バグ研究者とソフトウェア企業、転換期を迎えた脆弱性報告のあり方 - (page 2)

　Forslof氏によれば、研究者を満足させる方法は簡単だという。まず、企業が問題の存在を認めること。次に、修正作業の進捗状況に関して情報を提供すること。そして、更新ファイルの製作に関わる過程を研究者に開示することだ。

　「開かれたコミュニケーションをつなげることが重要だ」と語るのは、ソフトウェア企業とバグ研究者双方と関係のあるiDefense（VeriSign傘下）でiDefense Labsのディレクターを務めるMichael Sutton氏だ。Sutton氏はBlack Hatにもパネリストとして参加した。「問題の脆弱性の修正について、進捗状況に関する最新の情報を自発的かつ定期的に研究者に提供するのは企業の責任だ」とSutton氏は述べた。

　Proctor氏によると、セキュリティ研究者とソフトウェア企業との協力関係については大きな進展が見られ、以前に比べればうまくいくようになってきたという。しかしながら、研究者との付き合いの手順をもっとうまく進める必要のある企業は多い。

　「脆弱性を見つける研究者たちと協力していくための、形式の整った効率的な手順ルールが発達するといいのだが」とProctor氏は語る。

　脆弱性に気がついてソフトウェア企業に情報提供してくれるのは、大抵の場合、善意のセキュリティ専門家かソフトウェアの脆弱性を見つけるのを趣味としている人たちだ。TippingPointやiDefenseのように、バグ情報の提供者に報酬を支払い、その情報をクライアントのシステムを保護するために利用している企業もある。

バグ情報は逆効果になるのか？

　しかし、Cisco Systemsの最高セキュリティ責任者（CSO）John Stewart氏は、Black Hatのディスカッションの席上で、より多くの情報を求める研究者の要求に応えることはそれほど簡単ではないと述べた。脆弱性があるという可能性を認めることが、セキュリティ上の逆効果をもたらしかねないというのだ。

　「不要な関心を引き起こして、かえって顧客に損害を与えてしまう可能性もある」とStewar氏は語っている。「当社の製品に脆弱性があることが、われわれの知りうる限りの範囲で分かれば、われわれとしてはそれ以上の注目がその問題に集まらないようにする」

　バグハンターとの付き合い方は企業によってさまざまだ。Proctor氏によると、Microsoftはセキュリティに関するコミュニティと協力することが必要だと認めており、上手な付き合い方のお手本になっているという。「Ciscoは反発するのをやめて容認の方向に向かい、Oracleは拒絶を脱して反発の段階に向かいつつある」（Proctor氏）

　Ciscoはハッカーのコミュニティと友好的な関係を築こうと努力を重ねている。ラスベガスのナイトクラブにBlack Hatの参加者を招いてパーティーを開き、同社でセキュリティを担当している幹部スタッフもこれに参加した。2005年とはまったくの様変わりだ。2005年のBlack Hatでは、Ciscoはセキュリティ研究者を提訴してコミュニティの反発を招き、直後に開催されたハッカーのイベント「DEFCON 13」では、アンチCiscoというスローガンをプリントしたTシャツが飛ぶようにん売れるほどだった。

　Oracleも、セキュリティ戦線に関してやや態度を軟化させつつあるようだ。CSOのMary Ann Davidson氏がブログを開設し、会社自体もセキュリティに関する情報を公開しつつある。とはいえ、研究者とオープンに付き合おうとする姿勢が見られないとして批判を浴びることはいまだに多い。

　バグハンターとの付き合い方次第で、企業は責任ある開示に対する取り組みを台無しにしかねない。企業の冷たい対応に嫌気のさしたバグハンターは、責任ある方法ではなく、次第に企業に対して圧力をかけ、脆弱性を公開するようになる、とカリフォルニア州クパチーノで個人セキュリティ研究者をしているTom Ferris氏は述べる。

　「企業に協力的ではない研究者が増えている。彼らは脆弱性を報告した後、企業に対して30日間しか猶予を与えず、期限が過ぎると情報を公開するという手段をとっている」（Ferris氏）