2019/01/17

政府による脆弱性開示プロセスに民間の関与が必要とされる理由

システム 管理者 MSSP admin
2019 年 1 月 17 日 編集部記事

ゼロデイエクスプロイトを政府が発見し、サイバー戦争や情報収集に利用しながら公開してこなかったことに対し、ほとんどの人が否定的な見方をしているようです。しかしながら、この問題に白か黒かを判断できない灰色の部分が多い可能性がある点については、見過ごされてしまうことが多いのも事実です。米国政府が実際には、脆弱性を非公開にすることのメリットとリスクの両方をケースバイケースで判断していたことをご存知だったでしょうか。

ウォッチガードのシニアテクニカルプロダクトマネージャである Ricardo Arroyo が先日、Dark Reading に寄稿した記事で、この問題を取り上げました。Ricardo はその記事で、アメリカの VEP(Vulnerabilities Equity Process:脆弱性情報開示プロセス)の役割を解説し、このプロセスの不完全性を強調した上で、民間部門の関与が VEP の決定における透明性と信頼性の向上につながる可能性があると指摘しました。記事の一部を抜粋して以下にご紹介します。

「VEP(Vulnerabilities Equity Process)と呼ばれるこのプロセスは、「米国連邦政府がコンピュータセキュリティのゼロデイ脆弱性をどのように開示するか、すなわち、コンピュータセキュリティ全般の向上に役立てるために一般公開するか、あるいは政府の敵対者を攻撃する目的で秘密にするかを、ケースバイケースで判断するために使用するプロセス」と定義されています。VEP は、大量のゼロデイ脆弱性を非公開にしてきたことに抗議する世論を受けて、2000 年代後半に策定されました。当初は、2016 年に電子フロンティア財団が FOIA(Freedom of Information Act:情報自由法)要求によって改訂版文書を受け取るまで秘密にされてきましたが、2017 年半ばの ShadowBrokers の公開後に、プロセスの透明性を向上させる目的で、改訂版の VEP をホワイトハウスが公開しました。」

VEP の詳細と Ricardo によるその改善案については、こちらの記事全文をお読みください。この問題や脆弱性の一般的な開示に関するこれ以外の考え方については、Secplicity のこちらの記事を参照してください。