2021年12月14日 05時00分 公開
特集/連載

「『CVE』のないクラウド」に専門家が不満な“表の理由”と“裏の理由”クラウドサービスの脆弱性にCVEは必要か【第2回】

クラウドサービスの脆弱性に「CVE」が付与されないことを複数の専門家が問題視している。どのような見解から専門家は異議を唱えているのか。

[Shaun Nichols,TechTarget]

 IT製品の脆弱(ぜいじゃく)性の情報を示す脆弱性識別子「CVE」(Common Vulnerabilities and Exposures)は、第1回「クラウドサービスの脆弱性に『CVE』がない“なるほどの理由”」で挙げた理由から、クラウドサービスの脆弱性には付与されない。このことについて複数のセキュリティ専門家が、「企業のセキュリティ部門やエンドユーザー、セキュリティ業界にとっての損失につながる」と発言している。

「CVEのないクラウドサービス」に研究者が不満を抱く理由

 クラウドサービスにCVEが付与されないことに関する懸念が浮上したのは、2021年夏にMicrosoftのクラウドサービス形式のデータベース管理システム(DBMS)「Azure Cosmos DB」に、脆弱性「ChaosDB」が見つかったことがきっかけだった。同社はChaosDBの発見者であるクラウドセキュリティベンダーWizと共同でChaosDBを公表した。

 他のクラウドベンダーは、ChaosDBのような重大な脆弱性を公表していない可能性がある。独立系セキュリティ研究者のケビン・ボーモント氏をはじめ、複数の専門家がこの問題についてミニブログサービス「Twitter」で指摘した。「『クラウドセキュリティの巨大なギャップ』のせいで、クラウドサービスの脆弱性に関する信頼できる情報源は、外部のセキュリティ研究者だけになってしまった」(ボーモント氏)

CVEに名を残すことの意義

 セキュリティ研究者にとって、脆弱性報告者としてCVEで実績を認められることは、キャリアでの大きなプラスになる。脆弱性を探し出すセキュリティ研究者であるバグハンターにとって、CVEに名を残すことは履歴書のような役割を果たし、公に功績を認められることにつながる。その結果、業界で名声が広まり、さらなる高収入の仕事を見つけるチャンスを獲得できる。

 だからといって「バグハンターの誰もが単純に富と名声を追求しているわけではない」と、トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は述べる。セキュリティ研究者が脆弱性を報告する動機は「さまざまだ」とチャイルズ氏は指摘。「公的な評価や金銭的報酬も、ベンダーに脆弱性を報告する者にとっては大きなインセンティブになる」と語る。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news056.jpg

マーケターの87%がサードパーティーCookie利用規制の影響を実感――イルグルム調査
広告主はWeb広告の効果においてCookieの利用規制の影響を感じているようです。

news122.jpg

2021年ホリデーシーズンにおける米国オンライン消費額、サプライチェーン危機にもかかわらず過去最大を更新
「Adobe Digital Economy Index」によると、米国の2021年のホリデーシーズンにおけるオン...

news014.jpg

「パーソナライゼーションエンジン」 売れ筋TOP10(2022年1月)
今週は、パーソナライゼーション製品の国内売れ筋TOP10を紹介します。