マイクロソフト、サードパーティー企業に脆弱性を報告へ

　ラスベガス発--Microsoftは米国時間8月7日、 Black Hatセキュリティカンファレンスにおいて、Windows用サードパーティーソフトウェアのベンダーたちにセキュリティ問題を報告するプログラムを正式稼働すると発表した。

　Microsoft Security Response Center（MSRC）を運営するAndrew Cushman氏は「セキュリティ脅威をとりまく環境が変化したと感じている」と述べる。

　「Windows Vista」は「Windows XP」よりも安全性が高く、マルウェアへの感染例が少ないとCushman氏はいう。さらにサードパーティー製品向けのエクスプロイトが増えていて、これに比べて、ブラウザベースのエクスプロイトはむしろ少なくなっていると、同氏は付け加えた。

　MSRCはすでに、他の企業に対する脆弱性の報告をしているが、今回の発表の特筆すべき点は、Microsoftが脆弱性を探していることについての認知を得ようとしていることだ。Microsoftは、自社製ソフトウェアに脆弱性が見つかったときのように、サードパーティー企業の脆弱性をサイトに投稿する予定はないとCushman氏は述べる。

　責任ある公開の方法をめぐっては、これまでも絶えず論じられてきた。ベンダーは研究者たちに対し、見つけた脆弱性を公開するのが早すぎると主張する一方で、研究者たちは情報を公開しないとベンダーの対応が遅れがちになると反論する。

　「Microsoftは唯一、こうした状況のなかで何か役立つことのできる立場にある」とCushman氏は述べる。「われわれは、他者とは少し違った視点から課題を持ち出すことができる。われわれが、責任ある公開にまつわるダイナミックスを変えられると考えている」（Cushman氏）

　今週に入り、Microsoftはサードパーティーベンダーに対し、月例セキュリティアップデートのリリース前に技術的詳細を提供するプログラムを発表した。またあわせて、企業が対処すべき脆弱性の優先順位を決められるようにすることも明らかになった。