2021年12月14日 05時00分 公開
特集/連載

「『CVE』のないクラウド」に専門家が不満な“表の理由”と“裏の理由”クラウドサービスの脆弱性にCVEは必要か【第2回】

クラウドサービスの脆弱性に「CVE」が付与されないことを複数の専門家が問題視している。どのような見解から専門家は異議を唱えているのか。

[Shaun Nichols,TechTarget]

 IT製品の脆弱(ぜいじゃく)性の情報を示す脆弱性識別子「CVE」(Common Vulnerabilities and Exposures)は、第1回「クラウドサービスの脆弱性に『CVE』がない“なるほどの理由”」で挙げた理由から、クラウドサービスの脆弱性には付与されない。このことについて複数のセキュリティ専門家が、「企業のセキュリティ部門やエンドユーザー、セキュリティ業界にとっての損失につながる」と発言している。

「CVEのないクラウドサービス」に研究者が不満を抱く理由

 クラウドサービスにCVEが付与されないことに関する懸念が浮上したのは、2021年夏にMicrosoftのクラウドサービス形式のデータベース管理システム(DBMS)「Azure Cosmos DB」に、脆弱性「ChaosDB」が見つかったことがきっかけだった。同社はChaosDBの発見者であるクラウドセキュリティベンダーWizと共同でChaosDBを公表した。

 他のクラウドベンダーは、ChaosDBのような重大な脆弱性を公表していない可能性がある。独立系セキュリティ研究者のケビン・ボーモント氏をはじめ、複数の専門家がこの問題についてミニブログサービス「Twitter」で指摘した。「『クラウドセキュリティの巨大なギャップ』のせいで、クラウドサービスの脆弱性に関する信頼できる情報源は、外部のセキュリティ研究者だけになってしまった」(ボーモント氏)

CVEに名を残すことの意義

 セキュリティ研究者にとって、脆弱性報告者としてCVEで実績を認められることは、キャリアでの大きなプラスになる。脆弱性を探し出すセキュリティ研究者であるバグハンターにとって、CVEに名を残すことは履歴書のような役割を果たし、公に功績を認められることにつながる。その結果、業界で名声が広まり、さらなる高収入の仕事を見つけるチャンスを獲得できる。

 だからといって「バグハンターの誰もが単純に富と名声を追求しているわけではない」と、トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は述べる。セキュリティ研究者が脆弱性を報告する動機は「さまざまだ」とチャイルズ氏は指摘。「公的な評価や金銭的報酬も、ベンダーに脆弱性を報告する者にとっては大きなインセンティブになる」と語る。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news194.jpg

残念なブランド体験で8割の顧客は「もう買わない」――Sitecore調査
消費者にとって不都合な事象が発生した際にも、ブランドを好きでいられるのは10人に1人。

news131.jpg

ナイキとアディダスに学ぶ ファンを増やす企業文化とは?
スポーツにおけるトップブランドの座を巡ってし烈な競争を繰り広げてきたナイキとアディ...

news046.jpg

DXにおける「コンサルティング力」とは?
DXが加速する中でコンサルティング人材へのニーズが高まっています。DXにおける「コンサ...