ここ2週間はインターネットセキュリティの現状をよく表す出来事が続いた。業界と政府がセキュリティ改善に注力していると述べているにもかかわらず、セキュリティの脆弱性が次々と露呈したのだ。
たとえば、米Cisco Systemsは米国時間7月16日、インターネットハードウェア機器の深刻な欠陥について警告を発した。その1週間後、Windows搭載コンピュータの大部分が影響を受ける脆弱性が見つかり、ネットワーク管理者は対策に大わらわだった。米eEye Digital Securityのチーフ・ハッキング・オフィサー、Marc Maiffretは「みんなセキュリティ問題についてよく議論するが、口ばかりで、実際にはあまり対策を講じていない」と指摘する。
ブッシュ政権は2月にNational Strategy to Secure Cyberspace(サイバースペース機密保全のための国家戦略)を発表したが、批評家に言わせると、具体的な提案はほとんど組み込まれていないという。また、この書類の作成で大役を担ったRichard ClarkeとHoward Schmidtの2人は、すでに辞職している。
政府だけでなく、業界にも責任はある。米MicrosoftがTrustworthy Computingの取り組みを発表したのは1年余り前だが、それ以降もPassport認証サービスの欠陥やMicrosoft SQLサーバの脆弱性をついたSlammerワームの攻撃に悩まされている。
ハッカーやセキュリティ専門家がラスベガスで30日から開催している会議、Black Hat Briefingsでは、セキュリティホール開示の是非が話題の中心となった。ベンダーが欠陥を修復する前に、深刻な脆弱性を公表すべきかどうかについては、賛否がくっきりと分かれた。
MicrosoftやCiscoなどの大手企業の製品で脆弱性が発見された際、研究者はすぐにそれを公表した。密かに修復に取り組みたいという企業側の希望よりも、一般の人々への通知が優先だという主張である。一方で、公開した脆弱性の情報が悪用され、ワーム攻撃などにつながるという危惧もある。
業界団体のOrganization for Internet Safety(OIS)は脆弱性の報告に関するガイドラインを出しており、「研究者は脆弱性を公表する前に、ソフトウェア企業に対し、欠陥の修復やパッチ開発の猶予期間として30日間以上与えるべきだ」としている。
一部のセキュリティ企業はこのガイドラインに沿っている。しかし、多くの独立系のセキュリティ研究者やハッカーたちは、誰が一番乗りで脆弱性の詳細情報を入手できるかを争っているのが現状だ。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」