私はお客様との対話に多くの時間を費やしていますが、その中で共通の話題として挙げられるのが、管理しているアプリケーション環境の複雑化と、その環境の健全性を維持する上での課題です。現在、多くの企業は、オンプレミス、パブリック クラウド、ハイブリッド クラウドまたはマルチクラウドのアプリケーションの複雑なポートフォリオを管理しており、これらのアプリケーションは、増え続けるハードウェア、ソフトウェア、サービス コンポーネントによって構成およびサポートされています。
このように乱雑に広がった状況を管理することは、たとえ最適な状態であっても非常に困難です。それぞれのコンポーネントを注意深く監視し、定期的にメンテナンスやアップデートを行う必要があります。障害、サービスの低下、脆弱性へのパッチ適用など、予期せぬ問題が発生することもあります。さらにこれらによってダウンタイムが発生し、ビジネスに悪影響を及ぼす可能性もあります。多くの企業はこうした事態への対応策を用意していますが、こうした予期せぬ事態の影響を最小限に抑える対策はとても重要なものであると何度も耳にしています。
こうした理由から、当社ソフトウェア製品(BIG-IPおよびNGINX製品ファミリを含む)のセキュリティ問題を一般に公開する方法を変更することになりました。本日から、CVEや公開すべき情報がある場合は、予測可能な四半期サイクルで公開いたします。この新しい四半期セキュリティ通知では、脆弱性やセキュリティ上の問題の公表を四半期ごとに事前に告知された日に行うため、お客様は自社のセキュリティを確保するメンテナンス作業の計画を立てることができます。
セキュリティに関する問題の修正は、当社のソフトウェア製品全体の継続リリースに引き続き含まれることになります。お客様には、システムのセキュリティとパフォーマンスを最適化するために、常にF5ソフトウェアの最新リリースを実行することを強くお勧めします。当社は、複雑なシステムのアップデートに必要な運用上のオーバーヘッドについて認識しております。セキュリティ上の問題を事前に告知した日に公表することで、お客様が事前にメンテナンス作業の計画を立てられるよう考慮しております。
F5のオープン ソース プロジェクトで修正プログラムがリリースされる場合など、四半期セキュリティ通知以外で脆弱性の開示が必要になることがあります。このような場合は、セキュリティ アラートを通じてお客様にお知らせいたします。現在のアプローチと同様に、セキュリティ アラートには、セキュリティ勧告と、お客様の元で発生している問題およびその対処方法に関して必要な情報がすべて含まれます。
明確にするために、F5は本日の時点でセキュリティ問題を開示していません。開示すべき脆弱性がある場合は、2022年1月19日に最初の四半期セキュリティ通知を公開する予定です。この変更と当社の脆弱性管理ポリシーについては、こちらをご覧ください。