MS、他社製ソフトの脆弱性情報開示で調整役に

　Microsoftは、複数のソフトウェアメーカーに影響する脆弱性に関して、一層の責任を担っていく構えだ。

　Microsoftは米国時間4月19日、他社製ソフトウェアに影響するセキュリティ問題を自社従業員が発見したり、外部の研究者がMicrosoft Security Response Center（MSRC）に問題を報告した場合に、同社が脆弱性を調整する役割を担うと発表した。

　このニュースに先立ち、たいていのソフトウェアには根本的に不具合があると結論づけた報告があった。Veracodeの「State of Software Security Report」によると、同社のセキュリティテストプラットフォームを通じて4800以上のアプリケーションを分析した結果、全ソフトウェアアプリケーションの58％が最初の提出時で許容できる水準に達していなかったという。とりわけ成績の悪い分野はセキュリティソフトウェアで、そうしたアプリケーションの72％は許容できるセキュリティ水準に届かないというテスト結果だった。

　Microsoftは、「Coordinated Vulnerability Disclosure at Microsoft」と題された文書で開示ポリシーを詳述した。その中ではまた、同社の研究者が他社製ソフトウェアにセキュリティホールを発見した場合、それが社の業務であれ独自の調査であれ、どのような対処が望まれるかを説明している。

　Microsoftは、いずれの場合でも、影響するアプリケーションのソフトウェアメーカーに連絡し、修正の準備が整った後でMSRCアドバイザリを通じて問題がユーザーに公開されるよう、一般開示を調整すると述べた。ただし、ソフトウェアメーカーから返答がない場合、脆弱性の技術的詳細が一般に入手可能である場合、未パッチのセキュリティホールがすでに攻撃で悪用されている証拠がある場合に限っては例外となる。