ソフトウェア会社とセキュリティ企業とでつくる団体OIS(Organization for Internet Safety)は、セキュリティ面の欠陥に関する警告発信についてのガイドライン原案を、6月4日(米国時間)に発表した。これは、ソフトウェアにセキュリティホールが見つかった場合に、いつどのようなタイミングで利用者に警告情報を発表し、修正パッチを公開するかについてまとめている。OISではガイドラインの策定によって、欠陥による被害の拡大を最小限に食い止めたい考えだ。
今回のガイドラインでは、アプリケーションメーカーに対し、リサーチャーからソフトウェアの脆弱性発見の通報を受けた場合、7日以内に回答し、さらに30日以内に修正用のパッチを作成するよう求めている。
いっぽう、バグを発見するリサーチャー側には、修正パッチのリリースから30日経つまでは、当該情報を秘密にしておくよう要求している。
2年ほど前に発足したOISのメンバーにはOracle、Microsoft、SGIなどのソフトウェア開発企業のほか、セキュリティ企業の@stake、BindView、Foundstone、Guardent、Internet Security Systems、Network Associates、Symantecが名を連ねている。
90年代初め、セキュリティの専門家やハッカーの一部が、ソフトウェア会社が自社製品のセキュリティ上の不具合を隠蔽しようとする行為を批判するべく、不具合に関する情報を先に公開することがあった。アプリケーションメーカーの対応は一般的に遅かったためで、修正パッチが公開される前に、こうした情報が漏れ出てしまうケースは少なくなかった。
確かに、ここ2〜3年でソフトウェアメーカーはセキュリティを最優先事項に掲げるようになったが、それでも専門家の中にはなお、ソフトウェア会社に修正パッチを作れるだけの猶予を与えずに、欠陥を公表してしまう者が存在している。そうした行為が結果的にユーザーに被害をもたらす恐れが十分にある。
Microsoftのsenior security strategist、Scott Culpは「ガイドライン原案を見れば、OISがセキュリティの専門家に対しても、またソフトウェア市場に対しても、中立的な態度を表明していることは明らかだ」と述べた。「バグを発見する専門家とソフトウェア企業がしばしば対立する構図の中では、標準化のプロセスが生まれないと、市場の混乱が発生する懸念がある。脆弱性の問題は、結局のところ最も守られるべきユーザーにしわ寄せがいく」と警鐘を鳴らしている。
「ベンダー企業がすぐに解決策を出さないことを職務怠慢だと見る専門家はまだ存在している。彼らは問題を修正するには数日間以上を要することもあるという事実を認めようとしない」と、Oracleのchief security officer、Mary Ann Davidsonは指摘する。
ガイドライン原案は、OISのWebサイトにアップされ、一カ月の間、コメントを得るために公開される。正式なガイドラインは、7月末にラスベガスで開かれるBlack Hat Briefings security conferenceで明らかになる見通しだ。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」