日本における脆弱性公開の枠組みを理解して、自社システムの脆弱性発覚時に備える脆弱性の発見・公開は迷惑千万？

日本における脆弱性公開の枠組みを理解して、自社システムの脆弱性発覚時に備える

脆弱性の発見・公開は迷惑千万？

ソフトウェアの脆弱性が発見されると、そのベンダーやセキュリティ対策機関から、修正パッチとともにその事実が公表されることが一般的だ。修正パッチとともに公表される理由は、対策が完全でない状態で一般に公開されると、ゼロデイ攻撃を誘導することになりかねないからだ。しかし、たまたま発見した脆弱性を当該ベンダーや当局との連携なしに公表してしまう人や企業もいる。企業はこのようなケースにどのように対応すればいいのだろうか。

フリーランスライター中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット（とは言わなかったが）はUUCPのころから使っている。

脆弱性の発見者が取り締まりの対象に！？

　先日、あるセキュリティの専門家との会話でこんな話を聞いた。その専門家は、企業のセキュリティ担当者から「脆弱性を公開する人はハッカーなんだからなぜ取り締まらないのか」という主旨の質問をもらったという。自社のシステムの脆弱性を発見されて、公開された結果、事業に支障を来たしたというのだ。その質問に対して、脆弱性の公開には一定のルールがあり、それに則ったものならばむしろ奨励されるべきもので、そうでないものも悪意の判断や評価が難しいということを説明するのに苦労したという。

　確かに、悪意をもったハッカーによって脆弱性が公開される事例もゼロではない。くだんの担当者にしてみれば、発見されてもいないバグを勝手に公開されるのは迷惑以外のなにものでもないかもしれない。しかし、誰かが発見した脆弱性は、それが本当に最初の発見だったとしても攻撃者が自力で同じ脆弱性を発見するのは時間の問題である。むしろ、攻撃者はすでに発見していると考えるほうが適切かもしれない。