編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

グーグルの「Project Zero」、脆弱性情報の公開に14日間の追加猶予

ZDNet Japan Staff

2015-02-17 12:43

 ゼロディ攻撃の撲滅を目指すGoogleのセキュリティチーム「Project Zero」が、脆弱性に関する情報公開の方針を変更した

 Project Zeroはこれまで、発見した脆弱性に関する情報を、開発元に通知してから90日後に一般公開するという方針を堅持してきた。2014年12月から翌1月にかけて、「Windows 8.1」などの脆弱性に関する90日の期限が切れたとして複数の脆弱性情報をパッチ発行前に公開したことから、この方針について疑問の声が挙がっていた。

 Googleは、脆弱性の修正状況に関するデータを考慮するとともに、脆弱性の公開期限に関する異例ケースについての議論や外部からのフィードバックを参考に、以下のように方針を改定したとしている。

  • 週末と祝日。期限が週末または米国の祝日に到来する場合、次の平日までその期限を延長する。
  • 猶予期間。新たに14日間の猶予期間を設けた。90日という期限内でパッチがリリースできない場合であっても、ベンダーからその後の14日間以内の特定日にパッチをリリースするという通知があれば、該当パッチの一般公開まで情報の公開を延期する。これにより、パッチが公開されていない脆弱性に関する情報公開は、期限を大幅に(2週間を超えて)過ぎた場合にのみ実施されることになる。
  • 共通脆弱性識別子(CVE)の割り当て。CVEは脆弱性を識別するために付与される、業界標準の識別子だ。脆弱性を初めて公表する際には、混乱を避けるためにCVEを割り当てておくことが重要となる。公開期限を過ぎた脆弱性については、CVEが既に付与されていることを確認する。

 Googleは、状況が特殊である場合に期限を前倒しまたは延長する権利をこれまで通り保持するとしている。また、どのベンダーも平等に扱うことを約束し、自社にも同じ基準を適用するとした。Project Zeroは実際にGoogle製品(「Google Chrome」や「Android」)に存在する脆弱性も扱っており、これらの公開期限にも同じ方針を適用しているという。

 今回の方針改定は、セキュリティ関連の脆弱性に業界が対応する時間を短縮したいという同社の意向に沿いながらも、期限をわずかに超過する脆弱性については対応を緩和するものだという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]