OpenSSL脆弱性 (通称: Heartbleed) 問題の対応について

2014年4月8日、HPは、オープンソース暗号ソフトウェアライブラリ「OpenSSL」の脆弱性 (通称: Heartbleed / CVE-2014-0160) に関しての報告を受けました。この脆弱性は、メディアから非常に大きな注目を集めました。この脆弱性に関しての詳細は、米国の「National Vulnerability Database」内のページにてご確認ください (リンク先は本ページ下部に掲載)。

一部のHPサーバー製品では、暗号化およびSSLサービスを提供するためにOpenSSLを使用し、貴重な顧客データおよび従業員データを効率よく管理できるセキュアなシステムを提供しています。 「Heartbleed」の脆弱性に関するナレッジをもとに、HPチームは現行のすべてのサポート対象製品に対して積極的かつ包括的なレビューを開始しております。

HPはインターネットにおける脆弱性に大変重要視しており、Information Technology Information Sharing & Analysis Center (IT-ISAC) などの政府機関や業界のパートナーとの間で脆弱性に関する情報を共有し、効率的な対応方法について模索しております。

今回特定された「Heartbleed」と呼ばれる OpenSSLの脆弱性がもたらす影響については、HPは弊社システムやサイトについて脆弱性を精査し、この脆弱性が伝搬しないように必要に応じて改修いたしております。また、HPは一貫性を持ったセキュリティ制御とプロセスを採用し、システムやネットワークを標的とするサイバー攻撃から防御しています。

対処方法

HPの調査が完了するまでの間、以下に示されるセキュリティのベストプラクティスの実践を推奨いたします。

HPではリアルタイムでのセキュリティ情報の配信「HP Security Bulletin (英語)」を行っています。すべてのHP製品は、HPのソフトウェア セキュリティ対策チーム (SSRT) によって管理しており、共通の一元管理されたSecurity Bulletinプロセスを使用しています。 HP Security Bulletinには次の手順でご登録ください。

1. hp.com に移動します。
2. ページ左下部にある「United States HP.com」をクリックします。
3. 「Support」をクリックします。
4. 「Support and Troubleshooting」をクリックします。
5. ページ下部にある「Sign up: driver, support and security alerts」 をクリックします。

製品毎の詳細な情報

• 法人のお客様向けのハードウェア製品
  「HPサポートセンター」にて、ご確認ください。
• 個人のお客様向けのハードウェア製品
  「製品サポート/保守情報」にてご確認ください。
• HPのソフトウェア製品
  「HP Enterprise Security Products handles Heartbleed (英語)」にてご確認ください。
• HP IceWall製品
  「HP IceWallサポートページ」にてご確認ください　(サポートサービス契約、およびユーザー登録が必要です。ユーザー登録の方法などについては担当営業へお問い合わせください)。

サポートドキュメント

HP サーバー、HP ストレージ、HP ネットワーキングそれぞれの製品における詳細情報は以下のCustomer Noticeをご参照ください。
なお、情報は随時更新される可能性があります。最新状況のご確認は英語版の参照をお願いします。

※HPソフトウェアについては2014年5月19日 追記
※HP IceWall製品については2014年5月28日 追記
※リンクの一部削除　2020年11月1日追記

参照

National Vulnerability Database: Vulnerability Summary for CVE-2014-0160