近年,ソフトウエアやWebサイトに存在するセキュリティ・ホールが,セキュリティに詳しいユーザーから企業へ報告されるケースが増えている。その場合,ユーザーは,一般的に「フル・ディスクロージャ(Full Disclosure)」と呼ばれる考えに沿って報告することが多い。今回のコラムでは,フル・ディスクロージャに沿った報告を受けた場合の,企業の対応方法について考えてみる。

フル・ディスクロージャという考え方

 フル・ディスクロージャとは,セキュリティ専門のメーリング・リスト「Bugtraq」などで用いられる考え方だ。そのフル・ディスクロージャの基本的な考え方は以下の通りである*

  1. 真にセキュアなシステムはすべてのレベル(例えばプロトコル・レベル,ソース・コード・レベルなど)においてオープン・レビューに耐えねばならない。
  2. 万人に対して,セキュリティ上のぜい弱性についての詳細情報は利用可能であるべきである。

 上記の実現のために,Bugtraqではセキュリティ・ホール情報を報告する際の基本的な手順を定めて推奨している。以下では,その手順に沿ってユーザーが連絡してきた場合を想定して,企業が採るべき対応を考えたい。

* 参考: 「Bugtraq-jp FAQ」

まずは報告者へ連絡を

 企業がセキュリティ・ホールに関する情報提供を受けた場合,行うべきことは情報が正確であるかどうかを検証することである。そして,正確であった場合には,企業にとってどの程度の影響があるかを見極める必要がある。

 検証には時間がかかる場合がある。そこで,フル・ディスクロージャにおいては,通常一週間以上の猶予期間が設けられている。ただし,この期間については,報告者各人に任されている。人によって様々な考え方があるため,必ずしも一定ではない。

 そのため,検証の必要がある場合には,早期に報告者と連絡を取り「×日待ってもらいたい。その後対応を連絡する」と,必要な時間をきちんと伝えることが望ましい。何も連絡をしない場合には,報告者個人が設定した猶予期間を過ぎた時点で公開されると考えるべきである。

 セキュリティ情報の報告や公開は,ひとえにユーザーへの影響を考えてのことである。企業にセキュリティ対策を早期に提供させるための圧力として,セキュリティ・ホールの報告や公開をするのである。そのため,セキュリティ・ホールの脅威度が大きければ大きいほど,報告者は早期の解決を望んでいる。企業としては,このことを十分留意しなければならない。

 とにかく,フル・ディスクロージャにおいては,最終的には公開が原則となっていることを踏まえて対応すべきである。

公開か,非公開か

 セキュリティ・ホールの存在が確認され,その対処方法が判明したら,企業としてはその情報を公開するか,非公開にするかを決定しなければならない。

 公開にも2通り考えられる。企業が自らのWebサイトなどで公表する方法と,報告者がセキュリティ・コミュニティに報告し,それに対して企業が対処方法を知らせる方法である。いずれも,問題と対処方法を公開していることには変わりはないが,「専門家以外の一般ユーザーに対して問題を報告するかどうか」という点において異なる。

 フル・ディスクロージャでは,企業には前者が求められる。しかし企業としては,セキュリティホールの公表が難しい場合がある。そのため,結局公表しない企業も多い。この対応が望ましいかどうかは状況によるだろう。

 実際の例を見ると,ユーザーのパソコンで動作するソフトウエアに関するセキュリティ・ホールについては,企業自ら一般ユーザーへ公表する場合が多い。特に,OSや広く使われているアプリケーションなどのセキュリティ・ホールについては,影響をおよぼす範囲が非常に大きくなる。そのためこれらについては,対処方法を含めたセキュリティ・ホール情報の公表は,事実上原則となっているといえる。

 とはいえ,セキュリティ・ホールの公表は難しい問題で,現在も議論が続いている。IETF(Internet Engineering Task Force)からは,セキュリティ報告に関するガイドラインのドラフトが以前公開されたが,その際に問題になったのはまさに“情報の公表”に関する点だった。

 IETFのガイドラインでは,情報の公表について企業寄りの立場を採っており,一定の条件においては,企業に時間的な猶予を与えるべきだとした。しかし,そのことにより,企業が責任を回避できるという点が指摘され,ユーザーから猛反対された。その結果,このガイドラインは“ボツ”となり,RFC(Request for Comments)になることはなかった。

◇     ◇     ◇     ◇     ◇     ◇

 繰り返しになるが,企業がセキュリティ・ホールの報告を受けた際に重要なのは,報告者に対してまず連絡することである。フル・ディスクロージャの方法で連絡してくる報告者は,基本的にセキュリティ・ホールをふさいでもらうことが目的なのである。企業のイメージ・ダウンを図って騒ぎ立てたり,対策がないままでの情報公開を求めたりすることが目的ではない。報告者と連絡を取り合えば,その企業が望む形で,問題を解決することは十分可能である。十分正当な理由があれば,最終的に情報を非公開にすることも,納得してもらえる可能性は高い。

 フル・ディスクロージャは,企業のためでも,報告者のためでもなく,一般ユーザーのための考え方である。そして,この考え方を生かすには,企業と報告者が互いに納得できる形で問題を解決することが不可欠である。そのことを十分認識した上で,企業はセキュリティ・ホールに関する報告に対応してもらいたい。それが,一般ユーザーを守るだけではなく,企業への信頼にもつながるのである。


若居和直(WAKAI Kazunao)
株式会社ラック 不正アクセス対策事業本部
wakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。