物議を醸すセキュリティ研究者の「バグ探しコンテスト」(2/2 ページ)
Microsoftの広報担当者によると、セキュリティアップデートの優先度と、脆弱性発見からパッチリリースまでの期間には幾つかの要因が影響する。
「潜在的な脆弱性の報告を受けたら、製品固有のセキュリティ専門家が影響を受ける製品に対する脅威の範囲と大きさを調べる」とこの担当者は説明している。「MSRC(Microsoftセキュリティ対策センター)は、脆弱性の範囲と深刻度を把握したら、影響を受ける製品のサポート対象バージョン向けにアップデートを開発する。それから影響を受ける各種OSとアプリケーションでテストしなければならない。その後で各市場に向けたローカライズを行い、世界中の言語に対応する」
責任ある開示議論はまだ重要か
WhiteHat SecurityのCTO(最高技術責任者)ジェレミア・グロスマン氏にとっては、責任ある開示に関する議論はもはや重要ではない。どのみち犯罪者は独自のゼロデイ脆弱性を探し回っており、当然そういった連中が脆弱性を開示することは当てにできないと同氏は言う。さらに、パッチが発行されてから攻撃コードがリリースされるまでの期間は、パッチを広範に提供するのにかかる時間よりもずっと短いという。
最後に、脆弱性情報をソフトベンダーに倫理的に、無料で報告する金銭的な動機が、よそで多額の報酬が得られることで、小さくなっていると同氏は付け加えた。
「数百万ドルの価値があるゼロデイ情報なら、善良な人でも心が揺れるだろう」とグロスマン氏は指摘する。「だから、完全な開示と責任ある開示とは何かという議論は重要ではない。そのような議論は場違いだ」
それでもGartnerのペスカトーレ氏によると、責任ある開示には意味があるという。
「悪党が責任ある開示をしないこと、われわれがそれに対処できることは既に分かっている。事態を悪化させるようなセキュリティ企業は要らない」(同氏)
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
ITmediaはアイティメディア株式会社の登録商標です。