米政府、脆弱性情報の完全開示に反対表明

米国政府は「善玉」ハッカーに対し、ソフトウェアの脆弱性発見を強く促す一方、見つけだした脆弱性情報の報告先をソフトウェアメーカーと政府機関のみとし、現在普通に行なわれているようなセキュリティコミュニティへの報告は控えるよう求めた。

サイバースペース安全保障担当の大統領特別顧問 Richard Clarke 氏は1日、ラスベガスで開催中の『Black Hat Conference of Information Technology Professionals』(悪玉ハッカーに関するIT 専門家会議) 年次総会において、セキュリティ専門家はセキュリティ上の脆弱性に関して守秘義務を負うと述べた。専門家は、まず脆弱性が見つかったソフトウェアの開発販売元に対して脆弱性の存在を報告すべきで、開発販売元が何の対策も講じない場合には政府機関に報告すべきだとしている。

Clarke 氏は、その他の機関等への通知については、脆弱性への修正パッチが配布された後に行なうべきだと述べている。

「完全開示」については、セキュリティコミュニティの間で何年もの間議論が戦わされている。多くのソフトウェアメーカーは、セキュリティの脆弱性に関する情報は外部に伝えるべきではないとの立場をとっている。一方、セキュリティ専門家の多くは、特にメーカーが対応を怠り「悪玉」ハッカーが自力で脆弱性を見つけだす可能性がある場合、脆弱性の情報開示が必要不可欠だと主張している。

(セキュリティの脆弱性に関する情報交換を目的として、セキュリティコミュニティの間でもっとも広く利用されているメーリングリスト) BugTraq を発行する SecurityFocus.com の共同設立者で、CTO (最高技術責任者) の Elias Levy 氏は、完全開示を支持する立場で長い間議論してきた。

だが、セキュリティ専門家で ComputerBytesMan.com を運営する Richard Smith 氏は、この問題は複雑で、バグの発見者が問題のすべてではないと主張する。「バグの発見者だけが問題ではなく、メーカー側にも問題があるし、BugTraq にさえも責任の一端がある」と、同氏は internetnews.com の取材に対して答えた。

Smith 氏はまた、1つの解決策だけですべての問題に対応できる訳ではないとも述べている。同氏は、遠隔攻撃可能な脆弱性については、公表までに一定の猶予期間をもうけて、メーカーにパッチを用意する時間を与えることに賛成している。しかし、たいていの場合なんらかの「次善策」があり、パッチの完成を待たなくても脆弱性の悪用を防げることにも言及している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール