脆弱性対応をめぐる現実と課題 ユーザーを守る手立ては？（1/4 ページ）

開発者にとって脆弱性は頭の痛い問題だろう。適切な対応が望まれるものの、そこには多くの課題がつきまとう。より良い対応に向けてどんなことができるのだろうか。

[國谷武史，ITmedia]

　ソフトウェア製品には、ユーザーにセキュリティリスクをもたらしかねない脆弱性の問題が常につきまとう。開発者には脆弱性の解決とユーザーに対策を促す積極的な情報公開などの対応が望まれるものの、実際には難しいケースが少なくない。脆弱性問題を上手に乗り切る手立てはあるのだろうか。

　JPCERT コーディネーションセンター（JPCERT/CC）は、2014年からセキュリティ対策への積極的な取り組みをしている組織に謝辞を伝える「JPCERT/CC 感謝状制度」を実施。2014年はトッパン・フォームズとカスペルスキー、2015年はサイボウズに感謝状を贈呈した。トッパン・フォームズはフィッシング対策協議会での活動、カスペルスキーはWebサイト改ざん被害への支援が評価され、サイボウズは製品の脆弱性情報を積極的に提供する姿勢が評価された。脆弱性対応を取り巻く現状や課題についてJPCERT/CCとサイボウズに聞く。

脆弱性情報の公開は難しい

　セキュリティ研究者や機関などによって発見された脆弱性は、通常はまず開発元にその内容が伝えられ、開発元が修正プログラムを準備し、情報を公開してユーザーに適用が呼び掛けられる。JPCERT/CCの主要な活動の1つが、こうした対応における関係者間の調整だ。調整が完了した脆弱性の情報や、ユーザーに深刻な影響を及ぼす緊急性の高い脆弱性の情報を、情報処理推進機構（IPA）と運営する「Japan Vulnerability Notes」（JVN）などで公表し、広く周知を図ることでユーザーに対応を促している。

脆弱性情報公開までのプロセスは「情報セキュリティ早期警戒パートナーシップ」に基づいて行われている

　脆弱性対応にまつわる課題の1つが、この情報公開への取り組みだ。上述のように、開発者には速やかな対策と情報公開が望まれるものの、情報の公開に消極的な開発者が少なくないという。

　「情報を公開することで、『かえってユーザーを不安にさせてしまう』と考える方がいまも数多くいます。社内やビジネスパートナーからの意見も気にされるようですね。情報公開の意義は、ユーザーに対策ができるという情報を流通させることにあります」（JPCERT/CC 情報流通対策グループ マネージャー兼脆弱性解析チームリーダーの久保正樹氏）

　JVNなどによる情報公開の目的は、特にユーザーが自身の手で対策をする必要のある脆弱性情報を周知することにあるという。久保氏によれば、ソフトウェア製品の自動更新機能や、サーバサイドでの対策でユーザーを守れるといったケースなら、JVNで情報を公開しないケースもあるとのこと。現在ではSaaSのような利用形態も広がりつつあるが、多くのユーザーは導入製品の更新を自分で判断しなければならず、その手掛かりは公開情報となる。

　サイボウズがJPCERT/CCに届出た脆弱性情報は、開発者が届出る自社製品の脆弱性情報全体の約40％を占めるダントツぶりだった。

JPCERT/CCの歌代和正代表理事（右）からサイボウズの伊藤彰嗣氏に感謝状が送られた

　「JVNも通じて自主的な情報公開へ努めてきたことを評価しました。対策を周知させなければ、ユーザーの目の前に脅威が存在し続けるという危機意識を持っており、脆弱性情報の流通に様々な課題がある中で、開発者に望まれる姿勢を今後も貫いていただきたいと期待しています」（JPCERT/CC 事業推進基盤グループ 情報管理ライン マネージャーの古田洋久氏）