Translated message

A translation of this page exists in English.

Red Hat における製品セキュリティーの Incident Response Plan (IRP)

更新 -

Red Hat は、中核データセンターからネットワークエッジまで、さまざまなプラットフォームや環境にまたがって使用する、企業向けの安全で強化されたオープンソースソリューションの提供に取り組んでいます。明確に責任を持って運営することで、オープンソースコミュニティーの活動を活発化し、柔軟で強力な IT インフラストラクチャーソリューションの構築をお手伝いします。

Red Hat の Product Security チームは、セキュアな開発と業界標準によるソリューションを構築するために、当社の製品部門と協力しています。 セキュアな開発プロセスの最終段階では、インシデントの対応に集中し、当社の製品とサポート対象サービスの修正に必要な手順に重点を置いています。脆弱性が公開および特定されると、Product Security Incident Response Team (PSIRT) は当社の製品をセキュアにし、お客様のプラットフォームやエコシステムのセキュリティーが保護されるように、これらの脆弱性を即座に評価し、修正します。

PSIRT は、すべての Red Hat 製品で脆弱性の対応を調整し、Red Hat の Product Security Incident Response Plan (IRP) に従います。IRP は主な内部関係者を対象とし、脆弱性を解決するために必要なリソースを修正やテストに割り当て、サブスクリプションを持つお客様に修正を配布するよう指示します。

Red Hat Product Security は、IRP に従って積極的に準備することで Red Hat 製品やサービスに関連するセキュリティーのインシデントに効果的に対応します。これには 4 つのフェーズがあります。

  1. Notification & Triage (通知 & トリアージ)
  2. Assessment & Coordination (評価 & 調整)
  3. Remediation & Release (修正 & リリース)
  4. Recovery & Close (リカバリー & 終了)

Red Hat Product Security は、この 4 つのフェーズに従うことで、Red Hat 製品およびサービスに関連するセキュリティー上の問題を適時および適切に管理できます。このプロセスにより、お客様、パートナー、およびその他の関係者に情報を迅速かつ確実に提供することができます。セキュリティー脆弱性の重大度に関係なく、IRP には Red Hat が対応する「5 W 1 H」(What、Where、Who、Why、How) が記載されています。



この図は、Red Hat 製品インシデントのトリアージと解決の両方に関連する手順の概要と、お客様から見た価値を表しています。

Red Hat Product Security は、Red Hat 製品またはサービスで使用されるプロジェクトやパッケージに影響を与える、検出または報告済みのセキュリティー脆弱性を検証します。セキュリティー上の不具合が大きく懸念されることがあり、メディアでも大きく注目されることがあります。これらの問題は、名前、ロゴ、Web サイトなどで「ブランド化」されることがあり、すでに悪用されていたり (In the wild)、当社製品のコアパッケージや運用で重大な問題となる可能性があります。

また、IRP は Red Hat の社員が脆弱性の事実を認識し、その事実を広めることにも貢献します。IRP の目的は、パッチの迅速な配信だけでなく、特定の問題がもたらすリスクの実際のレベルに関する明確で正確な情報を提供することにあります。よって、問題が公になり、認識された場合に、影響を冷静に評価し、熟考された計画を実行して、問題を軽減および修正することができます。

IRP は、問題の修復および状況に関してプロセスフローを明確化し、作業の担当を割り当てます。 処理や診断の情報は、Red Hat カスタマーポータルの Vulnerability Response Center で追跡できます。ここでは、脆弱性に関する完全な詳細が明確に示されています。また、重大度のレベルCVE の情報 の詳細も同じ場所で確認できます。セキュリティーアドバイザリーへのリンクも提供されています。

Red Hat Product Security チームは、通知とパッチの他にも、利用可能な軽減策、独自の環境内でダウンロードおよび使用できる検出スクリプト、および脆弱性の検出と修正に活用できる Ansible Playbook を提供します。

修正が提供されると、Red Hat Product Security はさまざまなコミュニケーションチャネルを使用して、ユーザーが希望する方法 (従来のナレッジベースの記事、メールによるアラート、ソーシャルメディアによるアラートなど) で情報を配信します。Red Hat Insights のサブスクリプションをお持ちのお客様は、問題が即座に通知されます。脆弱である範囲が正確に報告され、多くの場合で修正オプションも提供されます。