キヤノン製品の脆弱性対策強化情報収集サイトを立ち上げ

2023年2月15日

URLをコピーしました！

キヤノンが製品の脆弱性収集サイト立ち上げへ

キヤノンが製品の脆弱性を収集するサイトを立ち上げ、キヤノン製品のセキュリティ対策を強化することが明らかになりました。どのような内容なのでしょうか？

それでは記事をみてみましょう。

2023年2月15日
キヤノン株式会社

キヤノンが製品・サービスに関する脆弱性情報を収集するセキュリティサイトを開設 CNAの認定を取得し脆弱性対応体制を強化

キヤノンは、自社の製品やサービスにおける脆弱性情報を一元的に受け付けて対応を行う「Canon PSIRT（Product Security Incident Response Team）」を発足し、脆弱性情報を収集するセキュリティサイト（https://psirt.canon）を開設しました。さらに、脆弱性の共通識別子として国際的に使用されている「CVE（Common Vulnerabilities and Exposures）ID」を自ら採番することができる「CNA（CVE Numbering Authority）」の認定※1を取得し、脆弱性対応体制を強化しています。

1. 製品やサービスに関する脆弱性情報を収集するセキュリティサイトを開設

キヤノンは、全世界のセキュリティ研究者などがキヤノンの製品やサービスにおける脆弱性を発見した場合に、その脆弱性情報を報告する窓口としてセキュリティサイト「グローバルCanon PSIRTサイト」を開設しました。これにより、キヤノンと全世界のセキュリティ研究者が迅速にコミュニケーションをとり、セキュリティ問題の早期発見と解決を図ります。
セキュリティサイト「グローバルCanon PSIRTサイト」※2：https://psirt.canon（英語のみ）

2. 「CVE ID」を自ら採番することが可能な「CNA」の認定を取得

「CVE ID」とは、脆弱性を発見するための国際的な枠組みである「CVEプログラム」によって管理運営されている脆弱性情報データベースにおいて、それぞれの脆弱性情報に割り当てられる固有の番号です。「CVE ID」を使用することで、特定の脆弱性情報を一貫して管理することができ、容易に情報を共有することや、相互に情報を関連付けることなどができます。キヤノンは、自社の製品やサービスの脆弱性情報に対して「CVE ID」を自ら割り当て、発行することができる「CNA」に認定されたことにより、従来は第三者が採番していた「CVE ID」を、自社の製品やサービスの脆弱性情報に対して、より迅速に自ら採番することができるようになりました。これにより、セキュリティ問題への迅速な対処が期待できます。

キヤノンは、今後もお客様が安心して製品・サービスを使用できるよう、脆弱性対応体制を強化し、継続的なセキュリティレベルの向上を図ります。

キヤノンがセキュリティ対策に本気の取り組み

キヤノンが独自にCVE IDを発行することができる権限を取得することができたようです。このCVE IDというのは、世界で利用されているユニークなIDで、特定の製品にある脆弱性に対して異なる番号として割り当てられるものです。

たとえば、CVE IDはCVE-2023-xxxxのような表記になっていて、最初の4桁は西暦、xxxxは製品にある脆弱性に対して割り当てられた連番になります。これを発行することにより、どの脆弱性がどの製品に由来しているですとか、同じ脆弱性に対する複数の対応策をたばねて検索することができるなど、脆弱性情報の収集に役立つということになります。

キヤノン製品がどのようにセキュリティの問題に関係するのか？と思うかもしれませんが、実は結構いろいろ関わりあります。

例えばWiFi関連に脆弱性があり、カメラのWiFi機能を通じて自宅のネットワークに入り込むことができるとか、ネットワークに接続されたプリンタの管理画面に入ることができ自由に操作できてしまうとか、直前にコピーしたデータがプリンタのメモリに残っていて、そのデータを抽出することで機密情報を入手できてしまうとか、様々なことが考えられます。

またネットワークカメラなどでも、自由に管理画面に入ることができれば、カメラに映し出されている内容を自由に閲覧ができてしまうなど問題が発生する可能性があります。

恐らくキヤノンはこれらのセキュリティに関する問題が、今後かなり重要になってくると考えていて、対策していこうと考えているのだと思いますね。個人的には、以前にアメリカキヤノンであったランサムウェアの問題が今回の施策のきっかけになったのではないかと思います。