筆者が以前のコラムで述べたように,企業がセキュリティ・ホールに関する報告を受けた場合には,きちんと報告者に連絡した上で,セキュリティ・ホールの修正や情報公開を行うことが重要である。しかし実際には,適切に対応しない企業は多い。適切に対応しないと何が問題になるのか,逆に,きちんと対応すればどのようなメリットが得られるのかについて,今回のコラムでは考えてみたい。

セキュリティ・ホールの修正は不可欠

 企業がセキュリティ・ホールに関する報告を受けた場合の対応は,さまざまなパターンが考えられる。(1)報告者への連絡,(2)セキュリティ・ホールの修正,(3)情報の公開――の有無の組み合わせになるからだ。

 以前のコラムでも述べた通り,

(1)報告者へ連絡した上で,(2)報告者と協力してあるいは独自にセキュリティ・ホールを修正し,(3)ユーザーに情報を公開する

という対応が最も理想的である。報告者も連絡した甲斐があるし,ユーザーにとっても有益である。

 とはいえ,実際には上記のような対応が採られない場合も少なくない。例えば,(1)報告者に連絡した上で,(2)セキュリティ・ホールをきちんと修正するものの,(3)ユーザーに対しては情報を公開しない企業もある。この場合,報告者には不満が残るだろう。

 ただし,報告されたセキュリティ・ホールが,ユーザーのパソコンで動作するソフトウエアなどに関するものではなく,例えば企業のWebサーバーに関するものであった場合には,情報を公開しなくてもユーザーに対する影響は少ないだろう。また,たとえ企業が情報公開しなくても,報告者自身がセキュリティ・コミュニティなどに報告することで,最終的には公になる場合も多い。

 つまり,(1)報告者への連絡と(2)セキュリティ・ホールの修正をきちんと行えば,状況によっては(3)を行わないことも,十分現実的な“解”である。重要なことは,セキュリティ・ホールをきちんと修正することである。それが,報告者のそもそもの目的である。セキュリティ・ホールを修正しないことが,企業の対応としては最悪なものとなる。

 なお,「Webサイトのどこにも連絡先が明記されていない」,「いくら報告しても,定型のメールしか返ってこない」など,担当者に連絡がつかない企業も論外である。そういった企業では,セキュリティ・ホールが放置されたままになる可能性は非常に高い。

きちんとした対応で信頼を得る

 それでは,セキュリティ・ホールを修正さえすれば,報告者に連絡する必要はないのだろうか。実はそうではない。企業でセキュリティ・ホールの修正作業を進めているとしても,報告者には分からないので,せっかくの報告を無視されたものと考えるだろう。

 企業から連絡がなければ,報告者はセキュリティ・ホールの修正が期待できないと判断し,セキュリティ・コミュニティなどにセキュリティ・ホールの内容を公開することになる。セキュリティ・ホールを修正させるための“圧力”にするのだ。

 一度そのようなことがあると,たとえ社内で修正作業を進めていたとしても,セキュリティ・ホールの修正が期待できない企業と思われてしまう。すると,次にセキュリティ・ホールが見つかった場合には,企業に報告することなく,いきなりセキュリティ・コミュニティなどに報告されるようになってしまう。これは,企業にとって好ましいことではない。

 セキュリティ・ホールを発見されるのは,一度きりではない。特に,クロスサイト・スクリプティングのように,類似の手法が多いぜい弱性の場合には,根本的に修正しない限り何度でも見つけられる。そのたびに,セキュリティ・コミュニティなどに報告されることになる。

 その結果,企業の信用は損なわれる。加えて,企業によるセキュリティ・ホールの修正が遅れ,ユーザーを危険にさらしてしまうことになる。

 セキュリティ・ホールをきちんと修正して,情報を公開することは,ユーザーを守るとともに,その信頼を得るために不可欠である。加えて,きちんと報告者に連絡することで,報告者の信頼を得ることができるのだ。

 「セキュリティ・ホールが報告されれば,きちんと報告者に連絡し,セキュリティ・ホールを修正するとともに,情報を公開する」企業であると認めてもらえれば,いきなりコミュニティに報告されることはない。いたずらにユーザーを危険にさらすことは,ほとんどの報告者にとって本意ではない。きちんと対応する企業に対しては,報告者はまずその企業に情報を提供するはずだ。そして,修正作業にも喜んで手を貸してくれるだろう。

 つまり,セキュリティ・ホールの報告にきちんと対応することで,その企業には情報が集まりやすくなるのだ。修正作業にすぐに取りかかれるとともに,情報の公開時期を自身で決定しやすくもなる。逆に,対応がおろそかだと,企業が知らないところで情報が公開され,修正作業は後手に回る。どちらがユーザーと企業双方の利益になるのかは明白だ。

 「セキュリティ・ホールが存在すること自体が“恥”」と考える企業は少なくないようだ。そのため,セキュリティ・ホールが報告されても無視したり,報告者に連絡することなく秘密裏に処理しようとする。ユーザの不利益となる,こういった行為のほうが企業としては“恥”であり,最終的には企業の不利益にもなると考えるべきである。

若居和直(WAKAI Kazunao)
株式会社ラック セキュアネットサービス事業本部
wakai@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。