「セキュリティ上の欠陥はすぐに公表すべきか」-ガイドライン採用の呼びかけ

　ネバダ州ラスベガス発-セキュリティ上の欠陥に関する情報公開ルールを定めるために結成された団体である、OIS（Organization for Internet Safety）は米国時間30日、前日に発表された最新ガイドラインを擁護し、セキュリティ問題の研究者に向けて、同ガイドラインを採用するよう呼びかけた。

　OISは、同地で開催中のBlack Hat Briefingsセキュリティカンファレンスにおいて、この日パネルディスカッションを行い、研究者がソフトウェアベンダーに対してセキュリティ上の欠陥を報告する際の、標準的なやり方を定めようとする自らの試みに関する、さまざまな質問に答えた。現在のところ、欠陥情報をどう報告するかは、研究者によって千差万別で、インターネット上ですぐさま公表する者もいれば、ソフトウェアメーカーと共同して、その解決にあたる者もいるといった状態だ。

　OISでは、研究者が欠陥情報を公表する前に、ソフトウェア会社に対し少 なくとも30日間の猶予を与え、その間に問題解決のためのパッチプログラム開発をさせることを望んでいる。米Microsoftのsecurity program managerで、OISのメンバーでもあるScott Culpは、問題解決に長い時間をかけるからといって、ソフトウェア会社はセキュリティの問題を真剣に受け止めていないということにはならないと強調した。

　「このOISガイダンスが採用されたからといって、それで我々がノンビリやれるようになるわけではない。猶予の時間が増えれば、却ってそれだけプレッシャーも増える」（Culp）

　前日29日にリリースされた同グループのガイドラインでは、欠陥の発見からその詳細を公表するまでに、30日の猶予期間を置くようにも求めている。これは、その間にユーザーが攻撃を受ける可能性のあるシステムにパッチをあてることで、欠陥に関する詳細な情報が悪用されて、システムへの攻撃が起こることを防ぐための措置だ。

　こうした猶予期間は、セキュリティ関連のコミュニティにとっては、異論の余地の多い譲歩である。同コミュニティのメンバーは、これまで長い間、欠陥に関する情報を公開したがらないソフトウェアメーカーを相手に活動することを余儀なくされてきた。セキュリティ上の欠陥の存在を認め、これを解決するまでのソフトウェア企業側の対応の遅さは、結果として「オープンディスクロージャ･ムーブメント」と呼ばれる、ある種の哲学を生み出した。これは、何らかの欠陥が見つかった際には、できるだけ素早くそれを皆に知らせるべきだという考えで、多くの研究者がこの考えを支持している。

　米デジタルセキュリティ会社@Stakeでリサーチディレクターを務めるChris Wysopalは、かつてはボストンの「L0pht」というハッカーグループの一員として、かなりの数にのぼる脆弱性について情報を公表したことがある。現在OISのメンバーとなり、ガイドライン原案も起草した同氏は、今日ではソフトウェアメーカーもセキュリティ問題の扱い方が随分上手になっているので、欠陥を見つけた端から公表する必要はもはやない、と語った。

　「この7年間でセキュリティ問題を取り巻く環境が変わった。ある時から、問題のあるコードとそれに関する詳細を公表することには、メリットよりもデメリットのほうが多いと判ってきた」（Wysopal）

　今回のイベントに参加した聴衆のなかからは、脆弱性に関する情報公開をすぐに行わないことで、米Internet Security Systemsのようなセキュリティ専門会社に利益をもたらすだけではないか、と心配する声も上がっている。こうした企業は、クローズドなメーリングリストに参加する顧客に、欠陥に関する初期情報を販売している。この戦術は、 スポンサー企業がセキュリティ情報にいち早くアクセスできるようにしている、Computer Emergency Response Team（CERT）コーディネーションセンターでも利用できるものである。