誰のための情報公開?--未パッチの「Windows」脆弱性を公表するグーグルの是非

Tony Bradley (Special to TechRepublic) 翻訳校正: 川村インターナショナル

2015-01-19 06:00

 米国時間1月13日はMicrosoftの月例パッチ公開日だったが、Googleはこの2日前に「Windows」の脆弱性に関する詳細を実証コードも含めて公表した(編集部注:さらに15日にも、Windowsの別の脆弱性に関する情報を公開している)。

 Microsoftは、そうした無責任に思われるGoogleの情報の公表について、公然と批判している。しかしGoogleはもともと、その脆弱性の詳細を2014年10月13日にMicrosoftに伝えており、これは公開までに90日の猶予期間を設けるという厳格なポリシーに従っている。Microsoftの90日の猶予期間が切れた時点で、Googleはバグの詳細を公開した。

 どちらの企業が正しいのだろうか。「責任ある」公開についての議論はずいぶん前から盛んに行われている。開発者は間違いなく、パッチを作成し、テストし、配布できるようになるまで(それがいつになろうと)、不具合を秘密にしておきたがるだろう。一方、研究者は、自分たちの努力が無駄ではなかったこと、そしてベンダーが脆弱性の発見を真剣に考えていることを確かめたいと思っている。Googleのような研究者が、パッチ公開前にバグについての情報を公開することには疑問があるかもしれないが、研究者がその情報を無期限に秘密にし、その間も数多くのユーザーが、存在すら知らないセキュリティ上の脅威にさらされるというのも、同じくらい問題があると解釈することができる。

 Microsoftは12日に、協調的な脆弱性の公開をめぐる議論についてのブログ記事を公開した。MicrosoftのChris Betz氏は、次のようにはっきりと述べている。「現在の状況を見れば、今は、脆弱性の公開や、それらの修正といった重要な保護戦略をめぐって、セキュリティ研究者とソフトウェア企業が協力する時であって、対立する時ではない」

 筆者はセキュリティの専門家に、責任ある、または協調的な公開の倫理面について意見を聞いた。予想通り、両方の立場の答えが出てきた。

 セキュリティソリューションを手がけるRook SecurityのセキュリティオペレーションセンターのマネージャーであるTom Gorup氏は、今回の公表のタイミングは、Googleによる以前のゼロデイ脆弱性の公表と同じタイミングだと指摘している。その上で同氏は、Googleが一貫したポリシーを実施したことを称賛している。「脆弱性の存在を知らなかったら、私はその脆弱性を利用する攻撃を検出したり、防いだりするための対策が何も取れない。一般の人々がこの問題を認識していないからといって、この脆弱性が積極的に悪用されていないということにはならない。脆弱性の公開には一貫性があることも重要だ」

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]