クラウドサービスの脆弱性に「CVE」が付与されないことを複数の専門家が問題視している。どのような見解から専門家は異議を唱えているのか。
IT製品の脆弱(ぜいじゃく)性の情報を示す脆弱性識別子「CVE」(Common Vulnerabilities and Exposures)は、第1回「クラウドサービスの脆弱性に『CVE』がない“なるほどの理由”」で挙げた理由から、クラウドサービスの脆弱性には付与されない。このことについて複数のセキュリティ専門家が、「企業のセキュリティ部門やエンドユーザー、セキュリティ業界にとっての損失につながる」と発言している。
クラウドサービスにCVEが付与されないことに関する懸念が浮上したのは、2021年夏にMicrosoftのクラウドサービス形式のデータベース管理システム(DBMS)「Azure Cosmos DB」に、脆弱性「ChaosDB」が見つかったことがきっかけだった。同社はChaosDBの発見者であるクラウドセキュリティベンダーWizと共同でChaosDBを公表した。
他のクラウドベンダーは、ChaosDBのような重大な脆弱性を公表していない可能性がある。独立系セキュリティ研究者のケビン・ボーモント氏をはじめ、複数の専門家がこの問題についてミニブログサービス「Twitter」で指摘した。「『クラウドセキュリティの巨大なギャップ』のせいで、クラウドサービスの脆弱性に関する信頼できる情報源は、外部のセキュリティ研究者だけになってしまった」(ボーモント氏)
セキュリティ研究者にとって、脆弱性報告者としてCVEで実績を認められることは、キャリアでの大きなプラスになる。脆弱性を探し出すセキュリティ研究者であるバグハンターにとって、CVEに名を残すことは履歴書のような役割を果たし、公に功績を認められることにつながる。その結果、業界で名声が広まり、さらなる高収入の仕事を見つけるチャンスを獲得できる。
だからといって「バグハンターの誰もが単純に富と名声を追求しているわけではない」と、トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は述べる。セキュリティ研究者が脆弱性を報告する動機は「さまざまだ」とチャイルズ氏は指摘。「公的な評価や金銭的報酬も、ベンダーに脆弱性を報告する者にとっては大きなインセンティブになる」と語る。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。
なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...
業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...