ソフトウェア大手の Microsoft は、セキュリティ研究者がベンダーやハッカー、セキュリティ管理者などに新たな脆弱性を開示する場合について、セキュリティ問題への対処法を若干変更すると発表した。これには、Microsoft があまりにも頻繁に自分たちを無視すると感じているセキュリティ研究者たちと、今よりも友好的な協力関係を築く狙いがある。
Microsoft はかねてから、同社が「責任ある開示」とするものを求めてきたが、開発者コミュニティなどには、より積極的な「完全開示」を押し進める勢力もあった。「完全開示」とは基本的に、セキュリティ上の脆弱性に関するあらゆる情報を、判明し次第すみやかに開示するべきだとする考え方だ。
Microsoft は今回の変更により、主張をトーンダウンさせ、すべての関係者間での協力を促進しようと試みている。こうした考え方の転換にもとづく開示プロセスを、同社は22日に更新された Microsoft Security Response Center (MSRC) の公式 Blog 記事の中で、「協調的な脆弱性開示」と呼んでいる。

June 2010 Security Researchers

• Dmitry Kulshitsky

Individual

• Sherif Mansour

Affinion International Ltd.

• Yosuke Hasegawa

NetAgent Co., Ltd.

協調的な脆弱性の公開 (CVD): 新たに確認されたハードウェア、ソフトウェアおよびサービスの脆弱性は、影響を受ける製品のベンダー、CERT-CC やベンダーに非公開で報告を行うコーディネーター、またはベンダーに非公開で報告するような専用サービスに直接レポートされます。ファインダーにより、ベンダーは脆弱性の詳細または悪用情報が一般に共有される前に、分析を行い、完全にテストを実施した更新プログラム、回避策またはその他の修正策を提供できることになります。一般で攻撃が行われた場合、お客様自身の防御のための継続的な通知およびガイダンスを提供するためにファインダーおよびベンダーが緊密に協力して脆弱性を早期公開することが可能になります。

「協調的な脆弱性の公開」の発表 – 日本のセキュリティチーム