キヤノン 製品・サービスに関する脆弱性情報を収集するセキュリティサイトを開設
キヤノンは、自社の製品やサービスにおける脆弱性情報を一元的に受け付けて対応を行う「Canon PSIRT (Product Security Incident Response Team)」を発足し、脆弱性情報を収集するセキュリティサイトを開設したと、2月15日に発表した。さらに、脆弱性の共通識別子として国際的に使用されている「CVE (Common Vulnerabilities and Exposures)ID」を自ら採番することができる「CNA(CVE Numbering Authority)」の認定を取得し、脆弱性対応体制を強化している。
(1) 製品やサービスに関する脆弱性情報を収集するセキュリティサイトを開設
キヤノンは、全世界のセキュリティ研究者などがキヤノンの製品やサービスにおける脆弱性を発見した場合に、その脆弱性情報を報告する窓口として、セキュリティサイト「グローバル Canon PSIRT サイト」(https://psirt.canon)を開設した。これにより、キヤノンと全世界のセキュリティ研究者が迅速にコミュニケーションをとり、セキュリティ問題の早期発見と解決を図る。
(2) 「CVE ID」を自ら採番することが可能な「CNA」の認定を取得
「CVE ID」とは、脆弱性を発見するための国際的な枠組みである「CVEプログラム」によって管理運営されている脆弱性情報データベースにおいて、それぞれの脆弱性情報に割り当てられる固有の番号である。「CVE ID」を使用することで、特定の脆弱性情報を一貫して管理することができ、容易に情報を共有することや、相互に情報を関連付けることなどができる。キヤノンは、自社の製品やサービスの脆弱性情報に対して「CVE ID」を自ら割り当て、発行することができる「CNA」に認定されたことにより、従来は第三者が採番していた「CVE ID」を、自社の製品やサービスの脆弱性情報に対して、より迅速に自ら採番することができるようになった。これにより、セキュリティ問題への迅速な対処が期待できる。