日本における脆弱性公開の枠組みを理解して、自社システムの脆弱性発覚時に備える脆弱性の発見・公開は迷惑千万？

日本における脆弱性公開の枠組みを理解して、自社システムの脆弱性発覚時に備える

脆弱性の発見・公開は迷惑千万？

ソフトウェアの脆弱性が発見されると、そのベンダーやセキュリティ対策機関から、修正パッチとともにその事実が公表されることが一般的だ。修正パッチとともに公表される理由は、対策が完全でない状態で一般に公開されると、ゼロデイ攻撃を誘導することになりかねないからだ。しかし、たまたま発見した脆弱性を当該ベンダーや当局との連携なしに公表してしまう人や企業もいる。企業はこのようなケースにどのように対応すればいいのだろうか。

フリーランスライター中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット（とは言わなかったが）はUUCPのころから使っている。

脆弱性の発見者が取り締まりの対象に！？

　先日、あるセキュリティの専門家との会話でこんな話を聞いた。その専門家は、企業のセキュリティ担当者から「脆弱性を公開する人はハッカーなんだからなぜ取り締まらないのか」という主旨の質問をもらったという。自社のシステムの脆弱性を発見されて、公開された結果、事業に支障を来たしたというのだ。その質問に対して、脆弱性の公開には一定のルールがあり、それに則ったものならばむしろ奨励されるべきもので、そうでないものも悪意の判断や評価が難しいということを説明するのに苦労したという。

　確かに、悪意をもったハッカーによって脆弱性が公開される事例もゼロではない。くだんの担当者にしてみれば、発見されてもいないバグを勝手に公開されるのは迷惑以外のなにものでもないかもしれない。しかし、誰かが発見した脆弱性は、それが本当に最初の発見だったとしても攻撃者が自力で同じ脆弱性を発見するのは時間の問題である。むしろ、攻撃者はすでに発見していると考えるほうが適切かもしれない。

脆弱性公開の枠組み

　こうした問題に対応するため、脆弱性がどのような手続きを経て公開に至っているのかを説明しておこう。

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐ登録(無料)

今すぐビジネス＋IT会員にご登録ください。

すべて無料！ビジネスやITに役立つメリット満載！

1
インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能
2
導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能
3
年間1,000本以上、会員限定のスペシャルセミナーにご招待
4
ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ！

完全無料　ビジネス+IT プレミアム会員のメリットとは？