コーポレート 日本語 (言語切替)
コーポレート
会社紹介、ニュース&展示会の活動など
コンシューマー向け製品
携帯電話、PC、タブレット、ウェアラブルなどの個人用および家庭用製品
法人向け製品
企業ユーザー向け製品、ソリューション、サービス
通信事業者向け製品
通信機器、ソリューションおよびサービス
Huawei Cloud
ファーウェイクラウドサービスの製品およびソリューション

国または地域を選んでください

このサイトはCookieを使用しています。 サイトを閲覧し続けることで、Cookieの使用に同意したものとみなされます。 プライバシーポリシーを読む>

脆弱性対応プロセスおよび開示ポリシー

ファーウェイの脆弱性管理原則

当社の主要な開発戦略の1つは、「エンドツーエンドのグローバルサイバーセキュリティ保証システム」の継続的な構築と完全な実施を維持することです。この考えのもと、ポリシー、組織、プロセス、管理、技術、仕様を網羅する持続可能で信頼性の高い脆弱性管理システムを確立しました。さらに、外部ステークホルダーとオープンな姿勢で課題に取り組み続けています。

脆弱性に対する基本姿勢と計画を明確化するため、脆弱性管理に関する以下の5つの基本原則を提唱します。

1. 被害とリスクの低減

ファーウェイの製品・サービスの脆弱性により、お客様またはユーザーに生じる被害とセキュリティリスクを低減または排除することが、脆弱性管理のビジョンであり、脆弱性対応・開示における指針です。

2. 脆弱性の低減と緩和

業界では脆弱性は避けられないという共通認識があるものの、当社は以下の取り組みを継続します。(1) 製品・サービスにおける脆弱性を低減する措置を講じます。(2) 製品・サービスで脆弱性が発見された後、お客様およびユーザーに迅速にリスク緩和策を提供します。

3. 積極的な管理

脆弱性問題はサプライチェーン全体の上流・下流パートナーと共同で解決する必要があります。当社は脆弱性管理における責任と要件(事業運営に関する適用法令・規制、契約要件、適用される公的基準を含む)を積極的に特定し、脆弱性を積極的に管理する体制を構築します

4. 継続的な最適化

脅威は絶えず進化しているため、サイバーセキュリティは防御側が常に革新を続ける必要がある継続的なプロセスです。脆弱性管理プロセスと基準の最適化を継続し、業界標準やベストプラクティスから学び、脆弱性管理の成熟度向上を図ります。

5. 開放性と協働

サプライチェーンの上流・下流パートナー、セキュリティ研究者、セキュリティ企業、規制当局を含むサプライチェーン及び外部セキュリティエコシステムとの連携強化に向け、当社はオープンかつ協力的姿勢を維持します。脆弱性管理活動においては、ステークホルダーとの協働を拡大し、信頼できるパートナーシップを構築します。

これらの原則および業界標準であるISO/IEC 30111、ISO/IEC 29147、ISO/SAE 21434に準拠し、当社は堅牢な脆弱性管理プロセスを確立しました。当社は常に責任を堅持し、脆弱性の悪用によるリスクを軽減し、お客様を保護するために可能な限りの努力を尽くします。

脆弱性への対応プロセス

お客様のネットワークやサービスの安全な運用を全面的にサポートするため、当社は製品のセキュリティ向上に注力しています。製品の開発と保守において、脆弱性管理を常に重視し、ISO/IEC 30111およびISO/IEC 29147に基づく堅牢な脆弱性対応プロセスを確立することで、製品のセキュリティ向上と脆弱性への迅速な対応を実現しています。

  1. 脆弱性の認識: 製品において脆弱性の疑いがある情報を受け取り収集します。
  2. 検証・評価: 脆弱性の疑いの有効性と影響範囲を確認します。
  3. 脆弱性の修正: 脆弱性修正策を開発し実施します。
  4. 修正情報の公開: 脆弱性修正情報をお客様に公開します。
  5. クローズドループ改善: お客様からのフィードバックと実践に基づき継続的な改善を行います。

弱性を迅速に把握することは、タイムリーな対応のための重要な前提条件です。セキュリティ研究者、業界団体、お客様、サプライヤーの皆様には、脆弱性の疑いを当社の「製品セキュリティインシデント対応チーム(Product Security Incident Response Team、PSIRT)」に積極的に報告していただくよう推奨し、上流サプライヤーには納品物における脆弱性を速やかに当社に報告することを義務付けています。一方、当社は既知の公開脆弱性データベース、オープンソースコミュニティ、セキュリティ関連ウェブサイトその他の情報源を積極的に監視し、ファーウェイ製品に関連する脆弱性を迅速に検知しています。当社が把握したすべての疑わしい脆弱性を管理し、サービス・サポート終了(EOS)を迎えていない全製品バージョンへの影響を調査します。業界のベストプラクティスに基づき、お客様にはソフトウェア更新の権利を確保するため、製品サポートの提供状況を定期的に確認されることを強く推奨します。

脆弱性の疑いがあると報告を受けた後、当社の製品セキュリティインシデント対応チーム(PSIRT)は関連製品チームと連携し、脆弱性を分析・検証し、製品への実際の影響に基づいて重大度を評価し、修正の優先順位を決定し、修正策(緩和策、パッチ/バージョン、お客様が実施可能なその他のリスク緩和策を含む)を開発します。被害とリスクの軽減という原則に基づき、脆弱性情報を関係者に公開し、脆弱性がネットワークに及ぼす実際のリスクをお客様が評価できるよう支援します。

製品の開発、納品、展開の過程でサプライヤーが提供する製品またはサービスに脆弱性が発見された場合、当社はサプライヤーに積極的に連絡を取り、脆弱性の修正を依頼します。オープンソースソフトウェアの脆弱性については、オープンソースコミュニティの脆弱性管理ポリシーを遵守し、脆弱性の疑いをコミュニティに報告し、コミュニティがタイムリーに修正策を公開するよう促すとともに、当社の修正策をコミュニティに積極的に提供します。

当社の製品セキュリティインシデント対応チーム(PSIRT)は、報告者と連携して脆弱性に対応します。脆弱性解決を促進するため、当社はコーディネーターとして機能するか、またはサードパーティのコーディネーションセンターと連携して、脆弱性情報を他のベンダーや標準化団体に転送します。脆弱性が標準プロトコルに関係する場合、報告者は当社の製品セキュリティインシデント対応チームへの報告時に業界団体にも通知することを推奨します。例えば、3GPPプロトコルに関連する脆弱性は、GSMAの協調的脆弱性開示(Coordinated Vulnerability Disclosure、CVD)プログラムに報告できます。

当社は継続的な最適化の原則に基づき、製品セキュリティと脆弱性対応プロセスを継続的に改善していきます。

当社の製品セキュリティインシデント対応チームは、脆弱性対応プロセス全体を通じて、脆弱性情報が関連する担当者間でのみ伝達されることを厳格に保証します。お客様に完全な解決策を提供できるまで、情報の機密性を維持していただきますようお願いいたします。

当社は法令遵守要件に基づき、取得したデータを保護するために必要かつ合理的な措置を講じます。法律または影響を受けるお客様から別途要請されない限り、データを積極的に他者と共有または開示することはありません。

脆弱性の深刻度評価

当社製品における疑わしい脆弱性の深刻度は、業界標準に基づいて評価しています。例えば、共通脆弱性評価システム(Common Vulnerability Scoring System、CVSS)は、基本スコア、現状スコア、環境スコアの3つの指標グループで構成されています。通常は基本スコアを提供し、場合によっては、典型的なシナリオにおける現状スコアと環境スコアも提供します。エンドユーザーには、ネットワーク状況に基づいて実際の環境スコアを評価することを推奨しています。このスコアは特定の環境における最終的な脆弱性スコアとして使用され、脆弱性対策導入の意思決定を支援します。

Huawei Cloudにおいては、脆弱性の悪用リスク評価結果に基づいて脆弱性の優先順位が決定されます。インテリジェントオートモーティブソリューション(IAS)事業部では、ISO/SAE 21434に従って製品への実際の影響に基づいて脆弱性の深刻度を評価し、その深刻度に基づいて脆弱性対策の優先順位を決定します。

業界によって採用されている基準は異なります。脆弱性をより簡便に分類する方法として、「セキュリティ深刻度評価(Security Severity Rating、SSR)」を採用しています。セキュリティ深刻度評価では、全体的な深刻度スコアに基づいて、脆弱性を「重大」、「高」、「中」、「低」、「情報」に分類できます。

