脆弱性情報の基本は「one time one message policy」

2004/4/21

　情報処理推進機構（IPA）が業界の新ルール策定を提唱する報告書を発表するなど、ソフトにセキュリティホールが見つかった際の情報の取り扱いについて注目が集まっている。日本ヒューレット・パッカードのHPコンサルティング統括本部 セキュリティ・コンサルティング部 部長 佐藤慶浩氏が、HPをはじめ海外の大手ベンダが採用している脆弱性情報公開の方針「one time one message policy」について説明した。

日本ヒューレット・パッカードのHPコンサルティング統括本部 セキュリティ・コンサルティング部 部長 佐藤慶浩氏

　ソフトの脆弱性に関する情報は、あるベンダが一方的に公開すると、対策が終わっていない別のベンダ製品が攻撃を受ける危険がある。そのため米国ではCERT/CCなどが情報を受け付けて、関係するベンダ間で情報を公開するスケジュール調整などを行っている。日本でもIPAが情報を受け付けてJPCERT/CCが各ベンダのスケジュールを調整する方法が、2004年7月にも実施される見通しだ。

　HPをはじめとする米国の大手ベンダでは「one time one message policy」という方針に則って脆弱性の情報を扱っている。佐藤氏によると、「one time one message policy」とは「一時に唯一の情報を公開する方針」で、裏返すと「脆弱性情報については、いかなる優先提供もしない」という考えになる。

　脆弱性情報に関しては、重要なインフラを管理する政府などがベンダに対して優先的に情報を提供するよう求めることが多い。ベンダは機密保持契約を結んだうえで、対策方法が確立していない脆弱性情報を政府に提供することになる。しかし、ベンダが懸念するのは、その脆弱性情報が政府から漏えいし、攻撃ツールなどが作成されることだ。攻撃ツールによって、脆弱性情報を教えられていなかった顧客企業が被害を受けることがある。その結果として、ベンダが顧客企業から損害賠償請求などの訴えを出される危険があるのだ。

　もっとも訴えられたベンダが政府に対して損害の賠償を求めることは可能だ。しかし、脆弱性情報を提供したのが2社以上の場合は漏えい元を特定するのが難しく、そもそも顧客である政府を訴えられるのかという議論がある。そこで海外ベンダが採っているのが一切の情報の優先提供を行わない「one time one message policy」だという。しかし、米国でも重要インフラについてはやはり優先的に情報を提供したほうがいいのではないか、という議論もあり、「one time one message policy」が完全に標準になっているわけではない。

　佐藤氏はコンピュータ・ベンダの責務としてパッチ提供の明確化が必要と訴えた。即座にインストールでき、ほかのアプリケーションに影響を与えないようパッチに対して余分な要素を加えないのが基本だが、過去のバージョンへのパッチ提供やバージョンアップ以外で解決できない脆弱性への対処などは、ベンダの課題として残るというのが佐藤氏の考えだ。佐藤氏はソフトの脆弱性への対応について「個人的にはメーカーの責任が問われていると思う」と指摘。ソフトが製造物責任法（PL法）から除外されていることから、ソフトに欠陥、脆弱性があっても適切な対応を採らないベンダが多い現状に対して「無責任な状態だ」と述べた。

（編集局 垣内郁栄）

[関連リンク]
日本ヒューレット・パッカード
情報処理推進機構の発表資料

[関連記事]
エクストリームが新対策、「セキュリティベンダに任せられない」 （＠ITNews）
監視から管理の時代へ、ウイルス対策アウトソーシングサービス （＠ITNews）
ヘルプデスクと統合、シマンテックの早期警告サービス （＠ITNews）
脆弱性情報はIPAに届け出、ベンダ調整の新ルール策定へ （＠ITNews）
世界連携でゼロデイ・アタックを防ぐJPCERT/CC （＠ITNews）

情報をお寄せください：