Google、未解決の脆弱性情報の公開に「猶予期間」設定 Microsoftの批判受け

「90日以内にパッチが提供されなければ情報を公開する」というポリシーを一部改訂し、条件付きで14日間の「猶予期間」を設ける。

[鈴木聖子，ITmedia]

　米Googleは他社製品に見つかった未解決の脆弱性について、「90日以内にパッチが提供されなければ情報を公開する」という同社独自のポリシーを一部改訂すると発表した。Googleのこのポリシーに対してはMicrosoftが、ユーザーが被害を被りかねないなどとして強く反発していた。

　Googleの「Project Zero」では、他社製品も含めてインターネットで広く使われているソフトウェア製品全般の脆弱性を発見してメーカーに通報し、修正を促している。90日以内にメーカーから修正パッチが公開されない場合は自動的に情報を公開していた。

　改訂後のルールでは、この期限に14日間の「猶予期間」を設ける。90日が過ぎてもメーカーから事前にパッチ公開予定についての連絡があれば、パッチがリリースされるまで脆弱性情報の公開は見合わせる。ただし90日の期限が過ぎた後14日以内にパッチがリリースされることが条件。14日以上の遅れが出た場合は脆弱性情報を公開する。

　この期限を巡っては、Microsoftが2015年1月13日にパッチをリリースする直前に、Googleが期限経過を理由にWindowsの未解決の脆弱性に関する情報を公開した経緯がある。Microsoftは情報の公開を13日まで待つようGoogleに要請していたにもかかわらず、一方的に情報を公開されたとしてGoogleを非難していた。

　今回のGoogleのポリシー改訂で、少なくともそうした事態は避けられる見通しだ。

　Googleはさらに、期限切れの日が週末や米国の祝日と重なった場合は次の平日まで締め切りを延ばすと規定。情報を公開する際には脆弱性識別番号「CVE」が割り当てられていることを確認するとした。

　それでもGoogleは、期限を設けることによって「ユーザーへのセキュリティパッチ配信が迅速化され、エンドユーザーのセキュリティ向上につながる」という姿勢を変えていない。90日という日数については「穏当な期限であり、業界の現状に照らして理にかなっている」と強調した。

情報公開のポリシーを変更したGoogle