への脆弱性報告プロセス
VMware の製品やサービスに脆弱性を発見したと思われる場合は、直接 security@vmware.com まで非公開のメールでお知らせください。報告の際は、暗号化されたメールの使用をお願いしています。VMware の PGP 公開キーは、kb.vmware.com/s/article/1055 で確認できます。
VMware が順守する責任ある脆弱性開示のガイドラインでは、リサーチャーが VMware の製品およびサービスに新たに脆弱性を見つけた場合、非公式に直接 VMware に報告していただくことになっています。これにより、VMware は、脆弱性/エクスプロイトの詳細が公開される前に、影響を受ける製品とサービスの脆弱性に対応することができます。VMware は、発見した脆弱性を脆弱性開示ガイドラインに従って報告していただいたリサーチャーの名前をクレジットに掲載する場合があります。
VMware のお客様が脆弱性を発見された場合は、VMware のグローバル サポート サービス チーム宛にサポート リクエスト(SR)を作成していただきますようお願いいたします。
VMware のプロセスについて
脆弱性が疑われるケースでの VMware Security Response Center の対応プロセス
ステップ 1
報告の受領と確認
ステップ 2
トリアージ
ステップ 3
調査
ステップ 4
修正
ステップ 5
通知とクレジット
深刻度と共通脆弱性識別子について
VMware における深刻度の定義
VMware の発行物では、FIRST の評価基準に沿った定性的な深刻度の分類に加えて、業界標準の Common Vulnerability Scoring System(CVSS)を使用しています。
VMware の定性評価 | FIRST の定性評価 | CVSS のスコア |
| Critical | 緊急 | 9.0 ~ 10.0 |
| Important | 高 | 7.0 ~ 8.9 |
| Moderate | 中 | 4.0 ~ 6.9 |
| Low | 低 | 0.1 ~ 3.9 |
| None | なし | 0.0 |
注:VMware の定性評価は変更される可能性があります。また、CVSS スコアのみに依存するものではありません。
共通脆弱性(CVE)識別子
CVE Numbering Authority(CNA)として承認されている VMware は、事前に合意された明確な範囲の製品に影響を及ぼす脆弱性に対して、CVE 識別子を割り当てることが許可されています。
VMware では、以下の条件をすべて満たす場合に、脆弱性の CVE 識別子を発行します。
- 脆弱性が、VMware 管理下のコード内の予期しない動作に起因している。
- 脆弱性によって、機密性、完全性、または可用性に対してなんらかの侵害がもたらされる。
- 脆弱性が、VMware 製品ライフサイクル マトリックスに掲載されているサポート期間中の VMware 製品に存在する。または VMware 管理下にあるサポート期間中のオープンソース プロジェクトに存在する。
VMware Security Advisory(VMSA)
VMware は、VMware Security Advisory で脆弱性の情報を公開しています。VMSA には、以下の情報が掲載されています。
- 定性的な深刻度情報
- CVSS スコア
- サポート期間中の製品スイートのうち影響を受けるもの
- 脆弱性の説明
- 現時点で既知の攻撃ベクター
- 修正に関する情報
- 脆弱性の深刻度が「Critical」の場合はその回避策(ある場合)
- 脆弱性が実際に悪用されているかどうかなどの補足情報(メモ)
脆弱性に関する最新情報は以下のリソースでも確認できます。
回避策
VMware の定義する回避策とは、特定の脆弱性について現時点で既知の攻撃ベクターに対応するための設定のインプレース変更のことであり、変更はサポート対象です。VMware は、VMSA に掲載された深刻度が「Critical」の脆弱性について、回避策を検討するための調査を実施します。
セーフ ハーバー
本ポリシーに沿ってとられた行動は正式に認められた行為とみなされ、VMware がお客様に対して法的措置を発動することはありません。本ポリシーに基づいてとられた行動に関連して、第三者がお客様に対して法的措置を発動した場合、VMware はその行為が本ポリシーに準拠して行われたことを周知するための措置を講じます。