JFrog、脆弱性情報公開のための採番機関に認定

CVE採番機関であるCNAとして認定されたことにより、JFrogリサーチチームは、顧客システムや国家インフラを脅かす脆弱性の識別・緩和を実現

東京発(2021年10月11日) ― 水が流れるようにソフトウェアを継続的にアップデートするLiquid Software(リキッド・ソフトウェア)というビジョンを掲げ、それに基づくJFrog DevOps Platform を提供するJFrog Japan 株式会社(本社:東京都港区、 ジャパン・ジェネラル・マネージャー:田中克典)の親会社であるJFrog Ltd.(以下JFrog)(NASDAQ: FROG) は、 現地時間(サニーベール)10月4日に、CVEプログラムによりCVE採番機関であるCNA(CVE Numbering Authority)として認定されたことを発表しました。CVEプログラムとは、共通脆弱性識別子(CVE)をカタログ化する国際的な取り組みです。

JFrogは、新たに発見されたセキュリティ脆弱性にCVE識別番号(CVE-ID)を付与し、関連する詳細情報をCVEレコードで公開することを許可された官民の精鋭グループに加わりました。この認定により、JFrogはグローバルなセキュリティ・コミュニティと協力して脅威の検知を素早く行うとともに、JFrog Xrayを通じてお客様に最新の脆弱性情報と差別化された改善データを提供できます。

JFrogのCISO(チーフ・インフォメーション・セキュリティ・オフィサー)兼セキュリティ・エンジニアリング担当副社長のモラン・アシュケナージ(Moran Ashkenazi)は次のように述べています。「CVE採番機関(CNA)になることで、セキュリティ・リサーチャーが脆弱性の検証・トリアージを支援できるだけではなく、潜在的な脅威について幅広いセキュリティ・コミュニティと協力することで、企業のバイナリをより安全に保つことができるようになります。ソフトウェアやコネクテッドデバイスにおけるセキュリティリスクの数は増加し続けています。CNAとして、我々はコミュニティと協力して脅威の検出を素早く行い、ビジネスを危険にさらす前に新しい脆弱性に関する情報を迅速に共有する権限を与えられました」

現在、世界中のサイバーセキュリティおよびITの専門家は、重要なソフトウェア脆弱性の特定、優先順位付け、そして対処のためにCVE識別番号を使用しています。CVE識別番号は、JFrogのようにCNAに認定された企業が割り当てています。今回の認定によりJFrogは、信頼できるセキュリティコミュニティの貢献者としてLinux、Red Hat、Google、Microsoftなどの約180のCNA組織に加わる初のDevSecOpsリーダーとなります。

JFrogのセキュリティ事業のチーフ・テクノロジー・オフィサー(CTO)であるアサフ・カラス(Asaf Karas)は次のように述べています。「この度のCNA認定により、新たに発見された脆弱性および不正確または不完全である可能性のある既存のCVEレコードに関する当社独自の調査結果を、お客様やソフトウェア・コミュニティ全般により効果的かつ効率的に広められるようになりました。また、今回の認証により、JFrogはセキュリティ・コミュニティに積極的に参加し、お客様にスケーラブルで安全な、開発からエッジまでのDevSecOpsソリューションを提供するというコミットメントをさらに強化できるようになりました」

JFrogのCNA認定、その認定が企業や国の重要なインフラを保護するためにどのように役立つか、また、セキュリティ脆弱性の開示プロセスについては、こちらのブログ(https://jfrog.com/ja/blog/the-vulnerability-conundrum-improving-the-disclosure-process/)もしくはこちらhttps://jfrog.com/ja/trust/をご覧ください。

###

JFrog Japan株式会社について
JFrog Japan 株式会社は JFrog Ltd. (JFrog)の日本法人として 2018 年に設立。DevOps プラットフォームを開発した JFrog は、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というミッションを掲げています。エンドツーエンドでハイブリッドな JFrog Platform は、現代のソフトウェア開発組織が DevOps の力を完全に取り入れるために必要なツールと可視性を提供します。JFrog のユニバーサルなマルチクラウド DevOps プラットフォームは、AWS、Microsoft Azure、Google Cloud 上で、オープンソース、自己管理型、SaaS サービスとして利用できます。JFrogは何百万人ものユーザーと何千人もの顧客に信頼されています。その中には、ミッションクリティカルなソフトウェアデリバリーパイプラインを管理するために JFrog ソリューションをご活用いただいているフォーチュン100企業の大半が含まれています。詳細は jfrog.com/ja をご覧ください。

CVEプログラムについて
共通脆弱性識別端子 CVE(R)(Common Vulnerabilities and Exposures)プログラムの使命は、一般に公開されているサイバーセキュリティ上の脆弱性を特定、定義、カタログ化することです。カタログに掲載されている各脆弱性には1つのCVEレコードがあります。脆弱性は、CVEプログラムと提携している世界中の組織によって発見され、割り当てられ、公開されます。プログラムのパートナーは、脆弱性の一貫した説明を伝えるためにCVEレコードを公開します。ITおよびサイバーセキュリティの専門家は、同じ問題について議論していることを確認し、脆弱性に優先順位を付けて対処するための努力を調整するためにCVEレコードを使用しています。CVEの脆弱性リストは、米国の国家脆弱性データベース(VulnDB)を供給しており、CVE採番機関(CNA)によって構築されています。CVEプログラムは、米国国土安全保障省(DHS – U.S. Department of Homeland Security)のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA – Cybersecurity and Infrastructure Security Agency)の監督下にあります。

CVEプログラムは、コミュニティによる脆弱性の発見に依存しています。発見された脆弱性は、CVEプログラムと提携している世界中の組織により割り当てられ公開されます。CVEプログラムの方向性を決定するCVEボードは、世界中の産業界、学術界、政府の代表者で構成されています。CVEワーキンググループは、プログラムの方針を策定し(CVEボードにより承認される)コミュニティに公開されます。

CVE採番機関(CNA)について
CVE採番機関(CNA)とは、合意された明確な範囲内の製品に影響を与える脆弱性にCVE識別番号(CVE-ID)を付与し、そのCVE識別番号を新しい脆弱性の最初の公表に含めることを許可された世界中に存在する組織です。このCVE識別番号は、研究者、脆弱性の公開者、ITベンダーに提供されます。このプログラムへの参加は任意であり、参加のメリットとしては、CVE識別番号を割り当てた脆弱性を公開できること、事前に公開せずに脆弱性情報の開示をコントロールできること、さらに、CVE識別番号を要求した研究者に対して、CNAの範囲内において製品の脆弱性を通知できることなどが挙げられます。各CNAの対象製品を確認するには、「CVE IDのリクエスト」のページをご覧ください。

● JFrog の名称、ロゴマークおよびすべての JFrog 製品の名称は、JFrog Ltd. の登録商標または商標です。
● その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。

リリース詳細
提供元: PR TIMES