米Internet Security Systems(ISS)が米国時間12月2日に,セキュリティ・ホール検出プロセスのガイドライン「Vulnerability Disclosure Guidelines」を発表した。同社のセキュリティ専門家グループX-Forceが研究開発したプロセスと手順を,ソフトウエアおよびハードウエア・ベンダー,顧客,ユーザーに公開する。

 「セキュリティ・ホールの検出と公表は重要な課題である。公共および民間企業で徹底して取り組んでおり,実際,そうするべき問題だ。セキュリティ研究機関は標準規格を導入し,タイミング良く公衆にセキュリティ・ホールの有効な情報を提供するべきである。それは同時に,ソフトウエア・ベンダーが製品の改善に取り組むきっかけを与えることになる」(ISS社X-Forceグループ・ディレクタのChris Rouland氏)

 Vulnerability Disclosure Guidelinesは,米連邦政府などのセキュリティに関する取り組みと連携し,新たに検出したコンピュータ・ネットワークのセキュリティ・ホール報告を推進する。「公衆への時宜を得た情報提供と,ソフトウエア・ベンダーの製品改善に向けた時間確保の均衡を保つことを目的とする」(ISS社)

 同ガイドラインには4段階のプロセス「Initial Discovery Phase」「Vendor Notification Phase」「Customer Notification Phase」「Public Disclosure Phase」が含まれる。全内容をISS社が提供するPDFファイルで閲覧できる。

 なお同ガイドラインは,最新のベスト・プラクティスを反映して変更を加える可能性がある。

◎関連記事
Windows 2000にセキュリティ・ホール,一般ユーザーにシステムを乗っ取られる
Windows OSに深刻なホールが相次ぐ,XP SP1適用後も油断は禁物
有効なウイルス対策,焦点は“未知なるもの”への対処へ
ファイアウオールを“活用”してますか?
「企業のセキュリティ関連支出が増加」,米Vista Researchの調査
「米多発テロ以来サイバー攻撃の危険性は増加,しかし米国企業の対策は不十分」,米企業の調査
90%の企業/組織がウイルスなど何らかのアタックを経験,米誌の調査
「米企業はITリスクを過小評価し,十分な対策を講じていない」,と米調査会社

[発表資料へ]