- 2015年1月20日
- セキュリティについて
「脆弱性情報」を勝手に公開することの是非について
こんなニュースが流れてきた。
Google、修正されていないMicrosoftの脆弱性を公開
Googleは各種アプリケーションの脆弱性を発見した場合、関係企業などに連絡を取るとともに、要望があれば90日間発見した脆弱性の詳細情報を公開しないという措置を取っている。これは脆弱性を修正するパッチを提供するための猶予期間ということになるが、問題が修正されているいないにかかわらず、90日後には脆弱性の情報が自動的に公開される仕組みになっている。
今回、この仕組みに従ってWindowsの脆弱性の詳細情報が公開された。この脆弱性はまだ修正されておらず、Microfotが例外的措置を取らない限り2月の定例アップデートが配信されるまで、攻撃者の目にさらされ続けることになる。Microsoftは月に1回、定期的にセキュリティパッチを配信する仕組みを採用しているため、Googleのこうした取り組みとは相性が良くないところがある。
すなわち、Googleが発見した脆弱性は、
「関係企業に連絡」
「90日間の猶予」
「公開」
という形で、世の中に出ることになる。
脆弱性を公開された側は、大きなお世話だろうが、ユーザーサイドは危険なソフトウェアに注意することができるというメリットもある。
本ブログでも、以前このような記事を公開した。
海外にはソフトウェアの脆弱性発見だけで生活している「プロ」がいる一方で、日本企業は脆弱性を「無視」し続ける。
ソフトウェア開発者へ脆弱性を発見した報告を行っても、そもそも「問題となっていないので対策は不要」などの回答が返ってくるとのこと。
企業は発見された脆弱性を無視することもできるし、隠すこともできる。
しかし、Googleが推進するように脆弱性を進んで公開し、修正を促すような風土が生まれれば、セキュリティ事故はもう少し減るのではないかと思う。
弊社でも、脆弱性を持つサイトを公開するようにしたほうが良いのだろうか。
「ちょっとした異物混入」程度であれほどの騒ぎになるのであれば、「ソフトウェアの脆弱性」は、どう考えてももっと大きな問題だ。
少なくとも、ユーザのためにはなるだろう。それとも、単に軋轢を生むだけなのだろうか。