Adobe、脆弱性情報の事前提供にMicrosoftの制度を採用

AdobeはMicrosoftの制度に加盟しているセキュリティソフトメーカーなどを対象に、今年秋から脆弱性情報の事前提供を開始する。

[ITmedia]

　米Microsoftは7月28日、米ラスベガスで開かれているセキュリティカンファレンス「Black Hat USA 2010」で、同社の脆弱性情報事前提供プログラムにAdobe Systemsが参加することになったと発表した。

　Microsoftのプログラム「Active Protections Program」（MAPP）は、同社製品の脆弱性に関する情報を一般公表する前にセキュリティソフトメーカーなどに提供し、悪用コードの検出などに役立ててもらうための制度。2008年10月に導入された。Adobeは2010年秋からこのプログラムを通じ、MAPP加盟のセキュリティ企業などを対象に、Adobe ReaderやAcrobatといった製品の脆弱性情報の事前提供を開始する。

　Adobeはプレスリリースの中で、Adobe製品の多くはさまざまなOSで利用されて普及度が高いこと、攻撃の様相が変化していることを挙げ、「攻撃者のAdobeに対する注目が高まっている」と指摘した。そうした状況の中で「われわれの全般的な製品セキュリティ戦略における重要な一部としてMAPPを活用したい」と述べている。

　Microsoftはこの発表と併せて、脆弱性を突いた攻撃に対抗するための無料ツール「Enhanced Mitigation Experience Toolkit」（EMET）を8月から提供開始すると発表した。同ツールは特に未解決の脆弱性を狙った標的型攻撃への対応に重点を置いている。

　未解決の脆弱性情報公開をめぐっては、「責任ある公開」（Responsible Disclosure）から「協調的な脆弱性の公開」（Coordinated Vulnerability Disclosure）へと方針を変更したことについて改めて説明した。Microsoftは「協調および責任共有の必要性がかつてなく高まっている」として、セキュリティ研究者やベンダーにも「協調的な脆弱性公開の方針を採用してほしい」と呼び掛けている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら