Microsoft、アプリの脆弱性に180日以内の修正を義務付け

Windows Storeなどで配信するアプリに脆弱性が発覚した場合は180日以内の修正を義務付け、開発元が従わない場合はアプリの配信を停止する。

[鈴木聖子，ITmedia]

　米Microsoftは7月9日、Windows Storeなどで配信するアプリの脆弱性対応に関する新しいポリシーを発表した。アプリ開発元に対し、脆弱性が発覚した場合は180日以内に修正することを義務付けた。

　対象となるのはWindows Store、Windows Phone Store、Office Store、Azure Marketplaceで提供するアプリ。サードパーティーのアプリやMicrosoft自身のアプリを含め、全アプリに同日から新ポリシーを適用する。

　新ポリシーではアプリに「緊急」または「重要」レベルのセキュリティ問題が見つかった場合、開発元は180日以内にアップデート版のアプリを提出しなければならないと規定した。

　開発元がこの規定に従わない場合は、Windows Storeなどを通じた該当アプリの配信を停止する。

　なお、脆弱性が既に悪用されている場合は、できるだけ早くアップデートを提供できるよう、Microsoftが開発元と協力して対応に当たる。この場合、180日の期限前でもアプリの配信を中止することもある。

　Microsoftは全てのケースについて、「アプリストアからの即刻削除も含めた迅速な対応を講じる権利を有する」と定め、「ケースバイケースでその裁量を行使する」と明記している。