サードパーティ製ソフトウェアの脆弱性

サードパーティ製ソフトウェア/コンポーネントが当社製品にさまざまな方法で統合される個別のシナリオを考慮し、脆弱性の実際の影響を反映するため、当社は具体的なシナリオに基づいてサードパーティ製ソフトウェア/コンポーネントの脆弱性スコアを調整します。例えば、サードパーティ製ソフトウェア/コンポーネント内の影響を受けるモジュールが呼び出されない場合、その脆弱性は「悪用不可能であり、影響はない」とみなされます。既存の評価システムでカバーされていない側面については、ファーウェイが評価結果の解釈に責任を負います。

以下の条件をすべて満たす場合、当社は脆弱性を重大と見なします。

  • CVSSスコアが4.0以上であること。
  • 広く世間の注目を集めていること。
  • 脆弱性が悪用される可能性が高い、または既に悪用されている、あるいは実環境で悪用される可能性があること。

注目を集めているサードパーティ脆弱性については、サポート終了(EOS)を迎えていない全製品バージョンを対象に調査を実施し、脆弱性が注目に値すると確認された後24時間以内にセキュリティ通知(Security Notice、SN)を発行し、関連する顧客に処理進捗を通知します。脆弱性対策が利用可能な場合、セキュリティ勧告(Security Advisory、SA)を公開し、お客様のリスク判断と対策を支援します。重要度が高いとみなされないサードパーティ脆弱性については、リリースノート(Release Notes、RN)に記載します。

脆弱性情報公開

公開文書

脆弱性情報と修正策は、以下の公開文書で提供します。

  • SA: セキュリティ勧告(SA)は脆弱性の深刻度、サービスへの影響、修正策などの情報を含む修正策に関する通知です。ファーウェイ製品に直接関連する重大および高リスクの脆弱性、対応する修正策はSAを通じて公開されます。SAでは、脆弱性を機械可読形式(XMLファイル)で記述するために設計された共通脆弱性報告フレームワーク(Common Vulnerability Reporting Framework、CVRF)のダウンロードオプションを提供しており、影響を受けるお客様が自社のツールで使用できるようにしています。
  • SN: セキュリティ通知(SN)は製品に関する公開セキュリティトピック(脆弱性関連またはその他のトピック)に対応します。情報提供目的(例:ブログ、ディスカッションリスト、その他の公開フォーラムで議論された問題)のセキュリティ深刻度評価(SSR)に関する情報は、SNを通じて公開されます。さらに、SNは特定のシナリオにおいて、当社の脆弱性対応進捗をお客様に通知するためにも使用されます。例えば、ファーウェイ製品バージョンの脆弱性が広く公の関心を集めている場合や、実環境での悪用が検出された場合などが該当します。
  • RN: リリースノート(RN)には修正済み脆弱性に関する情報が含まれます。RNは製品バージョン/パッチと共にリリースされる成果物の一部であり、セキュリティ深刻度評価(SSR)が中~低程度の脆弱性を記載します。RNはSAを通じてリリースされた脆弱性と対応する修正措置も対象とします。これはお客様がバージョン/パッチの脆弱性リスクを包括的に評価するのを支援するためです。プライベートクラウドの場合、RNはクラウドサービス製品のバージョン文書に含まれます。コンシューマー製品の場合、RNは定期的な情報公開に含まれます。

対応の経路

ファーウェイはSAおよびSNをリリースし、お客様に脆弱性修正情報を提供します。RNは製品バージョン/パッチと共にリリースされる成果物の一部であり、お客様は製品バージョン/パッチと併せて入手できます。

計画

以下の条件のいずれか1つ以上を満たす場合、稼働ネットワーク上のリスクに関するお客様の意思決定を支援するため、SNまたはSAをリリースします。

  • 脆弱性SSRが重大または高リスクである。脆弱性対応プロセスを完了し、お客様の稼働ネットワークにおけるリスク軽減を支援する脆弱性修正策を提供できる状態にある。
  • ファーウェイ製品バージョンの脆弱性が広く社会的関心を集める可能性がある、または実環境での悪用が確認されている場合、お客様のリスクは増大します。この場合、当社は対応を加速し、上記条件を確認後24時間以内にSNをリリースするとともに、脆弱性対応の進捗をお客様に随時お知らせします。
  • グローバルなサイバーリスクを最小化するため、第三者との開示スケジュール調整にあたっては、協調的脆弱性開示(CVD)ポリシーを遵守します。

