透明性の向上に向けて : クラウドサービス の CVE の公開について

本ブログは、Microsoft Security Response Center (MSRC) の透明性向上に関するシリーズの第2弾です。この継続的なディスカッションでは、包括的な脆弱性情報を提供するというマイクロソフトの取り組みについて説明します。

MSRC の使命は、セキュリティとプライバシーに対する現在および新たな脅威から、お客様、コミュニティ、およびマイクロソフトを保護することです。前回のブログ記事では、CWEによって脆弱性の根本原因を明文化しました。このブログでは、新しいクラスの脆弱性であるクラウドサービスのCVEを明文化する方法について説明します。

Common Vulnerabilities and Exposures (CVE) プログラムは今年で25周年を迎え、マイクロソフトは常に積極的に参加しています。業界が大きく変化し、クラウドベースのサービスが日常生活に不可欠になる中、クラウドサービスプロバイダー (CSP) は、お客様のアクションが必要ない限り、クラウドサービスで発見および解決された脆弱性に関する情報の開示を控えてきました。しかし、業界が成熟するにつれ、透明性の価値を認識しています。そのため、クラウドサービスの重大な脆弱性に対して、お客様が更新プログラムをインストールする必要があるか、その他のアクションによって保護する必要があるかに関係なく、CVEを発行することをお知らせします。

業界が成熟し、クラウドベースのサービスへの移行が進む中、サイバーセキュリティの重大な脆弱性が発見され、修正される可能性について透明性を確保する必要があります。検出および解決された脆弱性に関する情報をオープンに共有することで、マイクロソフトとパートナーが学習し、改善できるようにします。この共同の取り組みは、重要インフラの安全性とレジリエンスに貢献しています。

この取り組みは、マイクロソフトの Secure Future Initiative (SFI) の目標と一致しています。これらの優先事項には、ソフトウェア開発の変革、新しいID保護の実装、透明性の向上と脆弱性対応の迅速化が含まれます。

最近、CVEプログラムは、マイクロソフトなどのCVE採番機関 (CNA) におけるガイダンス提供時のルールを更新しました。透明性の向上に向けたこの取り組みは、新しいルールによって促進されます。ルールのセクション4.2.2.2には次のように記載されています。

4.2.2.2 CNAは、脆弱性が以下の場合、CVE IDを公に開示し、割り当てるべきである。

• 重大な危害を及ぼす可能性がある
• または
• CNAまたはサプライヤー以外の当事者によるアクションまたはリスク評価が必要である

項目1と2の間の「または」は、顧客のアクションに関係なくCNAが重大な脆弱性にCVEを割り当てることを奨励するために重要です。すべてのCNAに対し、新しいルールが自社製品にどのような影響を与えるかを評価することを奨励しています。

MSRCは、すべてのお客様が、アクションを必要としない新しいクラスのCVEに対処するために時間とエネルギーを費やすことを望んでいるわけではないことを認識しています。このことを考慮し、セキュリティ更新プログラムガイドとAPIを更新して、この条件に基づいてフィルター処理を行います。

• セキュリティ更新プログラムガイドの脆弱性タブに、お客様の対応が必要かどうかを示す新しい列を表示します。
• APIには、フィルタリングプロセスのための新しいNotes Typeがあります。
• CVE.orgレコードでは、exclusively-hosted-serviceタグを使用して、お客様が必要とするアクションがないことを示します。

CVE-2024-35260は、この新しいクラスのCVEの一例です。

本件に関して、フィードバックをお待ちしています。フィードバックは、セキュリティ更新プログラムガイドの各CVEページの下部にある評価バナーをクリックして提供できます。

Lisa Olson, Senior Program Manager, Security Release