• 2014/06/06 掲載

mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
ソーシャルネットワーキングサービスを提供するmixiは、2013年9月30日から2014年3月31までの期間で、同社サービスにおいて未知の脆弱性を発見した場合に窓口に報告し、その重要度によって報奨金を支払う「脆弱性報告制度」を運用した。脆弱性情報のハンドリングについては、その開示ポリシーや方法には、すべてを公開する考え方と、一定のルールのもとで、一斉公開を原則とする考え方が存在する。報奨金制度は前者の考え方に近いものだが、この制度を運用するにあたっては、課題も存在している。

脆弱性情報は、全て公開されるべきか否か

セキュリティ関連記事
 ソフトウェアのセキュリティホールや、セキュリティ上の問題を引き起こすバグ等の「脆弱性情報」は、一定の検証を行った上で公表しないと、誤報や偽の情報を広めることになり社会を混乱させてしまう。

 よって、これらの情報はむやみに公表するのではなく、まず開発者やベンダーに知らせ、対応策やパッチプログラムを完成させてから一斉に公開することが望ましいとされている。

 現在、脆弱性情報のハンドリングについては、世界的に共通の枠組みがあり共通のデータベースによってソフトウェアごとの個々の脆弱性はすべて一元管理されている。

 その一方、このポリシーに対して「フルディスクロージャ」という考え方もある。コンピュータセキュリティの分野で、ソフトウェアやシステムに発見された特定の脆弱性についての情報を開示するというセキュリティ哲学だ。

 すべてのソフトウェアは、大衆の監視のもとオープンな状態で機能や安全性が確保されるべきという思想である。安全のため情報を機密とするよりすべてを公開してしまえば、悪用されてもそれがすぐにわかるし対応も可能という主張だ。

脆弱性情報の報奨金制度はどうして生まれたか

 一部の企業では、脆弱性情報の発見・改修に報奨金制度を導入し、多くの「目」による問題発見に取り組んでいる。フルディスクロージャの考え方に基づき、公開されたソースコードを衆人環視の元、潜んでいる脆弱性を積極的に発見・改善し安全性を向上させるためだ。

 これは自社で脆弱性を発見したり外部に委託して検証してもらうより、トータルのメンテナンスコストを下げられる可能性もあり、オープンソースソフトウェアでない製品にも適用されることがある。

 一部の企業は、脆弱性情報を広く、効率よく集めるため通報者に報奨金を与えているところがある。またイベントやコンテストとしてサービスへのハッキングを競わせたりすることもある。

【次ページ】報奨金支払いを渋るケースが発生?
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます