物議を醸すグーグルの「Windows」脆弱性公表から学ぶべきこと - (page 2)

Paco Hope (Special to TechRepublic) 翻訳校正: 石橋啓一郎 2015年02月04日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 その一方で、その脆弱性が公に知られていなくても、悪意のある攻撃者は積極的にそれを悪用しているかも知れない。その脆弱性の存在を知っているのが1人だけ、あるいは1社だけかどうかは、誰にも分からない。ソフトウェアメーカーが、ほかには誰もその問題の存在を知らないと決めつけて、セキュリティ研究者の報告への対応を遅らせることは許されない。

 公に知られていないバグが、実際には悪用されている可能性があるのだ。ただしバグが公開されれば、ほぼ確実にそのバグは広く悪用される。この影響(特に脆弱性のあるサービスの罪のないユーザーに対する悪影響)は、そのメーカーに圧力をかけるだけの価値に見合ったものだろうか。研究者は、脆弱性を公開したことにより発生する罪のないユーザーへの被害に対して、倫理的あるいは道徳上の責任を負うだろうか?

病よりも重い、薬の副作用

 別の問題は、そもそも安全に修正することができるかだ。ソフトウェアメーカーが複雑な脆弱性を非常に短期間で修正するように強いられれば、ミスを犯してしまう可能性が高い。脆弱性を実際に修正できるかどうかに関わらず、そのパッチが正常に動作している機能を破壊してしまう可能性もある。当然ながら、修正を素早く行えば行うほど、そのパッチのテストも十分ではない可能性が高くなる。

 セキュリティ研究者のような外部の人間には見えにくい利害関係者が存在することも多い。オンライン小売店には、上流や下流にデータ提供会社を持っているかも知れず、脆弱性を「修正」することによって、重要な販売機能が動かなくなる可能性もある。修正によって、収益が失われるという形でコストがかかる可能性もある。Microsoftのようなソフトウェアメーカーがセキュリティ問題に対して急いで修正することを強いられれば、これまで機能していたWindowsの一部に不具合が出る可能性もあり、ユーザーが被害を受けるかも知れない。外部の人間が「この修正は簡単だ」と言うことと、拙速でずさんなパッチを出すことを強いて企業の評判を危険にさらすことで、その脆弱性が悪用されるよりも大きな害を与えることは別のことだ。

何がフェアなのか

 脆弱性を適切なやり方で公開することについて論じるには、別の記事が必要だろう。しかし、いくつかの原則があることは明らかだ。

 研究者は、適切な相手と連絡を取るよう努めなければならない。このためには、複数の電子メール、複数の「お問い合わせ」ウェブフォームに加え、ソーシャルメディアを使用したり、電話をかける必要さえあるかも知れない。「相手は応じなかった」と主張したい研究者は、その企業に十分に連絡を試みたことを示せるようにすべきだ。

 また、企業はセキュリティレポートを受け取り、対応するプロセスを用意する必要がある。このプロセスには、報告した研究者に対して進捗度や状況を伝える手段が含まれてなくてはならない。これは相互的な関係であり、企業はセキュリティの脆弱性に関する議論に、信頼でき、明瞭で、予測できる態度で臨まなくてはならない。

慎重さが重要

 商取引では慎重さが大切だ。有責性を認めたり、約束をしたりする際には注意する必要がある。そのような行為が事業に悪影響を与えることもある。一方で、今日の相互のつながりが強く、意見が瞬く間に伝わるインターネットでは、無言を貫くのは最善の対応ではないことが多い。実質的な内容のある情報を定期的に伝え続けることが、信頼を生む。

 ソフトウェアにはバグがつきものだ。ソフトウェア企業の善し悪しを分けるのは、バグにどう対応するかだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]