logo

「金を払わなければ・・・」:セキュリティバグを人質にとる新ビジネスモデル - (page 2)

文:Dawn Kawamoto(CNET News.com) 翻訳校正:株式会社アークコミュニケーションズ、瀧野恒子、國分真人2007年08月23日 16時00分
  • このエントリーをはてなブックマークに追加

 「バグ報告を購入しない方針のお客様には、(VDAとの)コンサルティング契約をお勧めいたします。コンサルティング契約をお申し込みされていれば、今回のバグを最終報告の一部としてお届けすることも可能でした。したがいまして、セキュリティ上の脆弱性を公表せざるを得なかったのは当社の責任ではありません」と書いてあった。

 LinkedInはコメントを控え、その後パッチをあててVDAが発見した脆弱性を修正した。

 DeMott氏は一連のメールを送ったことを認めたうえで、VDAのビジネス手法を正当化し、「ユーザーを守るためにやったことだ。ユーザーの注意を喚起し、ベンダーには脆弱性を修正するよう促している」と指摘した。

 さらに、自社のサービスと料金が記載された「VDA Value」を記者に見せた。

 「われわれのビジネスモデルはやや先鋭的かもしれないが、恐喝だと思ったことはないし、そんなつもりもない」と語り、「ベンダーに関心を持ってもらおうとしただけ。ベンダーは製品にパッチをあてても利益にならない。製品を売ることばかり考えている。何かしないと後回しにされてしまう」と続けた。

 ソフトウェア会社によっては、たとえば会社の方針としてセキュリティ研究者と連携することなく、顧客から指摘された脆弱性だけに対応するところもある。

 他のセキュリティ研究者はVDAのビジネスモデルに批判的である。

 「誰かに弱みを握られて、『金を払わなければバラすぞ』と言われたなら、それは恐喝だ」と指摘するのは、VeriSign/iDefense Research LabのディレクターであるFrederick Doyle氏。彼は元ニューヨーク州警察幹部という経歴の持ち主だ。

 Sans Instituteの最高研究責任者Johannes Ullrich氏も同じ受けとめ方である。

 「これは恐喝だと思う。金を払わないならバグを公表すると脅すあたりは特に。バグを人質にとるべきではない」(Ullrich氏)

 3Comの子会社Tipping Pointでセキュリティ対応担当マネージャーを務めるTerri Forslof氏は、この種のビジネス手法をとるのはVDAだけではないと言う。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]