スケジュール

お客様のパッチ適用計画の策定とリスク評価をより適切に支援するため、SAを定期的に(水曜日)リリースしています。また、以下の場合には、このスケジュール以外にもSAをリリースすることがあります(これらに限定されません)。

  • 脆弱性を悪用した攻撃が活発に行われている。
  • 当社製品の脆弱性について、広く社会から懸念が生じている。
  • 当社が第三者機関と協力して脆弱性を公開している。

注: Huawei Cloudについては、Huawei Cloudセキュリティホワイトペーパーに準拠して脆弱性情報と修正ソリューションを公開します。コンシューマー向け製品については通常、定期的なセキュリティ情報で脆弱性情報と修正策を公開します。

更新ソフトウェアの入手方法

脆弱性管理は、製品/ソフトウェアバージョンのライフサイクルマイルストーンに基づいています。ファーウェイの製品セキュリティインシデント対応チーム(PSIRT)は、全製品/バージョンがEOS(サポート終了)に達する前に脆弱性を管理します。脆弱性修正はフルサポート終了(End of Full Support、EOFS)前に提供されます。脆弱性深刻度評価(SSR)が重大または高と判定された脆弱性は、EOFS後に適宜修正されます。製品チームは、本ポリシーで定義されていないマイルストーンを使用する場合があります。その他のマイルストーンにおける脆弱性修正サポートの詳細については、各製品のドキュメントを参照してください。

ユーザーの皆様は契約に基づいて、パッチ適用または新製品/ソフトウェアバージョンへのアップグレードにより脆弱性リスクを軽減できます。有効なライセンス(実稼働ネットワークでアクティベート済み)を有するソフトウェアバージョンのみ取得・使用可能です。脆弱性が修正された製品/バージョンは、新規ソフトウェアライセンス、その他のソフトウェア機能/特徴、またはメジャーバージョンアップの権利を付与するものではありません。バージョンまたはパッチの入手については、当社サポートエンジニアまたはテクニカルサポートセンター(TAC)にお問い合わせください。

通信事業関連製品のお問い合わせはこちらをクリック

法人事業関連製品のお問い合わせはこちらをクリック

コンシューマー向け製品のお問い合わせはこちらをクリック

製品ライフサイクルにおける脆弱性の修正に関する詳細については、ファーウェイの企業向け製品のサポート終了ポリシー (https://support.huawei.com/enterprise/jp/warranty-policy)を参照してください。特定の製品またはソフトウェアバージョンの脆弱性修正機能の詳細については、製品ライフサイクル情報https://support.huawei.com/enterprise/jp/bulletins-productを参照してください。

免責事項および権利の留保

本文書が複数の言語で提供されている場合、中国語版が優先されます。本文書に記載されているポリシーは、保証、義務、または契約の一部を構成するものではありません。当社は、必要に応じて本文書を変更する場合があります。

当社は透明性の向上またはより積極的な対応のために、必要に応じて本文書をいつでも変更または更新する権利を留保します。更新の例は次の通り。

  • お客様、規制当局、業界、その他の利害関係者からのフィードバック
  • ポリシー全体の変更
  • ベストプラクティスの導入

本ポリシーに変更があった場合は、本ポリシーのページ下部にある「更新日」を更新します。

【脆弱性の疑いを報告する】

定義

このポリシーで使用されている用語の定義は以下の通りです。

用語

定義

PGP

Pretty Good Privacy(プリティグッドプライバシー:国際的に使用されているデータを暗号化するプログラム)

TAC

当社のテクニカルサポートセンター

ISO/IEC 29147

国際標準化機構(ISO)が策定した潜在的な脆弱性の開示に関するガイドライン

ISO/IEC 30111

ISOが開発した脆弱性処理プロセス

ISO/SAE 21434

ISOが開発した道路車両サイバーセキュリティエンジニアリング規格

CVSS

共通脆弱性評価システム

GSMA CVD

GSMAの協調的脆弱性開示

SSR

セキュリティ深刻度評価

EOFS

フルサポート終了:新たに発見されたバグの修正および新しいパッチバージョンが提供されなくなること。ただし、当社のテクニカルサポートエンジニアは、EOFS(フルサポート終了)前に発見されたバグの修正を継続します。

EOS

サービスとサポートの終了:障害診断やトラブルシューティングなどのテクニカルサポートサービスが提供されなくなること。


更新日:2022.1.18