クラウドサービスの脆弱性に「CVE」が付与されないことを複数の専門家が問題視している。どのような見解から専門家は異議を唱えているのか。
IT製品の脆弱(ぜいじゃく)性の情報を示す脆弱性識別子「CVE」(Common Vulnerabilities and Exposures)は、第1回「クラウドサービスの脆弱性に『CVE』がない“なるほどの理由”」で挙げた理由から、クラウドサービスの脆弱性には付与されない。このことについて複数のセキュリティ専門家が、「企業のセキュリティ部門やエンドユーザー、セキュリティ業界にとっての損失につながる」と発言している。
クラウドサービスにCVEが付与されないことに関する懸念が浮上したのは、2021年夏にMicrosoftのクラウドサービス形式のデータベース管理システム(DBMS)「Azure Cosmos DB」に、脆弱性「ChaosDB」が見つかったことがきっかけだった。同社はChaosDBの発見者であるクラウドセキュリティベンダーWizと共同でChaosDBを公表した。
他のクラウドベンダーは、ChaosDBのような重大な脆弱性を公表していない可能性がある。独立系セキュリティ研究者のケビン・ボーモント氏をはじめ、複数の専門家がこの問題についてミニブログサービス「Twitter」で指摘した。「『クラウドセキュリティの巨大なギャップ』のせいで、クラウドサービスの脆弱性に関する信頼できる情報源は、外部のセキュリティ研究者だけになってしまった」(ボーモント氏)
セキュリティ研究者にとって、脆弱性報告者としてCVEで実績を認められることは、キャリアでの大きなプラスになる。脆弱性を探し出すセキュリティ研究者であるバグハンターにとって、CVEに名を残すことは履歴書のような役割を果たし、公に功績を認められることにつながる。その結果、業界で名声が広まり、さらなる高収入の仕事を見つけるチャンスを獲得できる。
だからといって「バグハンターの誰もが単純に富と名声を追求しているわけではない」と、トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は述べる。セキュリティ研究者が脆弱性を報告する動機は「さまざまだ」とチャイルズ氏は指摘。「公的な評価や金銭的報酬も、ベンダーに脆弱性を報告する者にとっては大きなインセンティブになる」と語る。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
