アクシスコミュニケーションズはCVE Numbering Authority (CNA) として承認されました

Common Vulnerability and Exposures (CVE: 共通脆弱性識別子)が、Axisの採用しているACV (Axisの重大な脆弱性) 採番方式にとって代わります。そして業界標準の慣行に従った脆弱性管理を保証します。お客様は、MITRE社が提供する脆弱性通知サービスを利用し、Axisの製品やソリューションにセキュリティ強化対策を迅速に実装できるようになります。

CVEプログラムは確かな基盤に基づいており、ネットワークセキュリティスキャンツールの多くは、スキャナーのライブラリとしてMITRE社のCVEデータベースを使用しています。これにより、企業は脆弱性について一貫した説明を提供し、セキュリティ対策の展開をサポートできます。今回の承認によって、Axisは自社の製品やファームウェアの脆弱性にCVE識別子を割り当て、ユーザーのデバイスまたはネットワークスキャンツールを介してエンドユーザーに脆弱性を通知できるようになります。このプロセスを標準化することで、Axisのセキュリティに対する信頼性がさらに高まります。

アクシスコミュニケーションズのグローバルプロジェクトマネージャーであるセバスチャン・フルトクヴィスト (Sebastian Hultqvist) 氏は、次のように述べています。「CNAとして認識されることは、私たちの継続的な取り組みの証であり、Axisの脆弱性管理とセキュリティのベストプラクティスを明確に示すものです。当社の製品とソリューションのセキュリティは常に最優先事項であり、MITRE社とお客様と連携して、セキュリティリスクに対する問題解決プロセスを可能な限り迅速化し簡略化できるよう取り組んでいます。

悪意のある攻撃者は、既存の脆弱性を悪用してネットワークにアクセスするのを待ってはくれません。CNAとして認定されたことで、当社はお客様のデータの安全性を保つためのより優れたサポートを提供し、プロセスの透明性を高め、ひいては信頼性を高めます。」

AxisのACV採番プロセスは、CVE採番プロセスに置き換えられます。このプロセスはMITRE社のデータベースで確認することが可能です。また、詳細情報についてはAxisの製品セキュリティページでご覧いただけます。

 CNAとは、新たな脆弱性を公表する際に、製品に影響を与える明確で規定された範囲内の脆弱性にCVEエントリを割り当てることを許可されている世界各国の組織です。CNAは、CVE IDをリクエストするための主要な手段です。

CVEとはコミュニティベースの国際的な取り組みであり、コミュニティに依存して脆弱性を見つけ出しています。脆弱性が発見されるとCVE IDが割り当てられ、CVE リストに公開されます。 

1999年に運用が開始されたCVE (www.cve.mitre.org) は現在、脆弱性識別子の業界標準となっています。CVEは、米国国土安全保障省 (DHS)、サイバーセキュリティ通信オフィスのUS-CERT (米国コンピューター緊急事態対策チーム) から支援を受けています。CVEリストは、DHSの連邦政府出資研究開発センター (FFRDC) として運営されているMITRE社によって著作権が保護されています。CVEエントリ (「CVE」、「CVE ID」、「CVE番号」とも呼ばれます) は、サイバーセキュリティ製品とサービスが相互に通信できるよう、データ交換の参照ポイントを提供します。また、CVEエントリはツールとサービスの適用範囲を評価するためのベースラインも提供するため、ユーザーは自社のニーズに最も効果的で適切なツールを判断することができます。CVEに対応する製品やサービスは、より優れた適用範囲と相互運用性に加え、セキュリティの強化を提供します。