「脆弱性を明かさないベンダー」にセキュリティ専門家がいら立つ“当然の理由”クラウドサービスの脆弱性にCVEは必要か【第3回】

セキュリティ専門家は、IT製品やサービスの脆弱性をベンダーが公表しないことを問題視してきた。それによりベンダー、ユーザー企業、セキュリティ業界にどのような悪影響が生じると専門家は考えるのか。

2021年12月21日 05時00分 公開
[Shaun NicholsTechTarget]

 ベンダーが脆弱(ぜいじゃく)性を公表しないのはクラウドサービスに限ったことではない。オンプレミスソフトウェアベンダーも、さまざまな手段を使ってパッチ配布を遅らせたり、表に出ないようしたりにするなどして、セキュリティ研究者をいら立たせてきた。

「脆弱性を明かさないベンダー」に研究者がいら立つ理由

 クラウドサービスの脆弱性に脆弱性識別子「CVE」(Common Vulnerabilities and Exposures)がないことで懸念すべきなのは、ベンダーがその脆弱性を放置し、パッチ配布を先送りしてしまう点だ。脆弱性の修正にはユーザー企業の行動が必要になる場合がある。CVEがなければ「脆弱性についてベンダーとユーザー企業が言葉でコミュニケーションを取るのが難しくなり、ユーザー企業は自社が影響を受けるかどうかさえ分かりにくくなる」と、クラウドセキュリティベンダーWizのシニアセキュリティ研究者であるニール・オーフィールド氏は危惧する。

 脆弱性非公開の問題が悪化するあまり、一部のバグハンター(脆弱性を探し出すセキュリティ研究者)は「発見した脆弱性をサードパーティーに売り渡す」ことを考えている。そうした脆弱性はゼロデイ攻撃(未修正の脆弱性を悪用する攻撃)につながりかねない。

 「扱っているのがオンプレミスソフトウェアであれクラウドサービスであれ、どのベンダーにも製品やサービスの脆弱性に関する情報を公表する義務はない」と、トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクター、ダスティン・チャイルズ氏は認める。それでもベンダーにとって最善なのは「できる限りの透明性を保つことだ」とチャイルズ氏は考える。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news004.jpg

ブランドセーフティー(安全性)とブランドスータビリティー(適合性)はリーチと両立できる
そもそも広告は表示されなければ始まりません。だからこそ「ビューアビリティー」が重要...

news186.jpg

B2Bサイトランキング2024、三菱電機が2年連続トップ――トライベック・ブランド戦略研究所調べ
トライベック・ブランド戦略研究所は、B2Bサイトのビジネス貢献度を評価する調査の結果を...

news114.jpg

Googleも認める“TikTok検索”のとてつもない影響力
ユーザーが製品を発見するプロセスにおいてTikTokが果たす超強力な役割についてのインサ...