脆弱性管理
CRAでは、製品全体—サードパーティ製コンポーネントを含むすべての構成要素—に対して脆弱性管理の義務が課されています。
製造者は、自社製品に影響を及ぼす脆弱性を特定し、速やかに対応しなければなりません。
特に、悪用が確認された脆弱性については、24時間以内に規制当局へ報告すること、また顧客に対しても適切なタイミングで通知することが求められます。
EU CRA 条文参照
基本的なサイバーセキュリティ要件, 附属書I 第I部 第2条 a項
デジタル要素を含む製品は、サイバーセキュリティを確保し、既知の脆弱性が存在しないことが求められます。また、安全な初期設定が施され、タイムリーなセキュリティアップデートをサポートする必要があります。さらに、不正アクセスからの保護、データの機密性・完全性・可用性を確保することが義務づけられています。
法令本文を確認するEU CRA 条文参照
技術文書の要件, 附属書 VII 第2条 b項
技術文書には、製品の一般的な説明、ソフトウェア部品表(SBOM)、ユーザー向けの使用説明書を含める必要があります。また、開発および脆弱性対応のプロセス、サイバーセキュリティリスク評価、CEマーキング、EU適合宣言についても詳細に記載する必要があります。
法令本文を確認する
EU CRA 条文参照
早期警告 第II章 製造者の義務、第14条 第2項 a〜c
製造者は、悪用が確認された脆弱性に対して通知を提出する義務があります。具体的には、24時間以内の早期警告、72時間以内の詳細な脆弱性通知、そして是正措置が利用可能となってから14日以内の最終報告が求められます。これらの報告には、脆弱性の詳細、影響範囲、ならびに対応策(緩和手段)を含める必要があります。
法令本文を確認するQt ハイライト
商用ユーザー向けのセキュリティ問題報告について
Qt Groupでは、商用ユーザーからのセキュリティ関連の問い合わせに対し、通常48営業時間以内(プレミアムサポート契約の場合は24時間以内)に対応します。
- 新規の問題の場合:Qt Groupが bugreports.qt.io にチケットを作成します。
- 既知の問題の場合:既存チケットに詳細情報とお客様の優先度を追加します。
- Qt Groupが修正に向けて担当部門に割り当てます。
4. 新たに確認されたセキュリティ問題に対して、Qt GroupがCVE番号を割り当て、最初の「Early Warning List (EWL) 」メールを送信します。
5. 該当の問題は、適切なR&Dチームでの優先対応事項として扱われます。
6. 修正パッチが準備され次第、Qt Groupが2回目のEWLメールを送信します。
7. 修正パッチはリリースに統合され、検証・テストが行われます。
8. Qt Groupが修正リリースを公開し、3回目かつ最終のEWLメールを送信します。あわせて、ブログ投稿、セキュリティアドバイザリ、CVE公開データベースの更新など、公開情報も発信します。
オープンソースユーザー向けのセキュリティ問題報告について
1. ユーザーが security@qt-project.org 宛にメールでセキュリティ問題を報告します。
2. Qt Groupが bugreports.qt.io に非公開の新規チケットを作成、または既存チケットに追加情報を反映します。.
3. R&Dチームによるトリアージを待機します。※実際にセキュリティ問題かどうかの検証、優先度付け、追加情報の要否などを判断します。
※ 本内容はお客様からの課題報告経路の一例を示していますが、R&D(開発部門)に課題が伝えられる方法は他にも複数存在します。
Qtプロジェクトの開発者向けメーリングリストや、サードパーティ製ソフトウェアのプロジェクト経由で報告されるケースも一般的です。
Qt Group 今後の対応
ENISAが提供するインターフェースが利用可能になり次第、活用を開始する方針とする
全製品を対象としたインシデント対応訓練のプロセスおよび運用慣行の体系的な改善
本ページおよび本ウェブサイトに記載されている情報は、法的助言を構成するものではありません。掲載内容は、あくまで情報提供およびテーマに関する議論を目的としたものであり、予告なく変更される可能性があります。Qt Groupは、本ページの内容の正確性や最新性を保証するものではなく、また本ページからリンクされている外部サイトや、外部サイトから本ページへリンクされているコンテンツや運営について一切の責任を負いません。本ページの情報は、法律上の助言の代替として使用すべきものではなく、そのように解釈されるべきではありません。