| エンタープライズ:ニュース | 2002/08/06 19:47:00 更新 |
脆弱性情報のデータベース化で専門家集団が結束
米ラスベガスで開催された「Black Hat Security Briefings」で、特定のベンダーに偏らない“オープンソース”のバグ情報集約プロジェクト、「ISIS」の発足が発表された。
ソフトの脆弱性やセキュリティツール、バグ関連の議論など、セキュリティに関する情報を集めたデータベースの構築を目指し、ハッカーとセキュリティ専門家が結束した。
この目標に向けて、独立した4つのプロジェクト――セキュリティ情報サイトの「Open Source Vulnerability Database」、改ざん追跡サービスの「Alldas.de」、ソフトデータベースの「PacketStorm」、および脆弱性監視サイトの「VulnWatch」――が緩やかなコラボレーションとして組織化され、「Internetworked Security Information Service」(ISIS)として活動することになる。
セキュリティ企業、アットマークステイクの研究開発担当ディレクター、クリス・ウィソパル氏はこの取り組みについて次のように語っている。「この種の情報を無料で提供している営利組織は幾つもあるが、これらは今後が分からない。われわれがこのプロジェクトを“オープンソース”と呼ぶのは、情報がオープンかつ無料だからだ」。
この取り組みは、オンライン攻撃やソフトの脆弱性の最新の傾向をテーマに米ラスベガスで開催された業界カンファレンス「Black Hat Security Briefings」で8月1日に発表された。
この発表の2週間前には、シマンテックがBugTraqメーリグリストの発行元であるセキュリティフォーカスの買収を発表している。BugTraqは、ソフトの欠陥に関する情報交換の場として、セキュリティコミュニティで最も人気のスポットだ。
既に退任が決まっているセキュリティフォーカスの現社長、ステファニー・フォーン氏はこの買収を「前向きなもの」と評価し、「コミュニティにより多くのリソースを提供するための動きであれば何であれ望ましい」と語っている。
ISISの代表者らは、アライアンス結成のきっかけとして、この買収を名指しで非難こそしなかったものの、この取り組みでは企業が積極的な役割を担うことはない点を強調している。
VulnWatchメーリングリストのモデレーター、スティーブ・マンズーク氏は次のように語っている。「この取り組みを商売に利用することは決してない。ベンダーは、われわれのデータベースを利用したければ利用できる。だが、ISISは商業的な利益とは一切無縁だ」。
VulnWatchはセキュリティ欠陥に関するメーリングリストを既に運営しているが、ISISの取り組みに関連して、新たに「VulnDiscuss」リストを追加し、セキュリティ専門家やハッカーが特定の脆弱性に関して詳細を議論できるようにする方針。
PacketStormはISISの取り組みにおいて、ソフトやセキュリティ/ハッキングツールへのアクセスを提供する。またAlldas.deは引き続き、改ざん追跡データベースを運営する。Open Source Vulnerability Databaseはソフトの欠陥に関する情報を保守し、誰もが自由にコピーし、自分のサイトに掲載できるようにする。
7月31日には、米大統領のサイバーセキュリティ担当特別顧問、リチャード・クラーク氏が、ソフトメーカー各社が粗悪なソフトの対策に取り込むことに関して次のように発言している。
「ソフトを提供している企業自身が脆弱性を見つけてくれるだろうと安心しているわけにはいかない。われわれにも脆弱性を見つける義務がある」
クラーク氏は、米国がインターネット攻撃に対して脆弱であることの責任は、ソフト業界、ISP(インターネットサービスプロバイダー)、無線機器メーカー、ユーザーのいずれにもあると指摘した。
ただし同氏は、ソフトのセキュリティホールを見つけた場合には慎重に行動するよう念を押している。「脆弱性を見つけた場合、パッチの準備が整う前にそのことを世界中に知らせるというのは、責任ある行為とは言えない」と同氏は語っている。
関連記事
Black Hat Briefings Report:セキュリティのプロが集結した真夏のラスベガスシマンテックが好決算、買収でBugTraqも手に[Robert Lemos,ITmedia]
