脆弱性情報は、全て公開されるべきか否か

　ソフトウェアのセキュリティホールや、セキュリティ上の問題を引き起こすバグ等の「脆弱性情報」は、一定の検証を行った上で公表しないと、誤報や偽の情報を広めることになり社会を混乱させてしまう。

　よって、これらの情報はむやみに公表するのではなく、まず開発者やベンダーに知らせ、対応策やパッチプログラムを完成させてから一斉に公開することが望ましいとされている。

　現在、脆弱性情報のハンドリングについては、世界的に共通の枠組みがあり共通のデータベースによってソフトウェアごとの個々の脆弱性はすべて一元管理されている。

　その一方、このポリシーに対して「フルディスクロージャ」という考え方もある。コンピュータセキュリティの分野で、ソフトウェアやシステムに発見された特定の脆弱性についての情報を開示するというセキュリティ哲学だ。

　すべてのソフトウェアは、大衆の監視のもとオープンな状態で機能や安全性が確保されるべきという思想である。安全のため情報を機密とするよりすべてを公開してしまえば、悪用されてもそれがすぐにわかるし対応も可能という主張だ。

脆弱性情報の報奨金制度はどうして生まれたか

　一部の企業では、脆弱性情報の発見・改修に報奨金制度を導入し、多くの「目」による問題発見に取り組んでいる。フルディスクロージャの考え方に基づき、公開されたソースコードを衆人環視の元、潜んでいる脆弱性を積極的に発見・改善し安全性を向上させるためだ。

　これは自社で脆弱性を発見したり外部に委託して検証してもらうより、トータルのメンテナンスコストを下げられる可能性もあり、オープンソースソフトウェアでない製品にも適用されることがある。

　一部の企業は、脆弱性情報を広く、効率よく集めるため通報者に報奨金を与えているところがある。またイベントやコンテストとしてサービスへのハッキングを競わせたりすることもある。

【次ページ】報奨金支払いを渋るケースが発生？