脆弱性対応をめぐる現実と課題 ユーザーを守る手立ては?(4/4 ページ)
開発者にとって脆弱性は頭の痛い問題だろう。適切な対応が望まれるものの、そこには多くの課題がつきまとう。より良い対応に向けてどんなことができるのだろうか。
理想の情報流通は道半ば
サイボウズが脆弱性情報を公開しているのは、オンプレミス版ソフトウェアなどの製品ではパッチ適用などをユーザーの手に委ねざるを得ないためだ。その1つの手立てがJVNのように仕組みなのだという。
「インストール型の製品では、企業のシステム管理者やユーザーがJVNなどを活用して積極的に自らアップデートしていただけるようになってほしいと思います。そうなれば開発者も対応した脆弱性の情報をJVNなどでも公開して周知するという仕組みが当たり前になるのではないでしょうか」(伊藤氏)
脆弱性情報の流通を円滑にする仕組みとして期待されているものの1つに、2000年代後半から米国で整備されてきた「共通プラットフォーム一覧」(CPE=Common Platform Enumeration)がある。共通の名称基準を利用してハードウェアやソフトウェアなどを識別できるようにすることで、ユーザーが製品名やバージョンなどを頼りにセキュリティ関連情報を入手しやすくなるとされる。
ただ、CPEの仕様が開発者の考え(例えば、バージョン表記の仕方など)と一致しない部分もあり、伊藤氏はさらなる整備が必要と指摘する。JPCERT/CCの古田氏も、「製品のバージョンといった情報は開発者でないと把握できず、そこがスムーズに流通する仕組みが必要です。しかし、米国の体系なので日本だけでは難しい部分もあり、様々なご意見を反映しながら、よい方法を見つけていきたいと考えています」と話す。
ソフトウェアの脆弱性は、エンドユーザーだけでなく、自社製品の開発で他社のソフトウェアを利用する開発者にも影響するため、脆弱性情報は開発者自身にとっても不可欠なもの。伊藤氏は、「情報を提供すると同時に利用する立場でもあるので、情報を利用される方々が悩まないよう引き続き改善に努めていく所存です」と話している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「バグ報告に報奨金」で品質改善に効果あり、サイボウズが再び実施へ
海外ではGoogleなどが導入している脆弱性報告者の報奨金制度をサイボウズも実施した。製品やサービスの品質改善につながったとして、2015年も実施することになった。
インシデント発生を前提に考えるサイボウズのセキュリティ対策とは?
完璧なセキュリティなどあり得ない――サイボウズが自社製品における脆弱性対策やインシデント(事故や事件など)における対応などについて語った。
脆弱性発見者に報奨金、サイボウズが新制度スタート
海外ではおなじみになりつつある脆弱性発見者への報奨金制度をサイボウズが導入した。特に危険度の高い脆弱性報告については30万円を上限に報奨金が支払われる。- 脆弱性対策で連絡が取れない開発者を公表、IPAとJPCERT/CC
ユーザーが被害を受ける可能性を低減するため、脆弱性対策などで連絡が取れずにいる製品開発者を公表した。