Google Cloud to Assign CVEs to Critical Vulnerabilities
2024/11/13 SecurityWeek — Google Cloud が 11月12日に発表した新たな取組みは、今後においては自社のクラウド・サービスで発見された重大な脆弱性に対して、CVE 識別子を割り当てるというものであり、パッチ適用などの対応が、ユーザーにとって不要な場合であっても、徹底されるというものだ。そのため、今後において CVE が割り当てられた、Google Cloud の重大な脆弱性については、Google Cloud Security Bulletins ページにアドバイザリが公開されることになる。
こうして、CVE が割当てられた脆弱性のうち、ユーザーが何らかの措置を講じる必要がないものには、“exclusively-hosted-service“ というタグが付けられる。Google Cloudは、この新たな取り組みは、透明性へのコミットメントの一環であると述べている。
先月に Google が発表したのは、同社の製品やサービスで見つかったセキュリティ問題に対して、最高で $100,000 のバグ報奨金を支払うという、新しい VRP (Vulnerability Reward Program) である。
Google Cloud のブログ投稿には、「Google Cloud VRP の目的は、特に Google Cloud の製品とサービスの強化に重点を置き、当社のエンジニアと外部のセキュリティ研究者を結びつけ、すべてのユーザーにおけるセキュリティを強化することだ。その一方で、ユーザーやセキュリティ研究者に対し、公に知られている脆弱性を追跡する手段として、CVE を提供する」と記されている。
2024年6月には Microsoft が、ユーザーとのインタラクションを必要としないクラウドの脆弱性について、CVE を割り当てると発表している。今回の Google Cloud の発表は、Microsoft に続くものとなる。
また、Amazon Web Services (AWS) も、同社のクラウド製品やサービスに影響を与える脆弱性について、CVE 識別子を発行している。
クラウド・セキュリティ大手 Wiz は、2022年以降において、クラウドの脆弱性に関するデータベースを管理している。現時点において、このデータベースには、2008年以降に発見された、約200件のセキュリティ問題に関する情報が保存されている。
2024年に 25周年を迎えた CVE プログラムには、現時点で 400以上の CNA (Numbering Authorities) が存在しており、2024年10月の時点で 240,000件以上の CVE 識別子を採番している。
これは嬉しいニュースですね。ユーザー・サイドで対応する必要のない、クラウドの脆弱性であっても、攻撃者だけが知っていたという期間はあり得るわけです。その間に、侵害されていたとしても、CVE が無ければ追跡のしようもありません。というわけで、Google に有り難うと言いたいです。文中にもリンクを貼っていますが、以下も、ご参照ください。
2024/06/30:Microsoft の大転換:クラウドの脆弱性に対しても CVE を発行する!
IoT OT Security News 
You must be logged in to post a comment.