脆弱性対応をめぐる現実と課題 ユーザーを守る手立ては？（3/4 ページ）

[國谷武史，ITmedia]

公開数激減と目指すべき対応の仕組み

　伊藤氏によると、2014年に公開できた脆弱性情報は、2013年度の10分の1ほどに減ってしまった。報奨金プログラムの導入で脆弱性の報告が10倍近くに増えても、大半の調整業務は伊藤氏が担当しており、作業の負担も増してしまったからだ。

　「多い週なら約30件、平均でも週6件ほどの脆弱性情報をいただいており、社内で確認される数の5〜10倍の規模です。その脆弱性の1つ1つについて、内容の確認や検証、連絡調整、CVE（共通脆弱性識別子）の発行、情報公開までの作業が追い付かないこともあり、正直にいうと大変です。多数の脆弱性情報をどう適切に公開までにつなげるかが今後の課題ですね」（伊藤氏）

サイボウズのセキュリティ情報ページ

　脆弱性対応における調整では、特に報告者とのコミュニケーションが肝になるという。脆弱性報告をメールで受け付けているが、世界中から寄せられるため、日本語や比較的理解しやすい英語ばかりではないことも。脆弱性の検証が十分にできない時は報告者にさらなる情報提供を求めたり、検証結果をフィードバックして公開のタイミングを調整したりすることもある。

　「開発者と報告者が納得しながらプロセスを進めていくのは大変ですし、コストもかかりますが、お互い人なので意思疎通を心掛けることが大切です。最後にどのような方法で情報を公開するのか、公開しないのであれば、納得してもらえるように理由を伝えつつ、謝辞を示すことも重要です」（伊藤氏）

　脆弱性対応において、伊藤氏はまず脆弱性の報告者が開発者にコンタクトできるセキュリティ対応のための窓口（Point of Contact）を用意することが必要だとアドバイスする。

　報奨金プログラムの導入で伊藤氏の業務は多忙を極めることになったが、製品やサービスの品質向上に大きな成果を挙げている。「特に開発の現場からは『これほどありがたい取り組みはない』と喜ばれるようになりました。かつては検査ツールを工夫して脆弱性を洗い出していましたが、プログラムによって自社では見つけられないたくさんの脆弱性情報を提供していただけるようになり、品質改善のスピードが格段に向上しました」（伊藤氏）とのことだ。

　バグバウンティプログラムでは2015年も12月まで脆弱性情報を募っており、7月までに約1000万円の報奨金を情報提供者に贈呈しているという。「支払いをした金額以上の価値が十二分にあるというのが社内の共通認識になっています」（伊藤氏）

　当面の課題となる脆弱性情報の公開については、伊藤氏は積極的な継続を目指しているが、ユーザーへの影響が大きい脆弱性情報の提供を優先するといった対応を検討中だという。また、クラウドサービスは同社側の対応でユーザーを保護できるケースが多く、あえて実施しないこともあるという。