自社の製品でセキュリティ脆弱性が報告されたら PART2：Column

[Michelle Davidson，TechTarget]

　自社製品について脆弱性が報告されたらどうしたらいいのか――PART1に続き、本稿では報告者への対応や処理プロセス確立の方法について紹介していく。

セキュリティ脆弱性の報告にどう対応するか

　業界団体のオーガニゼーション・フォー・インターネット・セーフティ（OIS）は、脆弱性の報告を受けた場合の対応計画の整備に役立つ一連のガイドラインを策定した。このガイドラインでは、対応計画の整備過程が5つの段階に分けられ、各段階がどのようなものか、各段階で何を行うべきかの概要が示されている。

　最初に行わなければならないのは、報告の処理プロセスを確立することだ、とコフィー氏は説明した。社内ネットワークを使ってそのプロセスを周知し、なすべきことが従業員に理解されるようにしなければならない。さらに、報告のためのインフラとリポジトリも用意する必要がある。

　「脆弱性の報告に使えるWebサイトや電子メールアドレスが必要だ。こうした報告の仕組みは、担当スタッフを置いて適切に機能するようにしなければならない」とコフィー氏。「報告が届かないという事態はあってはならない」

　また、脆弱性の報告要件も定める必要がある。具体的には発見者に対し、報告の中で、発見者の氏名と連絡先、不具合がある製品の名前、不具合を発見した際の使用OS、使用ツール、発見者の意図、実証コードを提供できるかどうか、不具合を突いて問題を発生させる操作の再現方法などを明記するよう求めなければならない。

　「発見者に後で何度も問い合わせて煩わせてはならない。必要な情報はあらかじめ明示しておくべきだ」（コフィー氏）

　さらに、報告を受けてからの過程を管理する仕組みを持つことや、従業員の役割と責任を規定しておくことも必要だ。

　脆弱性報告への対応では、コミュニケーションがカギを握るとコフィー氏は強調した。発見者から報告を受けたら、ベンダーは礼状を送付するとともに、情報を公開する日の大まかな目安を取り決める必要がある。さらにベンダーは、発見者が忘れられたと思ったりしないように、毎週、進捗を電子メールで伝えるべきだ。また、法的な目的でやり取りをすべて記録することもベンダーにとって重要だ。

　「彼らは脆弱性について親切に知らせてくれたのだから、コミュニケーションを通じてお返しをしなければならない」（コフィー氏）

　しかし、そのコミュニケーションは慎重に行わなければならない。誠実に対応すべきだが、発見者が知らなければならないことだけを述べるようにすべきだ。自ら進んで情報を提供してはならない。例えば、実際には発見者の報告よりも多くの脆弱性があるとしても、発見者にそれを教えるべきではない。

一貫した管理の下で脆弱性リポートを作成

　対外的に公表する個々の脆弱性リポートは、脆弱性の報告を受けた当初からの一貫した管理の下で作成する必要がある、とコフィー氏は指摘した。通常、問題ごとに1人の担当者がその発見から解消まで責任を持ち、文書化を全面的に担当するようにする。入力した情報に応じて随時リポートを生成できる管理システムを利用するべきだ。

　また、情報を守ることも必要になる。情報を公開するまでは、情報の提供対象は、問題を知る必要がある人に限定しなければならない。

情報公開の注意点

　脆弱性の発見者は情報を公開したいと考えるのが常だが、あなたの会社はどうするか。次の点を考える必要があるとコフィー氏は語った。

• 情報を公開しないよう発見者を説得すべきか
• パッチを作成済みか
• 顧客はどの程度の危険にさらされているか
• 自社はどの程度の危険にさらされているか
• 発見者よりも早く情報公開できるか
• 自社のイメージにプラスか

　脆弱性の公開は、発見者と同時に、あるいはより早く行うべきだとコフィー氏は語った。ただしどんな場合でも、取るべき対策（問い合わせに対応する体制の準備や、パッチの作成）を行った上で公開するのが最も得策だ。また、公開の仕方は発見者と調整すべきだ。発見者が、自らの貢献が明記されることを望むのであれば、それに応じなければならない。どのような表現にするかは発見者との話し合い次第だ。また、発見者が自分の発見した情報を自分で公開するかどうかも考慮すべき点だ。

　彼らは脆弱性情報をSecurity FocusやCommon Vulnerabilities and Exposuresなど、第三者のサイトに投稿する場合もある。

発見者に話が通じない場合

　発見者が報告のガイドラインに一切従わず、脆弱性をただちに公開する場合には、あなたの会社の選択肢は限られる。その発見者を提訴すべきか、不具合を包み隠さず公表して対策状況を説明すべきか、それとも知らぬ顔をして、悪いことが起こらないことを期待すべきか、を判断しなければならない。

　企業は今、こうした問題について考えなければならないと、コフィー氏は強調した。そこでモノを言うのは文書化だという。

　「緊急事態が起きたときには、誰が指揮を執るか、誰がメディア対応を担当するか、法務部門の誰に連絡すべきか、誰が開発部門の責任者か、まずやるべきことは何かが、すぐに分からなければならない」とコフィー氏。

　そして常に言えることだが、攻撃者がどう行動するかが分かれば、防衛策も分かる、とコフィー氏は語った。「攻撃者のように考えることができれば、自衛することも可能だ。ソフトのセキュリティを確保する方法がおのずと見えてくる」