VMware は、企業のもっとも重要な業務のなかでご信頼いただける製品を開発するために努力を重ねています。VMware 製品が最高水準のセキュリティを備えていなければ、お客様は安心して VMware 製品を導入できないからです。この VMware セキュリティ対策ポリシーは、VMware が製品に関して起こりうる脆弱性を解決し、そのような問題が発生した場合は迅速に対応するという取り組みについて明示したものです。

 

VMware 製品の脆弱性のレベル

重大な脆弱性

インターネットからの未承認の攻撃者によって悪用される可能性がある脆弱性、またはゲストとホストの OS の分離を破壊する脆弱性。悪用された場合、ユーザーの操作なしに、ユーザーのデータや処理リソースの機密性、完全性、可用性が完全に損なわれることになります。こうした脆弱性が悪用されると、インターネット ワームを拡散させたり、仮想マシン間やホスト OS 間で任意のコードを実行したりすることが可能になります。

 

高レベルの脆弱性

重大とは分類されないが、悪用された場合、ユーザー自身の支援を介してまたは認証された攻撃者によって、ユーザーのデータや処理リソースの機密性や完全性が完全に損なわれてしまう脆弱性。この分類は、インターネットからの承認されていないリモートの攻撃者による悪用や、仮想マシンの分離の侵害によって、可用性が完全に損なわれる可能性のある脆弱性にも適用されます。

 

中レベルの脆弱性

悪用の難しさや構成によって悪用の可能性は大幅に軽減されているものの、特定の導入シナリオにおいては、ユーザー データや処理リソースの機密性、完全性、可用性の侵害につながる可能性がある脆弱性。

 

低レベルの脆弱性

セキュリティに影響を与えるその他すべての問題。悪用が極めて困難だと考えられる、または悪用されても影響は最小限にとどまる脆弱性。

 

脆弱性を報告する方法

VMware では、VMware 製品にセキュリティ上の脆弱性があることに気付かれた場合、その脆弱性の詳細をご報告いただけるよう奨励しています。脆弱性を報告するための E メール アドレスもご用意していますので、見つかった脆弱性についての説明を、ぜひsecurity@vmware.com までご送信ください。またその際は、報告された問題を弊社で再現できるよう、お客様のシステムのソフトウェアおよびハードウェア構成の詳細もご連絡いただけますようよろしくお願いいたします。

 

注:ご連絡の際は、暗号化された E メールのご使用をおすすめいたします。弊社の公開 PGP キーは kb.vmware.com/s/article/1055 でご確認いただけます。

 

新しい脆弱性を発見された場合は、ぜひ非公式にご連絡をいただければ幸いです。疑わしい脆弱性が公になる前に、VMware がそれを調査し確認する機会を得ることは、お客様にとって大きな利益となるからです。

 

また、VMware 製品に使用されているサードパーティ製のソフトウェア コンポーネントに脆弱性が見つかった場合も、上記の方法で VMware までお知らせください。

 

報告された自社製品の脆弱性に関する VMware の対応について

セキュリティ脆弱性のソースの監視

VMware はお客様や自社のフィールド スタッフから、メールボックスを通じて脆弱性に関する非公式な報告を受け取ります。また、ソフトウェアのセキュリティ脆弱性に関するパブリック リポジトリを監視し、弊社のいずれかの製品に影響を及ぼす可能性のある、新たに発見された脆弱性を確認しています。

 

報告の受領と初期分析

脆弱性の報告を受けると、VMware はその報告を優先順位付けし、どの製品が影響を受けるか、脆弱性の重要度はどの程度かを判断します。その後、脆弱性の報告者に対して回答を行い、報告者と協力しながら問題を解決していきます。

 

報告が公開で行われ、それに対する修正策が存在しない場合、VMware はナレッジベースの記事を公開することで、その報告を認知します。この記事では、その脆弱性を報告した公的な情報源へのリンクを示します。また可能な限り、ユーザーが VMware システムを脆弱性の悪用から保護するために講じることのできる手順も紹介します。

 

修正や是正措置

VMware は、報告された脆弱性に関する修正をリリースします。この修正は、次のうちいずれかまたは複数の形態をとることがあります。

  • 影響を受ける VMware 製品の新しいメジャー リリースまたはマイナー リリース
  • 影響を受ける VMware 製品の新しいメンテナンス リリースまたはアップデート リリース
  • 影響を受ける VMware 製品にインストール可能なパッチ
  • VMware 製品に含められたサードパーティ製ソフトウェア コンポーネントのアップデートやパッチをダウンロードしインストールする手順の説明
  • VMware 製品の構成を調整して脆弱性を緩和するという方法による、是正措置または回避策

 

VMware からお客様への通知

脆弱性に対する修正や是正措置が完成すると、VMware は以下の方法でそれをお客様に通知します。

  • VMware ナレッジベースの記事やリリースノートで、修正や是正措置の詳細を説明します。
  • VMware Security Advisory で、セキュリティ脆弱性の詳細を説明し、参考となるナレッジベース記事やリリース ノートを示します。

注:VMware Security Advisory は www.vmware.com/jp/security/advisories に掲載され、VMware Security Announce メーリング リストの登録者にも配信されます。このリストに登録するには、www.vmware.com/jp/security/advisories で、[Security Advisory への登録] ボックスにメールアドレスをご入力ください。

 

VMware が修正を行う製品バージョン

VMware ライフサイクル ポリシーでは、お客様の長期的な変更管理上の決定やリリース戦略を支援するため、ソフトウェア サポートのスケジュールが規定されています。お客様には、ご利用の製品のライフサイクル ポリシーをご理解いただく必要があります。

 

VMware がお約束する対応時間は、報告された脆弱性の重要度によって異なります。

重大レベル

VMware はただちに修正や是正措置の作成に取りかかり、商取引上合理的な最短の時間で、お客様に対して修正または是正措置を行います。

 

高レベル

該当製品の次回の予定されたメンテナンス リリースまたはアップデート リリースで、修正を行います。また必要に応じて、パッチの形式でも修正をリリースします。

 

中レベル、低レベル

該当製品の次回の予定されたマイナー リリースまたはメジャー リリースで、修正を行います。