グーグル、自社ウェブサイトで「バグハンター」に謝意を表明

　Googleは10月、自社の会社情報を掲載するページに、自社が持つウェブ資産のセキュリティや安全性に関する情報を掲載する新しいページをひそかに追加していた。このページで同社は、セキュリティ上の脆弱性を報告してくれた人々や組織のリストを掲載し、謝意を示している。

　セキュリティ研究者によれば、こうした取り組みは主要ウェブ関連企業では初めての事例だという。

　Googleの技術担当バイスプレジデントであるDouglas Merrill氏は、「われわれは、正しいことをしてくれた方々に謝意を表明したい。彼らが大いに公の場で『ギークの信頼』を受けられるようにしたいと考えている」とインタビューで答えた。「わたしの知っているセキュリティ研究者の一部は、『ギークの信頼』を受けられるようこのリストに掲載されている。『おれのやったことを見ろ、おれはすごいんだぞ』と言えるようになる」（Merrill氏）

　従来のソフトウェアメーカーは、セキュリティ勧告の中で自社の製品に脆弱性を発見した人々への謝意を示していた。しかし、Web 2.0に属するオンラインアプリケーションの場合、そのようなセキュリティ勧告は存在しない。これは本来、セキュリティ勧告がユーザーにセキュリティ上の脆弱性を通知し、個々にパッチを当てられるようにすることを意味しているためだ。Googleのサービスのほとんどは、ユーザーがデスクトップ上でプログラムをインストールする必要がなく、Google側のソフトウェアにパッチを適用するだけだ。

　ウェブアプリケーションのセキュリティを専門にする企業、WhiteHat Securityの最高技術責任者（CTO）であるJeremiah Grossman氏は「ウェブベースのソフトウェアの場合、電子メールによる勧告や掲示板による発表はこのモデルに合わない」と述べる。同氏はまた、「ウェブソフトウェア企業がセキュリティ上の修正を行う場合、ユーザーがパッチを当てる必要はない」と述べる。Grossman氏は、Googleがウェブ上で謝意を示している人物の一人だ。

　米国時間10月31日時点で、Googleは合計12の個人、グループ、企業に対して、同社製品の脆弱性に関する情報を非公開の形で伝えてくれたことに対し、謝意を示している。その中には、「Yahoo! Paranoids」という名前も載っているが、個人かグループかは不明だ。また、リストにはMessageLabsのAlex Shipp氏、HD Moore氏、Castlecops、FaceTime Communicationsなどの著名な研究者や企業も載っている。

　Web 2.0は変化を引き起こし、ウェブサイトができることの境界を広げつつある。しかし、専門家によれば、サイトに新しい機能が増え、デスクトップアプリケーションに近い機能を提供していくのに従い、セキュリティ上のリスクも増加しているという。