自社の製品でセキュリティ脆弱性が報告されたら PART1Column

報告者は敵か味方か? パッチは間に合うのか?――脆弱性の報告でパニックを起こさないためにはどうしたらいいだろうか。

2006年07月21日 09時56分 公開
[TechTarget]

 あなたが何カ月も奮闘を続け、ついにソフトをリリースしたとしよう。

 ところが、誰かがあなたの会社に連絡してきて、脆弱性が見つかったと告げる。あなたはどうするだろうか。

 「理想的な世界では、脆弱性は必ず報告され、その検証と修正が行われ、コードのQA作業やテストを経てアップデートプログラムがリリースされる。そして顧客は安心し、満足する」とマカフィーの主席セキュリティアーキテクト、デビッド・コフィー氏は、ボルティモアで開催されたSoftware Security Summitでの講演で語った。

 「だが、理想とは程遠い現実の世界では、脆弱性は、可能な場合には報告されるが、無視されたり、不適切に処理されたりし、そうした中で発見者が実証コードを公開して、顧客は不安と不満を抱えてしまう。ソフトのベンダーの株主、従業員、経営陣も同様だ」とコフィー氏は述べた。

 製品のリリース後に発見された脆弱性に対処する上で重要なのは、その報告を受けた場合に取るべきステップを知っておくことだ、とコフィー氏は説明した。

 あなたが何カ月も奮闘を続け、ついにソフトをリリースしたとしよう。万全の準備をした自信があり、ソフトはうまく機能していてまったく安全だ。ハッキングすることなど絶対にできない。

 ところが、誰かがあなたの会社に連絡してきて、脆弱性が見つかったと告げる。あなたはどうするだろうか。

 「理想的な世界では、脆弱性は必ず報告され、その検証と修正が行われ、コードのQA作業(品質管理作業)やテストを経てアップデートプログラムがリリースされる。そして顧客は安心し、満足する」とマカフィーの主席セキュリティアーキテクト、デビッド・コフィー氏は、ボルティモアで開催されたSoftware Security Summitでの講演で語った。

 「だが、理想とは程遠い現実の世界では、脆弱性は、可能な場合には報告されるが、無視されたり、不適切に処理されたりし、そうした中で発見者が実証コードを公開して、顧客は不安と不満を抱えてしまう。ソフトのベンダーの株主、従業員、経営陣も同様だ」とコフィー氏は述べた。

 最悪の場合には、脆弱性が見つかるやいなや、発見者がただちに実証コードを公開し、ソフトベンダーは対処する準備ができない、とコフィー氏は付け加えた。

 製品のリリース後に発見された脆弱性に対処する上で重要なのは、その報告を受けた場合に取るべきステップを知っておくことだ、とコフィー氏は説明した。

 「脆弱性が見つかったら、それを適切に分類すれば、どう対応すべきかが分かるようにしておかなければならない」と同氏。「対応プロセスが明確になっていれば、誰もパニックにならない」

 コフィー氏によると、そのプロセスは、誰が問題を報告したかなどによって違ってくる。例えば、従業員や、会社が雇っているセキュリティコンサルタントなど、内部者が発見する場合がある。こうした人々は一般に信頼できる。問題を発見して報告することは彼らの仕事の一部であり、彼らは会社と契約している。また、彼らは脆弱性を探そうという意欲を持っている。好奇心旺盛で、ほかの開発者の先を行こうとしており、脆弱性をすべて見つけて取り除くことを自分の任務と考えているからだ。

 だが、1つ注意しなければならないのは、不満を持った従業員が脆弱性を発見した場合だ。彼らは動機に問題があるからだとコフィー氏は語った。

 発見者が外部の場合はさらにリスクが大きい。例えば、セキュリティ研究者やビジネスパートナー、技術知識が豊富なエンドユーザーなどが発見者となる可能性がある。こうした発見者がどの程度信頼できるか、その動機は何かが分からないのが不安材料だ。お金や名声が目当てなのか、好奇心が強いだけなのか、何らかの任務を負っているのか、あなたの会社に打撃を与えたいのか――。

 「たいていの場合、こうした発見者は善意で行動している。彼らは役に立ちたいと考えている」とコフィー氏。だが、そうではない人々の存在も念頭に置く必要があるという。

完全公開か、責任ある公開か

 また、発見者がどのような情報公開を考えているかも考慮に入れなければならない。発見者が完全公開を掲げて、「製品の脆弱性について分かっている情報をすべて公開する」と言ってくる場合がある。これは、情報が完全に公開されるとなれば、企業はより迅速に不具合を修正するだろうという理屈によるものだ、とコフィー氏は語った。

 こうした発見者は、ハッカーが作った一連のガイドラインに沿った対応を企業に求める。それは、「企業は報告に対し、5日以内に回答する」「企業は不具合の公表の仕方を発見者と調整する」「企業は不具合が見つかったことの功績を全面的に発見者に帰する」「企業への不具合の報告から情報公開までの期間は30日とする」といったものだ。

 「このことは、こうした人々が開発プロセスを知らないことを示していると思う」とコフィー氏。「ほとんどの企業にとって、30日以内にパッチを開発するのは非常に困難だ」

 一方、責任ある情報公開というやり方もある。これは完全公開と似ているが、企業が不具合情報の公表を要求されない、スケジュールが柔軟に設定される、発見者が、修正プログラムが用意されてから情報公開を行う、という点が異なっている。

この続き(脆弱性報告への対処、情報公開のステップなど)は7月25日に掲載の予定です。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news066.jpg

トランプ氏勝利で追い風 ところでTwitter買収時のマスク氏の計画はどこへ?――2025年のSNS大予測(X編)
2024年の米大統領選挙は共和党のドナルド・トランプ氏の勝利に終わった。トランプ氏を支...

news043.jpg

AI導入の効果は効率化だけじゃない もう一つの大事な視点とは?
生成AIの導入で期待できる効果は効率化だけではありません。マーケティング革新を実現す...

news132.jpg

ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。