キヤノンが製品・サービスに関する脆弱性情報を収集するセキュリティサイトを開設　CNAの認定を取得し脆弱性対応体制を強化

非常に重要な取り組みだと思います。

キャノンが自社製品やサービスに関する(すでにわかっている)脆弱性に関して、情報公開するサイトを構築したそうです。

こうやって、情報公開されなければ、製品を利用する側では、防御も何も行うことができませんものね。

キヤノンが製品・サービスに関する脆弱性情報を収集するセキュリティサイトを開設　CNAの認定を取得し脆弱性対応体制を強化
キヤノン株式会社

キヤノンは、自社の製品やサービスにおける脆弱性情報を一元的に受け付けて対応を行う「Canon PSIRT （Product Security Incident Response Team）」を発足し、脆弱性情報を収集するセキュリティサイト（https://psirt.canon）を開設しました。さらに、脆弱性の共通識別子として国際的に使用されている「CVE（Common Vulnerabilities and Exposures）ID」を自ら採番することができる「CNA（CVE Numbering Authority）」の認定（※1）を取得し、脆弱性対応体制を強化しています。

Canon PSIRT

1. 製品やサービスに関する脆弱性情報を収集するセキュリティサイトを開設
キヤノンは、全世界のセキュリティ研究者などがキヤノンの製品やサービスにおける脆弱性を発見した場合に、その脆弱性情報を報告する窓口としてセキュリティサイト「グローバルCanon PSIRTサイト」を開設しました。これにより、キヤノンと全世界のセキュリティ研究者が迅速にコミュニケーションをとり、セキュリティ問題の早期発見と解決を図ります。

セキュリティサイト「グローバルCanon PSIRTサイト」（※2）：https://psirt.canon

2. 「CVE ID」を自ら採番することが可能な「CNA」の認定を取得
「CVE ID」とは、脆弱性を発見するための国際的な枠組みである「CVEプログラム」によって管理運営されている脆弱性情報データベースにおいて、それぞれの脆弱性情報に割り当てられる固有の番号です。「CVE ID」を使用することで、特定の脆弱性情報を一貫して管理することができ、容易に情報を共有することや、相互に情報を関連付けることなどができます。キヤノンは、自社の製品やサービスの脆弱性情報に対して「CVE ID」を自ら割り当て、発行することができる「CNA」に認定されたことにより、従来は第三者が採番していた「CVE ID」を、自社の製品やサービスの脆弱性情報に対して、より迅速に自ら採番することができるようになりました。これにより、セキュリティ問題への迅速な対処が期待できます。

キヤノンは、今後もお客様が安心して製品・サービスを使用できるよう、脆弱性対応体制を強化し、継続的なセキュリティレベルの向上を図ります。

※1. キヤノン株式会社は、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）の招致にもとづいて申請を行い、CNAに認定されました。
※2. セキュリティ研究者とのコミュニケーションは英語で行われることが多いため、セキュリティサイトの言語も英語としています。

以上

他の会社でも、同じような取り組みが進んでいるようですね。

好ましいことであるとともに、対策をおこなう側も、うまく利用するようにしたいですね。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。