報告者は敵か味方か? パッチは間に合うのか?――脆弱性の報告でパニックを起こさないためにはどうしたらいいだろうか。
あなたが何カ月も奮闘を続け、ついにソフトをリリースしたとしよう。
ところが、誰かがあなたの会社に連絡してきて、脆弱性が見つかったと告げる。あなたはどうするだろうか。
「理想的な世界では、脆弱性は必ず報告され、その検証と修正が行われ、コードのQA作業やテストを経てアップデートプログラムがリリースされる。そして顧客は安心し、満足する」とマカフィーの主席セキュリティアーキテクト、デビッド・コフィー氏は、ボルティモアで開催されたSoftware Security Summitでの講演で語った。
「だが、理想とは程遠い現実の世界では、脆弱性は、可能な場合には報告されるが、無視されたり、不適切に処理されたりし、そうした中で発見者が実証コードを公開して、顧客は不安と不満を抱えてしまう。ソフトのベンダーの株主、従業員、経営陣も同様だ」とコフィー氏は述べた。
製品のリリース後に発見された脆弱性に対処する上で重要なのは、その報告を受けた場合に取るべきステップを知っておくことだ、とコフィー氏は説明した。
あなたが何カ月も奮闘を続け、ついにソフトをリリースしたとしよう。万全の準備をした自信があり、ソフトはうまく機能していてまったく安全だ。ハッキングすることなど絶対にできない。
ところが、誰かがあなたの会社に連絡してきて、脆弱性が見つかったと告げる。あなたはどうするだろうか。
「理想的な世界では、脆弱性は必ず報告され、その検証と修正が行われ、コードのQA作業(品質管理作業)やテストを経てアップデートプログラムがリリースされる。そして顧客は安心し、満足する」とマカフィーの主席セキュリティアーキテクト、デビッド・コフィー氏は、ボルティモアで開催されたSoftware Security Summitでの講演で語った。
「だが、理想とは程遠い現実の世界では、脆弱性は、可能な場合には報告されるが、無視されたり、不適切に処理されたりし、そうした中で発見者が実証コードを公開して、顧客は不安と不満を抱えてしまう。ソフトのベンダーの株主、従業員、経営陣も同様だ」とコフィー氏は述べた。
最悪の場合には、脆弱性が見つかるやいなや、発見者がただちに実証コードを公開し、ソフトベンダーは対処する準備ができない、とコフィー氏は付け加えた。
製品のリリース後に発見された脆弱性に対処する上で重要なのは、その報告を受けた場合に取るべきステップを知っておくことだ、とコフィー氏は説明した。
「脆弱性が見つかったら、それを適切に分類すれば、どう対応すべきかが分かるようにしておかなければならない」と同氏。「対応プロセスが明確になっていれば、誰もパニックにならない」
コフィー氏によると、そのプロセスは、誰が問題を報告したかなどによって違ってくる。例えば、従業員や、会社が雇っているセキュリティコンサルタントなど、内部者が発見する場合がある。こうした人々は一般に信頼できる。問題を発見して報告することは彼らの仕事の一部であり、彼らは会社と契約している。また、彼らは脆弱性を探そうという意欲を持っている。好奇心旺盛で、ほかの開発者の先を行こうとしており、脆弱性をすべて見つけて取り除くことを自分の任務と考えているからだ。
だが、1つ注意しなければならないのは、不満を持った従業員が脆弱性を発見した場合だ。彼らは動機に問題があるからだとコフィー氏は語った。
発見者が外部の場合はさらにリスクが大きい。例えば、セキュリティ研究者やビジネスパートナー、技術知識が豊富なエンドユーザーなどが発見者となる可能性がある。こうした発見者がどの程度信頼できるか、その動機は何かが分からないのが不安材料だ。お金や名声が目当てなのか、好奇心が強いだけなのか、何らかの任務を負っているのか、あなたの会社に打撃を与えたいのか――。
「たいていの場合、こうした発見者は善意で行動している。彼らは役に立ちたいと考えている」とコフィー氏。だが、そうではない人々の存在も念頭に置く必要があるという。
また、発見者がどのような情報公開を考えているかも考慮に入れなければならない。発見者が完全公開を掲げて、「製品の脆弱性について分かっている情報をすべて公開する」と言ってくる場合がある。これは、情報が完全に公開されるとなれば、企業はより迅速に不具合を修正するだろうという理屈によるものだ、とコフィー氏は語った。
こうした発見者は、ハッカーが作った一連のガイドラインに沿った対応を企業に求める。それは、「企業は報告に対し、5日以内に回答する」「企業は不具合の公表の仕方を発見者と調整する」「企業は不具合が見つかったことの功績を全面的に発見者に帰する」「企業への不具合の報告から情報公開までの期間は30日とする」といったものだ。
「このことは、こうした人々が開発プロセスを知らないことを示していると思う」とコフィー氏。「ほとんどの企業にとって、30日以内にパッチを開発するのは非常に困難だ」
一方、責任ある情報公開というやり方もある。これは完全公開と似ているが、企業が不具合情報の公表を要求されない、スケジュールが柔軟に設定される、発見者が、修正プログラムが用意されてから情報公開を行う、という点が異なっている。
この続き(脆弱性報告への対処、情報公開のステップなど)は7月25日に掲載の予定です。
Copyright © ITmedia, Inc. All Rights Reserved.
物流向けアプリケーションの開発を行うMeeTruckでは、アジャイル開発でPDCAをスピーディーに回すことで、業界での支持を拡大している。そんな同社の躍進を支えているのが、豊富なAPIを誇るコミュニケーションプラットフォームだ。
斬新なアイデアで人気を博すレシート買い取りアプリ「ONE」を提供するWEDでは、認証機能の開発工数を削減すべく、あるクラウドコミュニケーションAPIを導入した。SMS認証機能の実装をわずか2日程度で実現した同ツールの実力を紹介する。
アナログで非効率な業務が多く残る建設現場では、デジタル化によるプロセス改善が、喫緊の課題となっている。現場DXを推進する具体的な方法を提案するとともに、ノーコードツールの導入で大きな成果を収めた事例を紹介する。
ビルメンテナンス事業を展開する裕生では、全社的にDXへの意識が低く、従業員の意識改革に課題を抱えていた。そこで、取り組みの契機とすべくノーコードツールを導入。業務アプリの活用により現場の業務はどのように変化したのだろうか。
深刻化するIT人材不足の課題解消の方法として、プログラミングコードを書かずに業務用モバイルアプリを開発できる「ノーコード開発」が注目されている。従来のスクラッチ開発との違いを比較し、メリットや導入のポイントを解説する。
なぜ、「kintone」が大企業の「Fit to Standard」に効果的なのか (2025/3/7)
ノーコードは、負の遺産であるアナログ業務をなくせるのか (2024/11/12)
手間もコストもかかるGUIのテストはどうすれば自動化できるのか (2024/6/4)
「システム内製化」が失敗しがちなのはなぜ? “従来のやり方”では駄目な理由 (2024/5/15)
金融機関のモダナイゼーション 最適解に導くには (2024/3/29)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
