グーグル、深刻な脆弱性は60日以内に修正するようベンダー各社に要請

文:Jack Clark(ZDNet UK) 翻訳校正:湯本牧子、長谷睦2010年07月22日 13時02分

 Googleはソフトウェアメーカーに対し、深刻な脆弱性の修正に60日という期限を設けるよう求めるとともに、期間内に修正されない場合はGoogleが脆弱性の情報を公開すると警告している。

 Googleのセキュリティチームは、米国時間7月20日付のブログ投稿の中で、同社がソフトウェアベンダーとの間で定めている「行動規則」(rules of engagement)に加えた変更点を説明した。この行動規則は、同社がベンダー各社に脆弱性を報告する方法とタイミングについて定めたものだ。同チームは、セキュリティの専門家が「責任ある開示」のポリシーに従うことは、必ずしもエンドユーザーにとって最善の策にならないと主張している。このポリシーの下では、脆弱性は非公開のままベンダーに報告され、報告した側の研究者は、当のセキュリティホールが修正されるまで詳細情報を一般に公開せず待つことになる。

 Googleのセキュリティチームは、Google Online Security Blogで次のように書いている。「『責任ある』開示という大義名分を掲げるあまり、無期限に、時には何年も脆弱性の修正が遅れてしまうベンダーが増えている。こうして時間がたつ間に、倫理意識を持った研究者が使うものと同じツールや手法を用いる悪意あるユーザーによって、これらの脆弱性が再発見され、悪用される場合もある」

 今回の投稿では、Googleの従業員であるTavis Ormandy氏が執筆者として名を連ねている。同氏は6月、責任ある開示についてGoogleがこれまで定めていたガイドラインに従わなかったとして、批判を受けた人物だ。Ormandy氏は、「Windows XP」における深刻なセキュリティ脆弱性をMicrosoftに報告し、その5日後にこの脆弱性の分析結果と攻撃用の概念実証コードを、あるセキュリティ研究メーリングリストに公開した。

 Googleのセキュリティチームは、ベンダー各社について、研究者と同様に責任を持って行動するとともに、迅速に問題に対処する必要があると述べている。したがって、Googleは今後、セキュリティ上の脆弱性は一義的にはベンダーに開示されるものの、期限までに修正が公開されない場合、脆弱性は一般向けに開示されるべきだとの立場を取っていくという。

 「深刻なバグは、相応の期間内に修正される必要がある。個々のバグによって事情は異なるが、広範に普及しているソフトウェアの真に深刻な問題に対しては、妥当な期限として60日という期間を提案したい」と、Googleは述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]