- CVEプログラムに参加し潜在的なセキュリティリスクの責任ある開示を推進
日本・東京、2023年10月17日 – パスワード、特権アクセス、シークレット、リモート接続の保護に向けてゼロトラストおよびゼロ知識アーキテクチャを活用したクラウドベースのサイバーセキュリティソフトウェアを提供するKeeper Security APAC株式会社(アジアパシフィック本社:東京、CEO・共同創業者:Darren Guccione、以下「キーパー・セキュリティ」)は、情報セキュリティの脆弱性情報を収集し管理するCVE(Common Vulnerabilities and Exposures、共通脆弱性識別子)プログラムにおいて、CVE採番機関(CNA)に認定されたことを発表しました。今後キーパー・セキュリティは、このグローバルな取り組みに参加する初のパスワード管理会社として、開示されたサイバーセキュリティに関する脆弱性の特定、定義、分類を実施します。
CVEは米国国土安全保障省(DHS)サイバーセキュリティ・社会基盤安全保障庁(CISA)が支援するプログラムであり、CISAはCVEリストを利用して悪用が確認された既知の脆弱性カタログ(Known Exploited Vulnerability Catalog)を作成しています。このリストを利用することで、組織はリストにある脆弱性の修復に優先順位を付け、既知の脅威行為者による侵害の可能性を低減させることができます。また、このCVEリストは、セキュリティ設定共通化手順(Security Content Automation Protocol、SCAP)に基づいて数値化された米国国立標準技術研究所(NIST)が管理する米国国家脆弱性データベース(NVD)にも利用されています。
キーパー・セキュリティは、今後CANパートナーとして、CVE ID(CVE認識番号)の直接割り当てや、自社のソースコードで発見された脆弱性およびキーパー・セキュリティが発見したサードパーティ製ソフトウェアの脆弱性(他のCNAの対象となっていないもの)に関するCVE記録を公開することが可能になります。また、キーパー・セキュリティはCVEリストを通じて情報を公開し、世界中の情報技術およびサイバーセキュリティの専門家は、脆弱性への優先順位付けや対処方法の調整にこのリストを利用します。
キーパー・セキュリティのCTO兼共同創業者であるCraig Lureyは、「私たちはCNAパートナーになることで、潜在的なセキュリティ問題の責任ある開示(Responsible Disclosure)に対する当社の継続的な取り組みをさらに加速させてまいります。私たちの使命は、世界で最も安全かつ革新的なサイバーセキュリティソフトウェアを提供することであり、人々が信頼を置くすべてのデジタル製品およびサービスのセキュリティを確保する上でCVEのようなプログラムは不可欠です」と話しています。
キーパー・セキュリティは、潜在的なセキュリティ問題の責任ある開示という業界のベストプラクティスに取り組んでおり、お客様のセキュリティとプライバシーを重視し、お客様の個人データの保護に努めています。ユーザーの安全を保つことは、キーパー・セキュリティの組織としての価値観の中核を成すものであり、善意の研究者の意見を尊重し、サイバーセキュリティコミュニティと継続的な関係性を築くことで、ユーザーのセキュリティとプライバシーを確保し、インターネット全体の安全性をさらに高めることができると確信しています。これには、責任あるセキュリティテストとセキュリティ脆弱性の開示の奨励が含まれます。
キーパー・セキュリティは、四半期ごとにすべての自社製品およびシステムに対して、さまざまなサイバー攻撃手法によってシステムの安全性を検証するペンテスト(ペネトレーションテスト、侵入テスト)を実施しており、このテストにはNCC GroupやCybertestなどサードパーティのペンテスターが携わっています。これには、完全なソースコードへのアクセスを伴う、社内および社外に公開されたシステムに対するレッドチーム(疑似的にシステムを攻撃して問題を見つけ出す)方式のペンテストが含まれます。また、キーパー・セキュリティは、クラウドソーシングセキュリティ企業のBugcrowdと提携して、バグバウンティ(脆弱性報奨金制度)や脆弱性開示プログラム(VDP)の運営を行っています。これは、脆弱性を発見して報告したホワイトハッカーに報酬を与える仕組みであり、キーパー・セキュリティの高いセキュリティ基準を継続的に維持するためにハッカーコミュニティが活用されています。キーパー・セキュリティのVDPに関する詳細は、bugcrowd.com/keepersecurityをご参照ください。