- 会員限定
- 2012/09/19 掲載
日本における脆弱性公開の枠組みを理解して、自社システムの脆弱性発覚時に備える
脆弱性の発見・公開は迷惑千万?
ソフトウェアの脆弱性が発見されると、そのベンダーやセキュリティ対策機関から、修正パッチとともにその事実が公表されることが一般的だ。修正パッチとともに公表される理由は、対策が完全でない状態で一般に公開されると、ゼロデイ攻撃を誘導することになりかねないからだ。しかし、たまたま発見した脆弱性を当該ベンダーや当局との連携なしに公表してしまう人や企業もいる。企業はこのようなケースにどのように対応すればいいのだろうか。
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。
脆弱性の発見者が取り締まりの対象に!?
先日、あるセキュリティの専門家との会話でこんな話を聞いた。その専門家は、企業のセキュリティ担当者から「脆弱性を公開する人はハッカーなんだからなぜ取り締まらないのか」という主旨の質問をもらったという。自社のシステムの脆弱性を発見されて、公開された結果、事業に支障を来たしたというのだ。その質問に対して、脆弱性の公開には一定のルールがあり、それに則ったものならばむしろ奨励されるべきもので、そうでないものも悪意の判断や評価が難しいということを説明するのに苦労したという。確かに、悪意をもったハッカーによって脆弱性が公開される事例もゼロではない。くだんの担当者にしてみれば、発見されてもいないバグを勝手に公開されるのは迷惑以外のなにものでもないかもしれない。しかし、誰かが発見した脆弱性は、それが本当に最初の発見だったとしても攻撃者が自力で同じ脆弱性を発見するのは時間の問題である。むしろ、攻撃者はすでに発見していると考えるほうが適切かもしれない。
脆弱性公開の枠組み
こうした問題に対応するため、脆弱性がどのような手続きを経て公開に至っているのかを説明しておこう。
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
セキュリティ総論のおすすめコンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
セキュリティ総論の関連コンテンツ
あなたの投稿
PR
PR
PR
