Microsoft、政府機関向けに脆弱性情報の早期提供プログラム開始へ

サイバー脅威の数が世界中で増加の一途をたどるなか、Microsoft が毎月第2火曜日の「月例更新」に公開するセキュリティパッチの内容に関して、より早期かつ詳細な情報の提供を求める声が、各国政府から寄せられている。

Microsoft はこれに応え、オーストラリアのクイーンズランド州ゴールドコーストで開催されたカンファレンス『AusCERT 2010』(16-21日) において、政府機関向けのプログラムを2つ発表した。同カンファレンスは、オーストラリアのセキュリティ組織 Australian Computer Emergency Response Team (AusCERT) 主催のイベントだ。

『Microsoft Security Response Center (MSRC) Ecosystem Strategy Team Blog』の17日付の投稿の中で、セキュリティ プログラム担当上級マネージャの Steve Adegbite 氏は次のように述べている。「Microsoft は、当社の脆弱性および戦略に関する重要な技術情報を共有し、基幹インフラの安全確保に役立てることを目的とした2つのプログラムの提供計画を進めている」

Microsoft の2つの新プログラムは、既存の政府機関向けセキュリティ プログラム『Security Cooperation Program』(SCP) の一環という位置づけとなる。

「SCP は、コンピュータ関連の問題への対応、攻撃に対する緩和策、一般への情報提供といった重要分野におけるセキュリティ活動において、政府機関が Microsoft と協力するための組織化された方法を提供するものだ」と、MSRC の広報担当グループマネージャ Jerry Bryant 氏は、Eメールによる声明の中で述べている。

新プログラムの1つは『Defensive Information Sharing Program』(DISP) というもので、これは、Microsoft の SCP および『Government Security Program』(GSP) の両プログラムに参加している国の政府機関に対し、近く対応予定の脆弱性について早期の技術情報を提供するものだ。

もう1つの新プログラム『Critical Infrastructure Partner Program』(CIPP) は、「基幹インフラの保護に役立つ戦略やアプローチを含めたセキュリティポリシー」に関して知見を提供するものだと、Adegbite 氏は Blog 投稿の中で述べている。