編集部からのお知らせ
HCIの記事をまとめた資料ダウンロード
記事集:クラウドのネットワーク監視

グーグル「Project Zero」がポリシー変更、すべての脆弱性を90日後に公表へ

Chris Duckett (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2020-01-09 13:25

 Googleの精鋭セキュリティ研究者チーム「Project Zero」は、ベンダーがセキュリティ問題へのパッチを適切に用意し、ユーザーに配信できるようにすることを重視して、情報公開ポリシーを変更した。

 米国時間1月7日に発表した変更により、事前の合意がある場合を除いて、すべての脆弱性を90日後に公表する。

 これまでは、脆弱性に対するパッチが作成された時点で、Project Zeroの研究者がバグトラッカーに登録された問題を公開していた。

 Project Zeroの責任者であるTim Willis氏は、次のように述べた。「報告された脆弱性についてベンダーがパッチを作成する際、『その場しのぎの対応』にとどまり、亜種を考慮に入れたり脆弱性の根本的原因に対処したりしないケースが多すぎた」

 「それによってひとつ懸念されるのは、『パッチのより迅速な作成』というわれわれのポリシーの目標のせいで、攻撃者にとっては、ほとんど手間をかけずにエクスプロイトを復活させてユーザーに攻撃を仕掛けるのが簡単すぎるほどになり、かえってこの問題を悪化させているのではないか、という点だ」(Willis氏)

 Willis氏はまた、修正されたバージョンへのアップデートをユーザーが確実に適用し、恩恵を受けられるようにすることも目指すとした。

 「エンドユーザーのセキュリティは、バグが発見された時点で向上するわけではなく、バグが修正されたからといって向上するわけでもない。エンドユーザーがバグを認識し、デバイスにパッチを適用して初めて向上するのが普通だ」(Willis氏)

 また今回の変更により、Project Zeroとのやりとりが簡略化され、一貫性が高まるという。

 Willis氏は、「ベンダーの中には、いつ脆弱性が修正されたかに関する当チームの判断が不透明だと考える向きもあった。とりわけ、ある時点でチーム内の複数の研究者と協力している際にはそういう声が高かった」として、「この点が、比較的大きな問題について当チームと協力するのを妨げる障害と見なされていたため、その障害を取り除いて、状況が改善するかどうか見きわめる」と述べた。

 Project Zeroは8月、脆弱性のほぼ96%が90日の公開期限内に修正されていると発表した。7日には、この数字が97.7%に更新されていた。

 Project Zeroがこれまでに90日間の期限を延長したのは2回だけだ。1回は、2016年の「iOS」のtask_t問題の時で、もう1回は2018年に明らかになった脆弱性「Meltdown」「Spectre」の時だった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]