Aruba 製品セキュリティ・インシデント対応ポリシー

対象範囲

Aruba のセキュリティ・インシデント対応チーム (SIRT) は、Aruba 製品の脆弱性の情報受け取り、追跡、管理、開示を担当しています。Aruba SIRT は、脆弱性が報告されると、業界、非営利、政府の組織やセキュリティ・コミュニティと積極的に連携します。製品に弱点があり、その弱点を突いて攻撃者が環境に侵入し、何らかの製品、お客様のインフラストラクチャ、または IT システムの信頼性、完全性、可用性を侵害できてしまう場合、そのような弱点をセキュリティ脆弱性といいます。

Aruba SIRT の活動は、Aruba Central といった Aruba の SaaS ソリューションなど、Aruba ブランド名の下に、Aruba, a Hewlett Packard Enterprise company により製造または販売されている製品を対象にしています。現在サポートされており、Aruba ライフサイクル終了ページに記載されているサポート・マイルストーン日に達していない製品およびソフトウェア・リリースのみが対象になります。Aruba ブランド製品に加え、Aruba の子会社または買収会社により製造され、現在サポートされている製品、および HP ProCurve ブランド名で現在サポートされているスイッチング製品も対象になります。

Aruba の SIRT は、ISO/IEC 29147:2018 に準拠しています。

セキュリティ・アシスタンスについて Aruba へのお問い合わせ

Aruba 製品 – セキュリティに関する一般的なお問い合わせ

Aruba 製品のセキュリティについて、以下のような質問や懸念が多くのお客様より寄せられています。

  • セキュリティ関する一般的な質問
  • ハードニング・ガイドで扱っていないセキュリティ関連の構成に関する質問
  • 製品の脆弱性が確認されているか否かに関する質問
  • 特定の CVE に関する質問
  • 脆弱性検査ツールの結果に関する質問
  • 緊急のサポート・アシスタンスが必要

一般的に、こうした種類のお問い合わせは、最初に以下の連絡先情報を使用して Aruba Technical Assistance Center (TAC) までお問い合わせください。

(HP ProCurve 含む) スイッチング製品の緊急サポート他のすべての Aruba 製品の緊急サポート
+1 844 806-3425 (北米)+1 800 943-4526 または +1 408 754-1200 (北米)
北米以外の連絡先情報北米以外の連絡先情報

Aruba HPE 以外の製品

Aruba HPE 以外の他の製品の脆弱性を報告するには、https://www.hpe.com/h41268/live/index_e.aspx?qid=11503 から HPE PSIRT までお問い合わせください。

Aruba の Web サイト、デジタル・ワークプレイス・システム、または製品関連のインシデント

security@hpe.com までメールにてご連絡ください。

Aruba 製品に脆弱性の疑いがあった場合

Aruba 製品に脆弱性の疑いを見つけた場合、POC (概念の実証) コードまたは手順、および/または (Aruba 製品の脆弱性により) Aruba 製品または環境にどのような侵害をもたらしうるかを記載した、以下のすべての情報と共に、Aruba SIRT まで直接お問い合わせください。

こうした製品の脆弱性を Aruba に報告するために推奨される方法は、Aruba のパブリック PGP キー (ID 0x458586D9) を使用してメールを sirt@arubanetworks.com に送信することです。これは、公開鍵サーバーまたは www.arubanetworks.com/support-services/public-key で確認できます。

メールには以下を記載してください。

  1. 問題の概要と、Aruba からの関連したすべての質問に回答できる技術担当者の連絡先
  2. 関係する Aruba ハードウェアのリスト
  3. 関係する Aruba ソフトウェアのバージョン
  4. 問題を再現するために可能な限り十分な情報を提供する詳細な説明
  5. ログ、クラッシュ・ダンプ、スクリーンショット、その他の参考になる情報

お客様のメールが上記条件を満たしている場合、Aruba SIRT は 24 時間以内にメール受信を確認します。メールの確認後、5 営業日以内に報告された問題を検証し、回答を準備する、または必要に応じて詳細をお尋ねする場合もあります。問題を他の組織または人に報告する前に Aruba による回答をお待ちいただければ幸いです。

Aruba SIRT は、「製品でない」HPE または Aruba の IT システム、ネットワーク、または Web サイトについては担当しておらず、それぞれの製品やサービスについては上記の連絡先にお問い合わせください。

Aruba SIRT は、顧客環境において導入されている製品についてはインシデント対応またはフォレンシック調査を実施できませんが、顧客による調査でこれまで不明であった製品脆弱性の証明が明らかになれば、サポートを提供します。

Aruba による製品のセキュリティとインテグリティに対する取り組み

Aruba の製品開発は、一般的に OWASP OpenSAMM フレームワークに従って行われ、Aruba のほとんどの製品は、関連する ISO/IEC 15408 (コモン・クライテリア) 保護プロファイルに準拠するよう設計されています。

HPE および Aruba の企業ポリシーでは、デバイスまたはネットワークの許可されていないアクセス、お客様の機密データの漏えい、セキュリティ機能の回避を可能にすることを目的とした製品の機能を禁じています。これには以下などが含まれます。

  • 許可されていないデバイス・アクセス方法 (バックドア) の非開示
  • 意図的なプロトコルまたは暗号の弱点
  • ハードコードされた、または正規に登録されていないアカウントやアカウント認証情報
  • コミュニケーションチャネルの隠ぺい
  • ネットワーク・トラフィックの複製または転送を可能にする、正規に登録されていない機能

Aruba では、こうした製品挙動を重大な脆弱性とみなし、脆弱性を修正し、脆弱性について公開することによって対応します。

Aruba によるセキュリティ・コミュニティに対する取り組み

Aruba は、セキュリティ・コミュニティやセキュリティ調査者による取り組みを一貫してサポートしており、こうしたコミュニティによるテクノロジー製品のセキュリティを向上させるための取り組みは貴重であると考えています。Aruba は、積極的にセキュリティ・コミュニティと連携しながら、Aruba 製品の脆弱性の発見、確認、対応を行い、責任ある開示プロセスに参加することをコミュニティに奨励しています。

セキュリティ脆弱性の責任ある報告を奨励するために、Aruba では、誠実な正規セキュリティ調査の実施、Aruba 製品またはサービスで脆弱性を報告する個人またはグループに対し、以下のガイドラインに準拠している限り、訴訟を起こしたり、法執行活動を要求したりすることはありません。

  • 脆弱性を再現するために必要なすべての情報を提供する。
  • Aruba のお客様、パートナー、ユーザーのプライバシーに違反しない。プライバシーに影響する情報を入手してしまった場合、この情報をしっかりと Aruba に報告した後に破壊する。
  • 当事者の所有でない情報を変更しない。
  • 情報を公開する前に、Aruba が脆弱性を修正し、開示するのに十分な時間をもてるようにする。Aruba SIRT は、要求に応じて脆弱性について状況の更新情報を積極的に提供します。
  • 法律に違反しない。

実際の例として:

  • Aruba では、誠実な正規セキュリティ調査は、たとえ Aruba テクノロジーのリバース・エンジニアリングに関係していても、Aruba エンドユーザー・ライセンス契約の違反であるとはみなしません。
  • Aruba は、調査において Aruba 製品のセキュリティ対策を回避していても、誠実な正規セキュリティ調査者に対しては、デジタルミレニアム著作権法の下で著作権侵害の申し立てを行うことはありません。
  • Aruba では、誠実な正規セキュリティ調査者による Aruba SIRT 対象製品の アクセスが、調査者が本ポリシーを遵守している限り、コンピュータ犯罪取締法の下で、承認されていないアクセス、または承認を超えるアクセスとしてみなすことはありません。

Aruba は、公開される脆弱性の勧告においてセキュリティ調査者に公に言及し、クレジット表記を行います。Aruba 製品の中には、Bugcrowd が管理するバグ・バウンティ・プログラムに属するものもあり、Aruba は、このプログラムに参加する調査者に報酬を提供します。調査者が最初に Aruba に直接報告した後にバグ・バウンティ・プログラムに報告した場合でも、支払いは行われます。

正規セキュリティ調査において、Aruba 製品が、意図的または非意図的に動作不能 (「故障」) になる場合があります。Aruba は、商業的に合理的な取り組みにより、こうした製品の修理を 1 回限り行い、調査者をサポートします。

Aruba のセキュリティ脆弱性対応プロセス

Aruba 製品に関連した、脆弱性の疑い、または潜在的な脆弱性に関する、Aruba SIRT に送信されるすべてのレポートは、Aruba の SIRT メンバーにより調査および処理されます。この調査は、脆弱性の疑いの説明、および報告者により収集されたその他の参考データを使用して実施されます。場合によっては、調査を開始するために報告者から追加情報を尋ねる場合があります。

