サイボウズが脆弱性情報を公開しているのは、オンプレミス版ソフトウェアなどの製品ではパッチ適用などをユーザーの手に委ねざるを得ないためだ。その1つの手立てがJVNのように仕組みなのだという。
「インストール型の製品では、企業のシステム管理者やユーザーがJVNなどを活用して積極的に自らアップデートしていただけるようになってほしいと思います。そうなれば開発者も対応した脆弱性の情報をJVNなどでも公開して周知するという仕組みが当たり前になるのではないでしょうか」(伊藤氏)
脆弱性情報の流通を円滑にする仕組みとして期待されているものの1つに、2000年代後半から米国で整備されてきた「共通プラットフォーム一覧」(CPE=Common Platform Enumeration)がある。共通の名称基準を利用してハードウェアやソフトウェアなどを識別できるようにすることで、ユーザーが製品名やバージョンなどを頼りにセキュリティ関連情報を入手しやすくなるとされる。
ただ、CPEの仕様が開発者の考え(例えば、バージョン表記の仕方など)と一致しない部分もあり、伊藤氏はさらなる整備が必要と指摘する。JPCERT/CCの古田氏も、「製品のバージョンといった情報は開発者でないと把握できず、そこがスムーズに流通する仕組みが必要です。しかし、米国の体系なので日本だけでは難しい部分もあり、様々なご意見を反映しながら、よい方法を見つけていきたいと考えています」と話す。
ソフトウェアの脆弱性は、エンドユーザーだけでなく、自社製品の開発で他社のソフトウェアを利用する開発者にも影響するため、脆弱性情報は開発者自身にとっても不可欠なもの。伊藤氏は、「情報を提供すると同時に利用する立場でもあるので、情報を利用される方々が悩まないよう引き続き改善に努めていく所存です」と話している。
Copyright © ITmedia, Inc. All Rights Reserved.