- 会員限定
- 2012/09/19 掲載
日本における脆弱性公開の枠組みを理解して、自社システムの脆弱性発覚時に備える
脆弱性の発見・公開は迷惑千万?
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。
脆弱性の発見者が取り締まりの対象に!?
先日、あるセキュリティの専門家との会話でこんな話を聞いた。その専門家は、企業のセキュリティ担当者から「脆弱性を公開する人はハッカーなんだからなぜ取り締まらないのか」という主旨の質問をもらったという。自社のシステムの脆弱性を発見されて、公開された結果、事業に支障を来たしたというのだ。その質問に対して、脆弱性の公開には一定のルールがあり、それに則ったものならばむしろ奨励されるべきもので、そうでないものも悪意の判断や評価が難しいということを説明するのに苦労したという。確かに、悪意をもったハッカーによって脆弱性が公開される事例もゼロではない。くだんの担当者にしてみれば、発見されてもいないバグを勝手に公開されるのは迷惑以外のなにものでもないかもしれない。しかし、誰かが発見した脆弱性は、それが本当に最初の発見だったとしても攻撃者が自力で同じ脆弱性を発見するのは時間の問題である。むしろ、攻撃者はすでに発見していると考えるほうが適切かもしれない。
脆弱性公開の枠組み
こうした問題に対応するため、脆弱性がどのような手続きを経て公開に至っているのかを説明しておこう。今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
PR
PR
PR