脆弱性の情報公開めぐりMSが姿勢を転換――「責任」から「協調」へ

Microsoftは、これまで外部の研究者などに「責任ある公開」を求めてきた立場を改め、今後は「協調的な脆弱性の情報公開」を追求するという。

» 2010年07月23日 08時51分 公開
[ITmedia]

 米Microsoftは7月22日、脆弱性の情報公開の在り方に関する姿勢を転換すると発表した。これまで外部の研究者などに「責任ある公開」(Responsible Disclosure)を求めてきた立場を改め、今後は「Coordinated Vulnerability Disclosure」(CVD=協調的な脆弱性情報公開)を追求する。

 未解決の脆弱性の情報公開をめぐっては、6月にGoogleのセキュリティ研究者がWindowsの脆弱性情報をMicrosoftのパッチ提供前に一般公開して物議を醸した。続いてMicrosoftに反発するグループが情報の全面開示を宣言。そのたびにMicrosoftは、「情報はまずベンダーに非公開で通報すべきだ」とし、「責任ある開示」を主張した。全面開示の必要性を訴える研究者などとの間で論争が続いてきた。

 今回の同社の姿勢転換には、こうしたセキュリティ研究者との関係の在り方を変える狙いがある。新しいCVDのアプローチでは、情報公開におけるセキュリティ研究者とベンダー、業界の協力態勢に重点を置く。

 具体的には、セキュリティ研究者などがソフトウェアやサービスの新たな脆弱性を発見した場合、まずその製品のベンダーやCERT(コンピュータセキュリティの問題に関する調整機関)に非公開で通報し、脆弱性情報を一般に公開する前に、ベンダーが調査する機会を与えると規定。既にその脆弱性を突いた攻撃が発生している場合は、ベンダーと発見者ができるだけ緊密に連携して早期の情報公開を目指す。

 このアプローチは、実際には従来の「責任ある公開」の立場とそれほど大きな違いはなく、依然として「責任」は必須になるとMicrosoftは強調する。ただしこの責任は研究者やベンダー、セキュリティソフトメーカーなどコミュニティー全体で分かち合うものになると説明している。

 Microsoftのセキュリティ担当者は、「このアプローチに基づいて協力してほしい」と研究者に呼び掛け、「これはコミュニティーとの対話の道を開くものであり、フィードバックを歓迎する」と述べている。

関連キーワード

脆弱性 | Microsoft | 研究者 | 情報公開


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