開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2013/06/04

グーグル、ゼロデイ脆弱性7日で公開推奨の波紋 責任ある情報公開と協調的な情報公開

グーグルのセキュリティブログが5月29日、ゼロデイとなる脆弱性情報の公開ルールについて、ある見解を発表した。グーグルは以前から、発見された脆弱性はなるべく早く公表することが重要というフルディスクロージャーに近い立場をとっていたが、今回は公表までの日数について、よりアグレッシブなルールを提案している。セキュリティ対策としては歓迎すべき動きであるが、多くの企業にとっては微妙な問題かもしれない。今回は「責任ある情報公開」と「協調的な情報公開」について述べたい思う。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

「責任ある情報公開」と「協調的な情報公開」

 脆弱性に関する情報公開でしばし議論になるのが「責任ある情報公開」と「協調的な情報公開」だ。これらは明確な用語として定義されているわけではないので、記事や資料によっては別の言葉を使うこともあるかもしれないが、今回はこの2つの言葉が意味するところについて解説したい。

 さて、これらの言葉に言及するには、まずはグーグルのいうところの「フルディスクロージャー」という考え方について説明しておく必要がある。

 フルディスクロージャーとは、ソースコードは万人(開発者、ベンダー、ユーザー)の監視、レビューが可能な状態にあるべきであり、脆弱性に関する情報も万人が等しく共有すべきものであるという考え方だ。この考え方は1990年代の始めごろから確認でき、明確な活動としては1993年のBugtraqという、脆弱性や攻撃コードを議論するメーリングリストが最初とされる。

 しかし、フルディスクロージャーはソースコードを開示することが前提となっているため、現実にはソフトウェアのすべてについて適用可能な考え方ではない。

 そこで、現在では「責任ある情報公開」や「協調的な情報公開」と呼ばれる方法で、脆弱性情報を取り扱うことが基本となる。

 「責任ある情報公開」とは、ソフトウェアの脆弱性に関する情報が、対策などが十分ではない状態で一般に公表されると、ユーザーを混乱に陥れ、また、攻撃者に有利な情報を与えてしまうという理由から、発見者はまずベンダーにだけ報告し(非公開)、対策(パッチなど)が準備できた段階でその対策情報とともに脆弱性情報を公開するというものだ。

 これに対して「協調的な情報公開」とは、発見者はベンダーのほか、しかるべき機関や研究者に報告・情報を共有し、協力しあってパッチや対策方法を整えてから一般に開示するという方法を指す。なお、日本をはじめ欧米各国が採用している脆弱性公開ルールは「協調的な情報公開」を基本にしていると考えられる。

 マイクロソフトなど巨大ベンダーはかつて、自社の責任においてセキュリティパッチを定期的に公開しているため、脆弱性情報は非公開で、まず自分のところに提供してほしいという立場をとっていた。

 しかし、近年では各国のCERT組織やセキュリティ研究者などとは情報を共有しあう「協調的」立場に転じている。これは、製品の規模や種類が多様化し、発見または報告される脆弱性の対応に優先度をつけても、ものによってはパッチリリースまで時間を要したり、その間に実際の攻撃が確認されたりする事態も発生したため、若干の軌道修正を加えたわけだ。

 ただし、現実的にはソースコードの開示は難しく、修正対応の公開にも時間がかかることがあるため、この対応でも十分ではないという意見も存在する。しばしば、グーグルとマイクロソフト、大企業とセキュリティ研究者の間で、このような論争が展開されるのはそういうわけだ。

【次ページ】グーグルが7日間ルールを新しく提唱

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!