Googleのセキュリティチーム「Project Zero」は、脆弱性情報の開示ポリシーに関して、これまではベンダーへの通知から90日後に必ず技術情報の詳細を開示する方針を取ってきたが、ユーザーにパッチを適用する余裕を与えるため、詳細情報の開示までに30日間の猶予期間を設ける新しいモデルに移行する。
提供:Getty Images
Project Zeroの新しいモデルでは、パッチが90日以内に公開されなかった脆弱性に関して90日後に詳細情報を開示するポリシーは変わらないが、パッチが90日以内に公開された場合には、技術的詳細の開示はパッチの公開時から30日後になる。
また、既に実際の攻撃で利用されている脆弱性に関しては、ベンダーへの通知から1週間以内にパッチが公開されない場合、1週間後に技術的な詳細が開示されるが、パッチが通知後7日以内に公開された場合は、詳細情報は30日後に開示される。また、既に攻撃が行われている場合も、ベンダーがパッチ公開までに3日間の猶予を求めることができるようになった。
Project Zeroがベンダーにパッチ公開までの猶予期間(悪用されていない場合は従来通り最大2週間、悪用されている場合は最大3日間)を認めた場合、その期間は技術的な詳細情報が開示されるまでの30日間の猶予の一部を食い潰すことになる。
Project Zeroは2020年に、情報の開示までに必ず90日間の猶予を与えるという新しいポリシーを導入した。
この変更にはユーザーのパッチ適用率を向上させる目的があったが、この目的は達成されたとは言い難かった。
Project ZeroのマネージャーTim Willis氏は、「その背景にあった考え方は、もしベンダーが、ユーザーがパッチをインストールするための時間を長く取りたければ、90日の猶予期間のなるべく早い時期にパッチを公開することを優先するだろうというものだった」と述べている。
「しかし実際には、パッチ開発のスケジュールには大きな変化は起こらず、私たちは今まで通り、ベンダーから多くのユーザーがパッチを適用していない状態で脆弱性やエクスプロイトに関する技術的詳細を開示することを懸念するフィードバックを受け取り続けた。つまり、パッチの導入を促進するために設けられたタイムラインであるという意図が明確に伝わっていなかったということだ」(Willis氏)
Willis氏は、将来的には今回のシステムで定めた90日+30日の期間を短縮していく予定だが、まずはベンダーが現時点で対応可能な期限から始める必要があったと説明した。
同氏はまた、「私たちが持っている脆弱性のパッチ公開までの時間を追跡したデータによれば、2022年には『84+28』モデル(期限を7で割れる数字にすることで、期限の最終日が意図せずに週末に掛かってしまうことを避けられる)に移行できる可能性が高い」とも述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
