編集部からのお知らせ
記事PDF集:官民意識のゼロトラスト
電子インボイスの記事まとめ

グーグル「Project Zero」がポリシー変更、すべての脆弱性を90日後に公表へ

Chris Duckett (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2020-01-09 13:25

 Googleの精鋭セキュリティ研究者チーム「Project Zero」は、ベンダーがセキュリティ問題へのパッチを適切に用意し、ユーザーに配信できるようにすることを重視して、情報公開ポリシーを変更した。

 米国時間1月7日に発表した変更により、事前の合意がある場合を除いて、すべての脆弱性を90日後に公表する。

 これまでは、脆弱性に対するパッチが作成された時点で、Project Zeroの研究者がバグトラッカーに登録された問題を公開していた。

 Project Zeroの責任者であるTim Willis氏は、次のように述べた。「報告された脆弱性についてベンダーがパッチを作成する際、『その場しのぎの対応』にとどまり、亜種を考慮に入れたり脆弱性の根本的原因に対処したりしないケースが多すぎた」

 「それによってひとつ懸念されるのは、『パッチのより迅速な作成』というわれわれのポリシーの目標のせいで、攻撃者にとっては、ほとんど手間をかけずにエクスプロイトを復活させてユーザーに攻撃を仕掛けるのが簡単すぎるほどになり、かえってこの問題を悪化させているのではないか、という点だ」(Willis氏)

 Willis氏はまた、修正されたバージョンへのアップデートをユーザーが確実に適用し、恩恵を受けられるようにすることも目指すとした。

 「エンドユーザーのセキュリティは、バグが発見された時点で向上するわけではなく、バグが修正されたからといって向上するわけでもない。エンドユーザーがバグを認識し、デバイスにパッチを適用して初めて向上するのが普通だ」(Willis氏)

 また今回の変更により、Project Zeroとのやりとりが簡略化され、一貫性が高まるという。

 Willis氏は、「ベンダーの中には、いつ脆弱性が修正されたかに関する当チームの判断が不透明だと考える向きもあった。とりわけ、ある時点でチーム内の複数の研究者と協力している際にはそういう声が高かった」として、「この点が、比較的大きな問題について当チームと協力するのを妨げる障害と見なされていたため、その障害を取り除いて、状況が改善するかどうか見きわめる」と述べた。

 Project Zeroは8月、脆弱性のほぼ96%が90日の公開期限内に修正されていると発表した。7日には、この数字が97.7%に更新されていた。

 Project Zeroがこれまでに90日間の期限を延長したのは2回だけだ。1回は、2016年の「iOS」のtask_t問題の時で、もう1回は2018年に明らかになった脆弱性「Meltdown」「Spectre」の時だった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  2. 経営

    ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説

  3. 経営

    問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備

  4. ビジネスアプリケーション

    緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策

  5. ビジネスアプリケーション

    たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]