責任ある公開プロセスを標準化すべきか
2017 年 1 月 9 日 編集部記事
ソフトウェアやハードウェアの脆弱性を悪用するサイバー犯罪者を悪者だとすると、その脆弱性を公開する(あるいは公開しない)ことで戦いを挑むヒーローも存在します。脆弱性の報告のこのようなプロセスは、責任ある公開と呼ばれるものですが、今日の複雑なサイバー環境では、この責任ある公開のルールが大きく変わる可能性があり、このプロセスを業界として標準化すべきかどうかが議論されるようになりました。
ウォッチガードのセキュリティ脅威アナリスト、Marc Laliberte は、Dark Reading の新しい記事で、「責任ある公開」に直接関わる立場からの意見を述べました。Mark は、新たな脆弱性への対応でセキュリティ研究者やベンダーが直面する問題を明らかにし、責任ある公開には間違いなくメリットがあるとして、次のように述べています。
「私自身はこれまでに、セキュリティ研究者として他のベンダーに問題を報告する側になったことも、自社製品の脆弱性の報告を受け取る側になったこともあります。そのような経験から、責任ある公開が関係するすべての関係者にとっての相互の利益になると確信しています。ベンダーにとっては、自分たちは気付かなかったセキュリティの問題を解決する機会が増え、セキュリティ研究者にとっては、調査結果を公開することで、さまざまな攻撃方法に対する一般ユーザの理解を深めるのに貢献し、自分自身の名前を知ってもらうきっかけにもなるのです。
セキュリティ研究者として私が 1 つ残念に思うのは、責任ある公開の方法と時期が業界で標準化されていない点にあります。CVSS(Common Vulnerability Scoring System)という、脆弱性の重大度をランク付けするシステムが、すでに広く受け入れられています。この CVSS のスコアに基づき、次の段階として、責任ある公開の時期を標準化すべき時を迎えているのではないでしょうか。」
Marc の Dark Reading 記事全文は、こちらからお読みいただけます。