IT製品の脆弱(ぜいじゃく)性の情報を示す脆弱性識別子「CVE」(Common Vulnerabilities and Exposures)は、第1回「クラウドサービスの脆弱性に『CVE』がない“なるほどの理由”」で挙げた理由から、クラウドサービスの脆弱性には付与されない。このことについて複数のセキュリティ専門家が、「企業のセキュリティ部門やエンドユーザー、セキュリティ業界にとっての損失につながる」と発言している。
クラウドサービスにCVEが付与されないことに関する懸念が浮上したのは、2021年夏にMicrosoftのクラウドサービス形式のデータベース管理システム(DBMS)「Azure Cosmos DB」に、脆弱性「ChaosDB」が見つかったことがきっかけだった。同社はChaosDBの発見者であるクラウドセキュリティベンダーWizと共同でChaosDBを公表した。
他のクラウドベンダーは、ChaosDBのような重大な脆弱性を公表していない可能性がある。独立系セキュリティ研究者のケビン・ボーモント氏をはじめ、複数の専門家がこの問題についてミニブログサービス「Twitter」で指摘した。「『クラウドセキュリティの巨大なギャップ』のせいで、クラウドサービスの脆弱性に関する信頼できる情報源は、外部のセキュリティ研究者だけになってしまった」(ボーモント氏)
セキュリティ研究者にとって、脆弱性報告者としてCVEで実績を認められることは、キャリアでの大きなプラスになる。脆弱性を探し出すセキュリティ研究者であるバグハンターにとって、CVEに名を残すことは履歴書のような役割を果たし、公に功績を認められることにつながる。その結果、業界で名声が広まり、さらなる高収入の仕事を見つけるチャンスを獲得できる。
だからといって「バグハンターの誰もが単純に富と名声を追求しているわけではない」と、トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は述べる。セキュリティ研究者が脆弱性を報告する動機は「さまざまだ」とチャイルズ氏は指摘。「公的な評価や金銭的報酬も、ベンダーに脆弱性を報告する者にとっては大きなインセンティブになる」と語る。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
マーケターの87%がサードパーティーCookie利用規制の影響を実感――イルグルム調査
広告主はWeb広告の効果においてCookieの利用規制の影響を感じているようです。
2021年ホリデーシーズンにおける米国オンライン消費額、サプライチェーン危機にもかかわらず過去最大を更新
「Adobe Digital Economy Index」によると、米国の2021年のホリデーシーズンにおけるオン...
「パーソナライゼーションエンジン」 売れ筋TOP10(2022年1月)
今週は、パーソナライゼーション製品の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
