脆弱性対応をめぐる現実と課題 ユーザーを守る手立ては？（2/4 ページ）

[國谷武史，ITmedia]

脆弱性対応は苦労の歴史

　サイボウズが自社製品の脆弱性情報を公開するようになったのは、2006年頃のこと。脆弱性情報の窓口や社内外の調整業務を担当するグローバル開発本部 品質保証部の伊藤彰嗣氏は、「JPCERT/CCから脆弱性情報の連絡を受けて対応したことがきっかけでした」と話す。

　当初は、報告された脆弱性の情報を公開するまでプロセスなどが確立されておらず、社内に脆弱性情報を公開するという意識もほとんどなかったという。伊藤氏は、適切な対応プロセスの確立に向けて試行錯誤を重ね、社内外に理解を深めてもらう周知や啓発にも取り組んできた。

　同社がクラウド事業を立ち上げた2011年には、「プロダクトサート」（PSIRT）と呼ばれる製品のセキュリティ対応を担う「Cy-SIRT」を設立。それと前後して、JVNを利用した脆弱性情報の提供を本格化させ、2013年度にはほぼ全ての脆弱性情報を公開するなど、セキュリティへの取り組みを昇華させている。

　ただ、やはり多くの開発者が懸念する情報公開によってユーザーに不安を生じさせてしまうことへの苦労はあったようだ。

サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏

　「取り組みに対して様々な声をいただきます。パートナー企業から『脆弱性の多いソフトですね』といわれて、担当者が説明などに苦労したこともありました。周囲の理解を得られるようになったのは、ようやく最近になってからですね」（伊藤氏）

　例えば、情報を公開するタイミングも以前は一斉だったが、現在ではまずパートナーへ通知し、パートナーでの顧客サポートの準備が完了してから一般に公開している。ユーザーを危険に晒さないためには、ベンダーとパートナーが歩調を合わせることも必要になるためだ。

　また、ユーザー企業のシステム管理者からより詳しい脆弱性情報の内容を求められることもある。「CVSS（共通脆弱性評価システム）での結果や脅威の内容などについてさらなる情報提供を希望されます。もちろん自社システムへの影響を把握するために必要なので、そうした情報を可能な限り提供しています」（伊藤氏）。公表する情報の表現や範囲などについても気を配る。脆弱性の詳しい内容を明らかにすると、それを逆手にとってサイバー攻撃者が悪用する恐れもあるため、伊藤氏と専門チームが慎重に検討を重ねて対応しているという。

　そうした中で同社は、2014年に脆弱性の報告者へ報奨金を支払うプログラムを国内では初めて導入した。海外ではGoogleやMicrosoft、Mozilla、Facebookといったソフトウェア企業やWebサービス企業が相次いで導入しており、脆弱性情報を広く募ることで、ソフトウェアやサービスの品質向上やセキュリティ問題の迅速な解決に大きな成果を挙げている。

　伊藤氏によれば、プログラムの導入で2014年は従来の10倍近い数の脆弱性情報が世界中の研究者から提供され、製品やサービスの品質向上に大きく貢献している。ただし、その増加ぶりが脆弱性情報を公開する取り組みにも影響したようだ。