責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は

　最近、Tavis Ormandy氏が有名なソフトウェアのゼロデイ脆弱性を公開した。この問題を巡って、同氏と同氏が所属する会社は、かなりの批判的な報道を受けた。残念なことに、プロのセキュリティ研究者たちはこの問題についてほとんど発言していないが、少なくとも1人は、真っ向からそういった意見を否定している。Brad Spengler氏という存在がいる。米国時間6月18日、Spengler氏はわれわれが誰も言う勇気のなかった意見を投稿した。

　その内容をここで要約することはしない。読者にはむしろこの投稿を自分で読んでみて欲しい。だが、わたしはここで時系列に起こったことをまとめてみたい。

• 6月5日--Tavis氏がMicrosoftと連絡を取り、60日間で修正するよう求める。
• 6月5日〜9日--Tavis氏とMicrosoftがパッチ提供までの期間について議論し、合意に到らずに終わる。
• 6月9日--Tavis氏が情報を一般に公開する。
• 6月11日--Microsoftが自動的に緩和策を適用するFix-Itソリューションを提供する。

　このように、Tavis氏は、さまざまなメディアで言われているように、「Microsoftに対し、バグの修正に5日間しか与えなかった」わけではない。

　何人かの有名なセキュリティ研究者（Dino Dai Zovi氏、Chris Wysopal氏）が指摘しているとおり、今回の件では「責任ある開示」という言葉の本質が問題になっている。ソフトウェアベンダーの利口なレッテル貼りのトリックによって、この言葉は他の情報開示の方法は無責任だと見なしている。では、Tavis氏が取った行動は無責任なものだったのだろうか。企業が深刻なバグを長期間放置しておくのを許すことの方が、無責任だったのではないか。ここで議論しているバグは、APT（Advanced Persistent Threat）攻撃で使用されるレベルのものだ。これらのバグについて情報を公開することで、APT攻撃者の武器を奪うことができる。目的が攻撃を止めることであり、バグが攻撃の元になっているのであれば、バグや攻撃コードの作成を、投資に対する利益に比べ、非常に高価なものにする必要がある。これが、OSに対する緩和策が有効な理由だ。完全開示は、価値の高いバグを市場から取り除くことを得意とする。

　以下では、この問題に関する2つの俗説の誤りをはっきりと指摘したい。

俗説1：日常的に使っているものが標的になる。（すべての標的が同じ価値を持つ）

　ある時期から、一般的なソフトウェアのセキュリティは、8年前のブラウン管モニタを使っている母親のWindows XPの問題ではなくなった。セールスマンがラップトップPCを再インストールするのに無駄になるお金の問題というようなレベルでもない。今では本物の安全保障が関わっている。今や、ソフトウェアのセキュリティは上場企業の財務情報に関する問題だ。大統領専用ヘリのフライトプランが、知るべきでない人たちの手に渡らないようにするためのものだ。あるいは、電力供給網の安定性の問題だ。

　脆弱性が公になってしまえば、重大な目標を狙う攻撃者には役に立たなくなる。セキュリティ企業は検知や予防の仕組みを提供し、研究者は有用な緩和策を提供し、大企業の対応チームは自社の環境を保護するのに必要な情報を入手することができる。普段から攻撃を受けている価値の高いデータを持つ企業は、積極的に自らを守ることができる。特定のバグに関するある企業の脆弱性を評価するのに大きな時間を割いてきた攻撃者は、人目を盗んだ攻撃にそのバグを利用するのが難しくなる。もちろん、攻撃は一時的に増加するだろうが、全体としての標的の価値は下がるはずだ。「Aurora」事件で20社以上が攻撃を受けたような場合の損失は、小規模な攻撃による金銭的な被害に比べればずっと大きいはずであり、小規模な攻撃は買ってきたアンチウイルスツールで除去できる。一般人のデスクトップのような価値の低い標的に対して、継続的に高度な攻撃技術を駆使する者はいない。そういった攻撃は、大企業や政府、軍などを標的に、産業スパイや軍事的な優位性を目的として行われるものだ。