Nozomi Networks R&Dチームにとって、当社製品のセキュリティ確保と、OT およびIoT 環境におけるセキュリティ問題の絶え間ない探求は、最優先事項です。私たちは、この取り組みが世界中の監視を支援する運用インフラのセキュリティにとって極めて重要であることを認識しているため、常にこの取り組みに磨きをかける方法を模索しています。
そのため本日、Common Vulnerabilities and Exposures (CVE) ProgramからCVE Numbering Authority (CNA)を授与されたことをお知らせします。CNAとして、私たちは新たに特定された脆弱性にCVE番号を付与し、これらの脆弱性に関する情報を公開することができるようになりました。これには、Nozomi Networks 、他のCNAではカバーされていないサードパーティのオートメーションおよび産業用製品で発見された脆弱性へのCVE番号の割り当てが含まれます。
共通脆弱性暴露(CVE)プログラムについて
CVE(Common Vulnerabilities and Exposures)プログラムは、サイバーセキュリティの脆弱性を特定し、命名するための国際標準として認識されており、コミュニティ主導で脆弱性の登録を維持しています。レジストリを通じて割り当てられたCVE IDにより、攻撃からシステムを保護するために使用されている脆弱性情報を迅速に発見し、関連付けることが可能になります。米国国土安全保障省(DHS)のサイバーセキュリティおよびインフラセキュリティ局(CISA)が後援するこのプログラムは、MITREによって運営され、米国の国家脆弱性データベース(NVD)に供給されています。
「Nozomi Networks CVE ナンバリング権限を付与できることを嬉しく思います。Nozomi Networks ラボの研究者チームは、自社製品のセキュリティ確保への深いコミットメントに加え、他の産業機器やソフトウェアの脆弱性の特定にも取り組んでいます。Nozomi Networks 米国ICS-CERTへの責任ある情報開示の数で業界をリードしています。同社は、影響を受けた顧客やベンダーが特定された脆弱性に迅速に対処できるよう、一貫して高い専門性と専門知識を発揮してきた。OT とIoT のサイバーセキュリティに関する彼らの専門知識と、自社製品のサイバーセキュリティを確保するために確立したプロセスにより、彼らはCNAチームの重要なメンバーとなっている。"
- スコット・ローラー(LP3 CEO、CVE理事
Nozomi Networks' CVE番号付与機関(CNA)のスコープ
CNA 組織は、その特定の範囲内で CVE エントリを割り当て、管理する。当社の場合、Nozomi Networks 当社の製品で発見されたパブリックな脆弱性と、Nozomi Networks ラボが他の特定のCNAでカバーされていないサードパーティ製品で発見した脆弱性にCVE IDを割り当てます。
世界中の産業Networks の保護に焦点を当て続けている。
Nozomi Networks 研究者は責任ある情報開示を 12 件以上行い、現在までに 13 件の CISA ICS-CERT Advisory を作成しています。当社は、検出されたあらゆる活動に対する即時のコンテキストで顧客をサポートするために、検出およびアラート機能においてICS用語のためのMITRE ATT&CK Frameworkを使用しています。Nozomi Networks 製品はISO 9001: 2015認証を取得しています。使用されている品質管理システムは、製品のセキュリティ・ステップを形式化し、その中でサイバーセキュリティの問題を最先端技術でカバーすることを保証しています。
先月、セキュリティ勧告を掲載し、セキュリティ対応チームの連絡先を提供するために、製品セキュリティインシデントレスポンスチーム(PSIRT)のウェブページを立ち上げました。CNA になることで、お客様により良いインシデント処理手順を保証し、Nozomi Networks Labs が発見したセキュリティ勧告(SA)のワークフローを改善することができます。
CNAのステータスを獲得できたことを光栄に思います。お客様と業界全体を支援したいという私たちの情熱が、Nozomi Networks ' 革新と成功の歴史を支えています。これは、世界中の人々が頼りにしているオペレーション・インフラのセキュリティを強化するために、私たちがさらに貢献できる重要なマイルストーンです。
当社のサイバーセキュリティ脅威に関する勧告、調査レポート、コミュニティツールの詳細については、Nozomi Networks Labsをご覧ください。
