Michal Zalewski氏によるゲスト寄稿
わたしには、これは単純なことに思える。セキュリティ研究コミュニティに公然と参加することには、同業者からの認知と就職の機会という恩恵がある。また、趣味としてそれを行うことには、他のことをしていれば得られたはずの潜在所得を失うというコストもある。一旦自分の名声を築いてしまうと、一部の人はこの恩恵はもはやコストに見合わないと判断して、金銭にならないプロジェクトに時間を割くのをやめる。簡単なことだ。
しかし、尊敬すべき同業者の何人かは、違うことを考えている。2009年に、Alex Sotirov氏、Charlie Miller氏、Dino Dai Zovi氏は、無報酬のバグはあるべきではないと発言した。Miller氏自身の表現は以下のとおりだ。
人々が企業に無料でバグを渡し続ける限り、企業は決してその努力を評価しようとは(あるいは見返りを与えようとは)しないだろう。わたしは、皆がこのばかげた慣習をやめて、自分の重労働の成果をただで渡すのをやめるよう勧める。
この3人の研究者は、自分たちの(誰からも頼まれていない)研究が適切に報われていないと感じており、ベンダーや公の場にその情報を公開しないことを選んだ。しかし、彼らはその作業を非公開で続けており、本質的に確かめようがない秘密の発見について、時々自慢げに話している。
これは、よい戦略だろうか。重要なのは、ほとんどのベンダーは営利的なインセンティブによって動かされ、彼らが適切だと思う分だけ、セキュリティへの取り組みに投資しているということであり、これは主としてPRの問題、契約上の義務、規制のリスクなどの外部要因によって影響されているということを認識することだ。完全な情報開示は、取り組みが不足している企業を公の場の監視下に置くことになり、それらの企業は取り組みの強化やセキュリティ専門家(つまりあなただ)の雇用を強いられるかも知れない。
こういった企業が望んでいない圧力が存在するため、彼らは恐らく頼まれていない研究から恩恵を受けているとは言えない。このため、彼らのためだと思っているセキュリティ研究者との共同作業も行わないのだ。もしセキュリティ研究者が(適切な報酬がない限り)企業にとってPR上の問題になることをやると「脅し」をかけたら、就職の機会が失われたとしても驚くにはあたらない。
ただし、このやり方を成立させる興味深い方法もないわけではない。「金を払わなければ・・・」というアプローチの「・・・」の部分には、次のような文言が入る可能性がある。
問題が1つだけある。これらのやり方が非常に下品なものに見えるということだ。個人に関する真実の情報を公開することが合法である場合も多い一方で、脅迫に関与することはすべて違法であるということには十分かつ論争の余地がない理由があり、ここでも同様の議論が成立する。
VUPENがまさにこの戦略を採用しようとしているというニュースを聞いて、わたしが失望した理由はこれだ。そして、そのことを指摘する人がほとんどいなかったことにも、同じように失望している。
フランスのセキュリティサービスプロバイダVUPENは、最近になってリリースされたOffice 2010に2件の重大な脆弱性を発見したが、これらの脆弱性に関する情報と緩和策のアドバイスは、同社の顧客にのみ通知すると述べている。セキュリティ情報に掲載された情報によれば、これまでのところ同社は、Microsoftが同社に申し出た対価(セキュリティブリテンにおけるクレジットの表記)は不適切であるとして、Microsoftに詳細について伝えるつもりはないとしている。
(VUPENの最高経営責任者(CEO)である)Bekrar氏は、「有償のソフトウェアをより安全にするために、セキュリティサービスプロバイダが情報を無料で渡さなくてはならない理由はない」と述べている。
確かに、セキュリティ研究者が無料で情報を提供する必要はない。しかし、サービスを売るために圧力をかけるような戦術に頼らなくてはならないとすれば、大きな反省が必要ではないだろうか。
* Michal Zalewski氏はGoogleのセキュリティ研究者である。同氏は多くのセキュリティツールを作成および配布しており、これにはratproxy、skipfish、ブラウザセキュリティハンドブックなどが含まれている。同氏の発言は、lcamtuf's blogやTwitterで追うことができる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
アップルの新しいジェスチャー操作を写真で紹介--「うなずいて応答」など 
「iPhone 16 Plus」でPlusモデルは終了するのか--うわさについて考察 
「ストリートビュー」が捉えたクレイジーすぎる光景38連発