「脆弱性を明かさないベンダー」にセキュリティ専門家がいら立つ“当然の理由”：クラウドサービスの脆弱性にCVEは必要か【第3回】

セキュリティ専門家は、IT製品やサービスの脆弱性をベンダーが公表しないことを問題視してきた。それによりベンダー、ユーザー企業、セキュリティ業界にどのような悪影響が生じると専門家は考えるのか。

[Shaun Nichols，TechTarget]

　ベンダーが脆弱（ぜいじゃく）性を公表しないのはクラウドサービスに限ったことではない。オンプレミスソフトウェアベンダーも、さまざまな手段を使ってパッチ配布を遅らせたり、表に出ないようしたりにするなどして、セキュリティ研究者をいら立たせてきた。

併せて読みたいお薦め記事

脆弱性への向き合い方

• 脆弱性を探すバグハンターは、なぜAppleにうんざりするのか
• Exchange Server脆弱性問題で考える「なぜパッチの適用は進まないのか」

「脆弱性を明かさないベンダー」に研究者がいら立つ理由

　クラウドサービスの脆弱性に脆弱性識別子「CVE」（Common Vulnerabilities and Exposures）がないことで懸念すべきなのは、ベンダーがその脆弱性を放置し、パッチ配布を先送りしてしまう点だ。脆弱性の修正にはユーザー企業の行動が必要になる場合がある。CVEがなければ「脆弱性についてベンダーとユーザー企業が言葉でコミュニケーションを取るのが難しくなり、ユーザー企業は自社が影響を受けるかどうかさえ分かりにくくなる」と、クラウドセキュリティベンダーWizのシニアセキュリティ研究者であるニール・オーフィールド氏は危惧する。

　脆弱性非公開の問題が悪化するあまり、一部のバグハンター（脆弱性を探し出すセキュリティ研究者）は「発見した脆弱性をサードパーティーに売り渡す」ことを考えている。そうした脆弱性はゼロデイ攻撃（未修正の脆弱性を悪用する攻撃）につながりかねない。

　「扱っているのがオンプレミスソフトウェアであれクラウドサービスであれ、どのベンダーにも製品やサービスの脆弱性に関する情報を公表する義務はない」と、トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクター、ダスティン・チャイルズ氏は認める。それでもベンダーにとって最善なのは「できる限りの透明性を保つことだ」とチャイルズ氏は考える。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。