開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 2014/06/06

mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか

ソーシャルネットワーキングサービスを提供するmixiは、2013年9月30日から2014年3月31までの期間で、同社サービスにおいて未知の脆弱性を発見した場合に窓口に報告し、その重要度によって報奨金を支払う「脆弱性報告制度」を運用した。脆弱性情報のハンドリングについては、その開示ポリシーや方法には、すべてを公開する考え方と、一定のルールのもとで、一斉公開を原則とする考え方が存在する。報奨金制度は前者の考え方に近いものだが、この制度を運用するにあたっては、課題も存在している。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

脆弱性情報は、全て公開されるべきか否か

セキュリティ関連記事
 ソフトウェアのセキュリティホールや、セキュリティ上の問題を引き起こすバグ等の「脆弱性情報」は、一定の検証を行った上で公表しないと、誤報や偽の情報を広めることになり社会を混乱させてしまう。

 よって、これらの情報はむやみに公表するのではなく、まず開発者やベンダーに知らせ、対応策やパッチプログラムを完成させてから一斉に公開することが望ましいとされている。

 現在、脆弱性情報のハンドリングについては、世界的に共通の枠組みがあり共通のデータベースによってソフトウェアごとの個々の脆弱性はすべて一元管理されている。

 その一方、このポリシーに対して「フルディスクロージャ」という考え方もある。コンピュータセキュリティの分野で、ソフトウェアやシステムに発見された特定の脆弱性についての情報を開示するというセキュリティ哲学だ。

 すべてのソフトウェアは、大衆の監視のもとオープンな状態で機能や安全性が確保されるべきという思想である。安全のため情報を機密とするよりすべてを公開してしまえば、悪用されてもそれがすぐにわかるし対応も可能という主張だ。

脆弱性情報の報奨金制度はどうして生まれたか

 一部の企業では、脆弱性情報の発見・改修に報奨金制度を導入し、多くの「目」による問題発見に取り組んでいる。フルディスクロージャの考え方に基づき、公開されたソースコードを衆人環視の元、潜んでいる脆弱性を積極的に発見・改善し安全性を向上させるためだ。

 これは自社で脆弱性を発見したり外部に委託して検証してもらうより、トータルのメンテナンスコストを下げられる可能性もあり、オープンソースソフトウェアでない製品にも適用されることがある。

 一部の企業は、脆弱性情報を広く、効率よく集めるため通報者に報奨金を与えているところがある。またイベントやコンテストとしてサービスへのハッキングを競わせたりすることもある。

【次ページ】報奨金支払いを渋るケースが発生?

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!