HCL Software のコンプライアンス

2021/2/19 - 読み終える時間: ~1 分

HCL Software では、ソフトウェアベンダーとして当然ではありますが、セキュリティーについて極めて慎重に注意を払い、社内の仕組みの整備と共に各種認証制度の取得を行っています。そのことについてまとめたページを公開しましたのでお知らせします。


HCL PSIRT と製品セキュリティー・ブログ

2020/2/7 - 読み終える時間: ~1 分

2020年3月4日 追記: サポート技術情報: HCL Software に関するセキュリティー情報 を公開しました。


HCL Software では、ソフトウェア・ベンダーの当然の責務として、セキュリティーに最大の注意を払っています。具体的には、HCL Software 製品のセキュリティーを横断的にみる PSIRT (Product Security Incident Response Team、ピーサート) が組織され活動しています。

情報を集約的に提供する場として HCL PSIRT blog が開設されています。サブスクライブもできます。

HCL PSIRT blog: https://support.hcltechsw.com/community?id=community_forum&sys_id=038a2b921b7bb34c77761fc58d4bcb0d


昔話: 24-bit分のキーが預託されていた話

2019/12/24 - 読み終える時間: ~1 分

2019年12月23日、GIGAZINEにこのような記事が(なぜか今頃)掲載されました。

諜報機関によるバックドアがIBMのグループウェアに仕込まれていた理由とは? https://gigazine.net/news/20191223-lotus-notes-nsa-backdoor/

ベンダー側として一言だけ触れておきたいと思います。

「バックドア」というのは広義であり、ネットワーク越しに秘密裏に直接侵入することを想起させます。しかし、本件に関して言えば、実際はキーの一部の預託 (Key Escrow) です。

RSA暗号を最初に搭載したのがNotesであったことは有名な話です。出荷されたのは冷戦終了の足音が聞こえ始めた1989年のことです (といっても、当時そうなるとは誰も予想できなかったですし、開発は1984、5年から始まっていることに注意。実質、冷戦の真っ只中でのお話です)。 安全保障上の理由により、北米以外の地域で使われるNotesの鍵のキー長は、北米より24-bit短い40-bitに制限されました。 このことは秘匿されたわけではなく、製品ドキュメントでも触れられていました。実際、管理者が目にする画面にもキー長の制限が分かるようになっていました。 今では消滅してしまいましたが、Lotus Development社が運営する Iris Today というNotesの専門技術を扱うサイトでNotesの暗号のしくみを解説する記事が掲載されていて、24-bitが当局に預託されていることが触れられていました。1990年代後半のことです。

当時のコンピューティング環境では 40-bit でもビジネス上必要十分な暗号強度を持っていました (組織的に膨大なコンピューティング・リソースと頭脳を投入して云々となると話は別ですが)。セキュリティーはつねに安全ではなく、「期限限定のセキュリティー」であるので、絶対に破られないかの議論はあまり意味をなさないでしょう。

ココム規制と同類の話で、輸出するにあたってとられた措置であり、特に機密事項でもない、この界隈の人なら知っていたことでした。 繰り返しになりますが、非常時に備えたキーの預託であり、クライアントに侵入して覗き見するような、あるいは情報が流れ出すようなバックドアではないです。

ちなみに、この制限は今はありません。北米もその他も同じ暗号化レベルです。キーの預託もありません。

当時、キーを預託する、しないで社内が紛糾したという話がありましたが、それは飲み屋話ということで。


このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Accelerate ambassador AoC AppDev Pack AppScan ASoC beta BigFix BigFix 9.5 BigFix_Wiki branding cloud Cloud Apps Commerce community companion Compass compliance Connections Connections 6.5 ConnectionsDocs Connnections developerWorks DevOps DevOps.Launch.AppScan Digital Experience document Domino Domino AppDev Pacl Domino Volt DQL dW dx Enterprise Integrator event fix fix_list fixlist forum General guide HCAA HCL Ambassador HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation hints_and_tips history IBM_i ID_Vault inotes ios ios13 ipad iPhone Launch LEAP Link logo MarvelClient mobile mui nds2019 ndv12beta News Nomad Nomad Mobile Nomad Web Notes Notes/Domino Notes/Domino 10 Notes/Domino 11 Notes/Domno notescons on_premises OneTest osaka press_release relay RTist SafeLinx Sametime Sametime 11 SoFy support survey system_requirement techtek Traveler Traveler 10 Traveler for Microsoft Outlook traveler.zip Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity v11 V12 Verse Verse Mobile Verse On-Premises VersionVault Volt Webinar win7 youtube Z Z ABEND Investigator Z and I Emulator Z and I Emulator for Web Z Asset Optimizer ZAO ZIE ZIEWeb うるう年 イベント ガイド クラウド クラウド終了 サイジング サポート サポート技術情報 サポート期間 サポート終了 セキュリティー セミナー ダイバーシティー ダウンロード テクてく テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム バージョンアップ パフォーマンス ベータ ポートフォリオ ライセンス 互換性 出荷日 各種ご案内資料 研修