Aruba SIRT は、報告された脆弱性の性質と分類の適切な判断を行うために設計された調査および分析のプロセスを使用します。効果的な評価を行うために、報告者による詳細な技術情報と状況に基づいた説明が求められます。Aruba SIRT が最初の評価を実施した後、重大性レベルが割り当てられます。続いて、調査状況や、脆弱性の重大性レベル (該当する場合) を伝えるために報告者に連絡します。Aruba SIRT は、報告者と共に解決のための日程を決めたり、お客様への通知や公開の計画を立てたりします。

Aruba SIRT は、脆弱性の回避策とパッチ・リリースの開発と配布のプロセスを管理する全体的な責任を負います。通知プロセスにおいて顧客サポートを適切に提供するためにこうした監督が必要です。回避策とパッチ・リリースのお客様への配布準備が整ったら、Aruba SIRT は、お客様がアクセスしやすい、SIRT Web サイトで勧告を公開します。

Aruba SIRT に送信されたすべての情報は、機密情報として扱われ、包括的な解決活動計画を提供するために設計された特定のスキルをもつ Aruba 専門家の少数グループにのみ提供されます。また、報告者には、Aruba が解決計画や軽減方法をお客様に提供できる、また、お客様への通知や公開を行うことができるようになるまで、機密情報として取り扱うことをお願いしております。報告者が、脆弱性発見に対し報告者について公に言及すること、または「クレジット表記」を希望する場合、Aruba は、公開セキュリティ勧告においてこれを行います。

開示のガイドライン

Aruba は、ISO/IEC 30111 に準拠して脆弱性を処理し、開示します。

脆弱性の公開は、一般的に修正が完全に行われた場合にのみ行われます。ソフトウェアの複数のブランチ、または複数のソフトウェア製品内で脆弱性が発見された場合、Aruba は、最新のブランチまたは製品が更新され、リリースされた時点で勧告を公開します。しかし、公開されていない脆弱性に関する情報が外部に伝達されていることを Aruba が確認した場合は、脆弱性に関する勧告が回避策または防御策と共に直ちに公開されます。オープンソース・ソフトウェアの脆弱性が公開された場合、Aruba は、その脆弱性が Aruba 製品に影響していることが判明すれば直ちにセキュリティ勧告を発行します。

基本的な脆弱性に関する勧告は、脆弱性、回避策、脆弱性解決の手順に関する一般的な情報で構成されています。公開勧告は、Aruba が最初の 60 日間任意の人にのみ提供する情報です。60 日を過ぎると、Aruba はその単独の裁量で脆弱性に関する完全な詳細を公開する場合があります。(ブログまたはカンファレンスなどで) Aruba の脆弱性に関する詳細を公開したいセキュリティ調査者は、勧告が公開されるまで 60 日間お待ちください。また、こうした情報を公開する場合は、Aruba までお知らせいただけますと幸いです。

開示はいかなる状況においても選択的ではありません。脆弱性についてすべてのお客様に同時に通知することが Aruba の方針です。Aruba のいかなるお客様、パートナー、第三者組織も脆弱性に関する事前通知または追加情報が提供されることはありません。Aruba の OEM パートナーは一般的に、同社セキュリティ対応チームが自身の顧客への通知の準備ができるよう公開より 3 日前に通知されます。Aruba の OEM パートナーは、すべてのエンドユーザーが同時に通知されるよう、契約によって脆弱性通知の日程を Aruba と調整することに合意しています。Aruba の顧客対応の従業員 (TAC、SE など) は、公開より約 18 時間前に勧告が提供されますが、公開されるまで情報を共有することは禁じられています。OEM パートナーおよび顧客対応従業員は、公開勧告のみが提供され、脆弱性の完全な詳細は提供されません。

セキュリティ勧告の通知

セキュリティ勧告は、Aruba SIRT Web サイトで公開されます。このサイトでは、最新の勧告および以前の勧告のアーカイブが確認できます。

Aruba は、セキュリティ勧告の通知メール・サービスを提供しています。このサービスを購読するには、セルフサービス・ポータルにアクセスしてください。この無料サービスは一般に公開されており、商業メーリングリスト・プロバイダーによりベストエフォート型で提供されます。Aruba は、プレミアム・サポート・サービスでその他の通知チャネルを提供する場合がありますが、いかなる状況においても Aruba は「事前通知」のサービスを提供することはありません。

本文書について

本文書は、「現状のまま」で提供され、商品性または特定の目的への適合性の保証を含め、いかなる保証も暗示するものではありません。本文書の情報または本文書の関連資料はお客様の責任で使用してください。Aruba は、事前通知なくいつでも本文書を変更または更新できる権利を留保します。