Apache Log4j2 の脆弱性問題 (CVE-2021-44228) について

2021/12/14 - 読み終える時間: ~1 分

本件について、HCL Software 製品の該当、非該当状況、修正対応手順等については下記のページ (英語) にて公開しています。今後、更新される可能性があります。お手数ですが最新情報を取得するようにお願いします。

CVE-2021-44228 : Security Advisory


HCL Software のコンプライアンス

2021/2/19 - 読み終える時間: ~1 分

HCL Software では、ソフトウェアベンダーとして当然ではありますが、セキュリティーについて極めて慎重に注意を払い、社内の仕組みの整備と共に各種認証制度の取得を行っています。そのことについてまとめたページを公開しましたのでお知らせします。


昔話: 24-bit分のキーが預託されていた話

2019/12/24 - 読み終える時間: ~1 分

2019年12月23日、GIGAZINEにこのような記事が(なぜか今頃)掲載されました。

諜報機関によるバックドアがIBMのグループウェアに仕込まれていた理由とは? https://gigazine.net/news/20191223-lotus-notes-nsa-backdoor/

ベンダー側として一言だけ触れておきたいと思います。

「バックドア」というのは広義であり、ネットワーク越しに秘密裏に直接侵入することを想起させます。しかし、本件に関して言えば、実際はキーの一部の預託 (Key Escrow) です。

RSA暗号を最初に搭載したのがNotesであったことは有名な話です。出荷されたのは冷戦終了の足音が聞こえ始めた1989年のことです (といっても、当時そうなるとは誰も予想できなかったですし、開発は1984、5年から始まっていることに注意。実質、冷戦の真っ只中でのお話です)。 安全保障上の理由により、北米以外の地域で使われるNotesの鍵のキー長は、北米より24-bit短い40-bitに制限されました。 このことは秘匿されたわけではなく、製品ドキュメントでも触れられていました。実際、管理者が目にする画面にもキー長の制限が分かるようになっていました。 今では消滅してしまいましたが、Lotus Development社が運営する Iris Today というNotesの専門技術を扱うサイトでNotesの暗号のしくみを解説する記事が掲載されていて、24-bitが当局に預託されていることが触れられていました。1990年代後半のことです。

当時のコンピューティング環境では 40-bit でもビジネス上必要十分な暗号強度を持っていました (組織的に膨大なコンピューティング・リソースと頭脳を投入して云々となると話は別ですが)。セキュリティーはつねに安全ではなく、「期限限定のセキュリティー」であるので、絶対に破られないかの議論はあまり意味をなさないでしょう。

ココム規制と同類の話で、輸出するにあたってとられた措置であり、特に機密事項でもない、この界隈の人なら知っていたことでした。 繰り返しになりますが、非常時に備えたキーの預託であり、クライアントに侵入して覗き見するような、あるいは情報が流れ出すようなバックドアではないです。

ちなみに、この制限は今はありません。北米もその他も同じ暗号化レベルです。キーの預託もありません。

当時、キーを預託する、しないで社内が紛糾したという話がありましたが、それは飲み屋話ということで。


このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA CDP Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修