マイクロソフト、バグへの報奨金は払わない方針

　MozillaとGoogleは、ソフトウェア製品のセキュリティホールを見つけたセキュリティ研究者に支払う報奨金を増額したが、Microsoftが報奨金を支払う方針に転換する様子はない。

　ThreatpostのDennis Fisher氏によれば、あるMicrosoftのセキュリティ責任者は、セキュリティホールに対する権利の購入を始めるべきだという提案を完全に否定し、研究者の名前をセキュリティ情報に掲載する現在の仕組みは非常にうまく動いていると主張したという。

　MicrosoftのJerry Bryant氏がFisher氏に語った内容は、次のようなものだ。

　「われわれは研究者のエコシステムを尊重しているし、それを多くの形で示しているが、脆弱性ごとに報奨金を支払うのが最善の方法だとは考えていない。研究者コミュニティの動機は、必ずしも経済的なものではないからだ。研究者が脆弱性の詳細をセキュリティアップデートと同時に公表するよう協力してくれた場合に、われわれがセキュリティ情報の中で研究者の貢献に感謝していることはよく知られている。

　われわれは他の業界と同じように、バグごとに金銭的な報酬を提供することはしないが、才能に対して認知し、敬意を払っている。われわれはこれまでも研究者コミュニティで影響力を持つ人たちに、従業員としてわが社のセキュリティチームに加わってもらっている。また、われわれは多くのベンダーや、ときにはセキュリティ研究者個人と、脆弱性を公表する前にわが社の製品をテストしてもらう契約を結んでいる。それらのベンダーや個人の多くがわれわれの注意を引いたのは、彼らがMSRCへの脆弱性の報告で、高い品質や独特なアプローチを示したからだ。

Googleが主張する60日の上限

　Microsoftの主張は、脆弱性の情報開示について議論が高まってきていることを受けたものだ。例えば、Googleの研究者チームは、ソフトウェアベンダーに対して60日以内にセキュリティパッチを提供することを求めている。

　すべてのバグはそれぞれ異なるものだが、われわれは広く使われているソフトウェアの本当に重大な問題については、60日を理にかなった上限として提案する。この上限は、重大な問題に対してのみ適用されることを想定している。

　この同社のスタンスは、MicrosftがあるWindowsのゼロデイ脆弱性を60日以内に修正する確約をしなかったとして、GoogleのTavis Ormandy氏がその脆弱性の詳細を公開したことを、事実上支持するものだ。Microsoftはこの件について、当時まだその問題について調査中だったとして、期限を確約しなかったことを否定している。

　Googleが情報開示について態度を示すブログ記事を公開したあと、それに続いてMicrosoftも情報開示へのアプローチを修正すると発表した。同社は「Coordinated Vulnerability Disclosure」（CVD、協調的な脆弱性情報開示）という概念を採用していくとし、一部のケースでは、攻撃が進行中の場合、パッチに先駆けた情報の公開も認めると述べた。

　MicrosoftのKatie Moussouris氏は次のように説明している。

　実際に効果を上げていくためには「責任ある開示」は修正されるべきであり、この修正はセキュリティを向上させ、ユーザーとシステムを守るためのものだ。Microsoftは研究者に対して、「協調的な脆弱性情報開示」方針の下にわれわれと協調するよう呼びかけ、攻撃が進行中の場合には、ベンダーがパッチを提供する前に公に協調的な情報開示を行う可能性を設けた。この方針では、攻撃が出回っているかどうかをモード切替のトリガーとして使っており、これは多くの独立した情報源によって客観的に観察できるものだ。

　誤解してはならないのは、CVDは基本的に責任ある情報開示の最初の前提に立脚しているが、攻撃が出回り始めた場合には協調的な情報開示戦略がとられるということだ。つまり、この再構成で重要なことは、脆弱性開示の本質と慣例において、役割分担と共同責任が果たす役割が大きくなっていることだ。必要なのは、脅威の状況が変わってきており、われわれはもはや1人の個人、1つの企業、1つの技術では、オンライン犯罪の脅威の問題を解決することはできないと理解することだ。

　Microsoftはこの哲学の転換について、Black Hatセキュリティカンファレンスで研究者と議論する予定だ。