編集部からのお知らせ
PDF Report at ZDNet:「ドローン活用」
「ニューノーマル」に関する新着記事一覧

グーグル「Project Zero」がポリシー変更、すべての脆弱性を90日後に公表へ

Chris Duckett (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2020-01-09 13:25

 Googleの精鋭セキュリティ研究者チーム「Project Zero」は、ベンダーがセキュリティ問題へのパッチを適切に用意し、ユーザーに配信できるようにすることを重視して、情報公開ポリシーを変更した。

 米国時間1月7日に発表した変更により、事前の合意がある場合を除いて、すべての脆弱性を90日後に公表する。

 これまでは、脆弱性に対するパッチが作成された時点で、Project Zeroの研究者がバグトラッカーに登録された問題を公開していた。

 Project Zeroの責任者であるTim Willis氏は、次のように述べた。「報告された脆弱性についてベンダーがパッチを作成する際、『その場しのぎの対応』にとどまり、亜種を考慮に入れたり脆弱性の根本的原因に対処したりしないケースが多すぎた」

 「それによってひとつ懸念されるのは、『パッチのより迅速な作成』というわれわれのポリシーの目標のせいで、攻撃者にとっては、ほとんど手間をかけずにエクスプロイトを復活させてユーザーに攻撃を仕掛けるのが簡単すぎるほどになり、かえってこの問題を悪化させているのではないか、という点だ」(Willis氏)

 Willis氏はまた、修正されたバージョンへのアップデートをユーザーが確実に適用し、恩恵を受けられるようにすることも目指すとした。

 「エンドユーザーのセキュリティは、バグが発見された時点で向上するわけではなく、バグが修正されたからといって向上するわけでもない。エンドユーザーがバグを認識し、デバイスにパッチを適用して初めて向上するのが普通だ」(Willis氏)

 また今回の変更により、Project Zeroとのやりとりが簡略化され、一貫性が高まるという。

 Willis氏は、「ベンダーの中には、いつ脆弱性が修正されたかに関する当チームの判断が不透明だと考える向きもあった。とりわけ、ある時点でチーム内の複数の研究者と協力している際にはそういう声が高かった」として、「この点が、比較的大きな問題について当チームと協力するのを妨げる障害と見なされていたため、その障害を取り除いて、状況が改善するかどうか見きわめる」と述べた。

 Project Zeroは8月、脆弱性のほぼ96%が90日の公開期限内に修正されていると発表した。7日には、この数字が97.7%に更新されていた。

 Project Zeroがこれまでに90日間の期限を延長したのは2回だけだ。1回は、2016年の「iOS」のtask_t問題の時で、もう1回は2018年に明らかになった脆弱性「Meltdown」「Spectre」の時だった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法

  2. クラウドコンピューティング

    AWS資料、ジョブに特化した目的別データベースを選定するためのガイド

  3. ビジネスアプリケーション

    進化を遂げるパーソナライゼーション、企業に求められる変革とは

  4. クラウド基盤

    【事例】機器の老朽化・陳腐化、ストレージ運用の属人化…複数課題を一気に解決したカプコン

  5. セキュリティ

    「日経225銘柄」企業の現状から読み解く、インターネットアクセスにおける業種別の弱点とは?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]