当社 (株式会社 東芝) は、このたびCNA (CVE採番機関、CVE Numbering Authority)(*1)としてCVE®(Common Vulnerabilities and Exposures)プログラムに参画することとなりました。CNAは自社製品のソフトウェアの脆弱性に対し、CVE ID(ソフトウェアの脆弱性に対して付与される一意かつ共通の識別番号)を付与することができます。これにより、CVE IDの採番を外部に依頼する必要がなくなり、当社は脆弱性に対してより迅速に対応することが可能となります。
CVEは、脆弱性を発見するための、多数の企業・団体等が参画する国際的な取り組みです。発見された脆弱性は、CVEリストで公表されます。CVEプログラムの目的は、公表されたサイバーセキュリティ脆弱性を特定、定義およびリスト化することです。
今般、当社は、CVEプログラムに、CNAの国内でのとりまとめを行うJPCERTコーディネーションセンター(*2)を介して参画することとなりました。
当社は、2016年にPSIRT(Product Security Incident Response Team)を発足し、製品・サービスのセキュリティ強化・リスク低減を目指して活動してまいりました。2017年10月にはサイバー攻撃に対する危機感の高まりを受けCSIRT(Computer Security Incident Response Team)とPSIRTを統合し、東芝サイバーセキュリティセンターを発足しております。また、セキュリティガバナンス強化を目的として東芝グループCISO(Chief Information Security Officer、最高情報セキュリティ責任者)を設置し、東芝グループ全体でサイバーセキュリティ強化を進めております。
当社は、暮らしを支えるインフラサービス企業として、製品・サービスに関する脆弱性情報を開示しております。今後、当社グループ製品に脆弱性が発見された際にはCNAとしてCVE IDを割り当て、適宜情報を公表することで、お客様に安心して当社グループ製品をご利用いただけるよう努めてまいります。
東芝グループのサイバーセキュリティへの取り組みについては、下記サイトにて紹介しております。
■ 東芝 サイバーセキュリティ
https://www.global.toshiba/jp/cybersecurity/corporate.html
■ 東芝PSIRT
https://www.global.toshiba/jp/cybersecurity/corporate/psirt.html
*1 あらかじめ定めた範囲内の製品群における脆弱性に対するCVE ID割当てとそのCVE Recordの作成および公開を担当する組織。
https://cve.mitre.org/about/terminology#cna
*2 インターネットを介して発生するコンピューターセキュリティインシデントに関する情報の収集・分析・対応支援などをはじめ、国際連携が必要なオペレーションや情報連携に関する日本の窓口CSIRT として活動する中立組織
https://www.jpcert.or.jp/
本件の参照先:https://www.global.toshiba/jp/news/corporate/2021/06/news-20210616-01.html