更新セキュリティ専門家にとって残念なことに、VMware セキュリティ アドバイザリは、ユーザーがまず Broadcom サポート アカウントにサインアップした場合にのみ表示できるようになりました。
確かに、サポート アカウントの登録は無料ですが、今週初めに発表されたこの変更により、修正すべきバグの詳細を探している情報セキュリティ専門家にとって、さらなる摩擦が生じる可能性があります。
5月9日の更新
Broadcomは考えを変えたようで、VMwareのアドバイザリは結局world-plus-dogでも閲覧可能になりました。「VMwareのセキュリティアドバイザリ一覧を見るのにBroadcomサポートポータルにログインする必要はないことがわかりました」と、仮想化企業のMonty Ijzerman氏は述べています。
以下の製品のセキュリティに関する通知は、ログインしなくてもここで確認できます。
- VMware クラウド ファンデーション
- タンズ
- アプリケーションネットワークとセキュリティ
- ソフトウェア定義エッジ
この新たな透明性が明らかになる前に書かれた私たちのオリジナル記事は以下の通りです。
VMwareは火曜日にブログ投稿でこの変更を発表しましたが、オープン性と透明性の後退と捉えられるであろうこの変更の理由は明らかにされていませんでした。新所有者であるBroadcomに詳細を問い合わせましたが、すぐには回答がありませんでした。
古い VMware セキュリティ アドバイザリの URL は引き続き機能するため、ブラウザのブックマークを変更する必要はなく、Broadcom サポート ポータルにリダイレクトされるだけです。
エンドユーザーコンピューティング(EUC)製品のみが例外となります。これらの製品に関するセキュリティアドバイザリは引き続き古いフィードに表示され、Broadcomのサポートポータルでは公開されません。
さらに良いニュースは、Broadcom サポート アカウントが新規または変更されたアドバイザリに関する自動通知を受信できるようにする計画がありますが、その機能はまだ動作していないことです。
「サポート ポータルは、顧客の権限と設定に基づいて、新規または変更されたセキュリティ アドバイザリの通知を受け取るよう登録した顧客に通知を送信します」と、VMware の製品セキュリティ インシデント対応チームのスタッフ テクニカル プログラム マネージャーである Monty Ijzerman 氏はブログに書いています。
ただし、現時点では、サポート ポータルでは、VMware セキュリティ アドバイザリが公開または変更されたときにこれらの通知を送信する準備ができていません。
情報セキュリティの専門家たちは、この動きを広く批判した。主な懸念事項は、セキュリティに関する透明性の低下であり、脆弱性への露出を集約する作業がより困難になる可能性があると懸念する声もある。
情報セキュリティ専門家の動揺した投稿
アプリケーションセキュリティ専門家のショーン・ライト氏は、 The Register紙の取材に対し、「これはブロードコムが最近行った一連の変更の中で、物議を醸す可能性のある動きの一つに過ぎない。VMWareブランドを自社ブランドに移行したいという同社の意向は理解できるが、そのアプローチには疑問が残る」と述べた。
個々の脆弱性はBroadcomサポートポータルで公開されているようですが、セキュリティチームがVMware製品群全体の脆弱性をすべて把握するのは困難になるでしょう。多くの人は、この目的のために新たにアカウントを作成することを望まないでしょう。
「RSSフィードのような仕組みがどのように機能するのか、あるいはそもそも機能するのかについても検討する価値があります。多くのチームは、新しいアドバイザリを何らかの形で自動化するために、このような仕組みに頼るでしょう。最終的には、一部の人にとっては、これが他の代替製品を検討する新たな理由となるかもしれません。」
中には「これは受け入れられない」と述べ、EUと米国の国家安全保障機関にブロードコムの最新の動きを中止するよう求める声まで上がっている。
- VMwareがAWS仲介業者に別れを告げ、Broadcomが主導権を握る
- AWSは自社のVMwareサービスの代替として自らを宣伝している
- ブロードコムのVMwareが再び登場 – 今回はクラウドサービスプロバイダーの変更を緩和
- VMwareのエンドユーザーコンピューティングコミュニティは「Omnissa」への移行に備えるよう指示される
CISAの情報共有に関する公式見解は、「国家のサイバーセキュリティ強化に不可欠」であるというものです。CISAは、情報は迅速かつシームレスに共有されるべきだと述べており、ブロードコムがセキュリティ情報をアカウントウォールで保護しようとする取り組みは、業界で広く受け入れられているこの理想に反する可能性があるようです。
セキュリティ アドバイザリのアクセス可能性に関する変更に対する否定的な意見以外にも、VMware の顧客とチャネル パートナーは Broadcom の買収についてさまざまな懸念を表明しています。
ブロードコムによる2023年の買収のずっと前から、VMwareの将来に対する懸念は広がっていた。ブロードコムは、シマンテックの顧客から、吸収する事業体を悪化させる企業と認識されていた。
2022年にシステム管理者から聞いた話では、ブロードコムによるシマンテックの買収後、製品の進化が鈍化し、価格が上昇したとのことです。業界筋は、これは歓迎されない顧客を遠ざけるためではないかと疑っていました。
VMwareでも同様の懸念が広がりました。Broadcomは間もなくVMwareの永久ライセンスを廃止し、サブスクリプションモデルを導入しました。ちなみに、VMwareはBroadcomが参入する前からサブスクリプションへの移行を計画しており、既にこれらのライセンスを契約している顧客には救済措置が講じられました。
それでも、欧州のクラウド業界団体CISPEはブロードコムの今回の動きを批判し続けた。CISPEの批判はサブスクリプション制度自体ではなく、同社が今回の変更をイノベーションと競争促進を目的としたものと位置付けていることにあった。
CISPEは、ブロードコムが製品のパッケージ化に関する懸念を無視していると述べた。これは、顧客が不要な製品に料金を支払う可能性があることを意味している。また、価格上昇についても懸念を表明した。El Regの情報筋によると、価格上昇は500~600%に上るという。一部の顧客のライセンス費用は800万ドルから1億ドルにまで上昇したと伝えられている。
同業界団体はまた、ブロードコムの変更は反クラウド的であり、クラウドサービスプロバイダーに最低3,500コアのライセンスと最低3年の契約を要求すると述べた。
CISPEによると、VMwareの永久ライセンス保有者に対するパッチサポートは「その制限が侮辱的だ」という、セキュリティ上の問題も提起された。顧客がサブスクリプションに移行しない限り、重大な脆弱性に対するパッチのみが提供されるという。CISPEは、これは「詐欺行為に近い」と指摘した。
Broadcom は、顧客とパートナーに価値を提供することに注力しており、提供するサービスには顧客からのフィードバックを考慮していると主張しています。®
