「責任ある情報公開」と「協調的な情報公開」

　脆弱性に関する情報公開でしばし議論になるのが「責任ある情報公開」と「協調的な情報公開」だ。これらは明確な用語として定義されているわけではないので、記事や資料によっては別の言葉を使うこともあるかもしれないが、今回はこの2つの言葉が意味するところについて解説したい。

　さて、これらの言葉に言及するには、まずはグーグルのいうところの「フルディスクロージャー」という考え方について説明しておく必要がある。

　フルディスクロージャーとは、ソースコードは万人（開発者、ベンダー、ユーザー）の監視、レビューが可能な状態にあるべきであり、脆弱性に関する情報も万人が等しく共有すべきものであるという考え方だ。この考え方は1990年代の始めごろから確認でき、明確な活動としては1993年のBugtraqという、脆弱性や攻撃コードを議論するメーリングリストが最初とされる。

　しかし、フルディスクロージャーはソースコードを開示することが前提となっているため、現実にはソフトウェアのすべてについて適用可能な考え方ではない。

　そこで、現在では「責任ある情報公開」や「協調的な情報公開」と呼ばれる方法で、脆弱性情報を取り扱うことが基本となる。

　「責任ある情報公開」とは、ソフトウェアの脆弱性に関する情報が、対策などが十分ではない状態で一般に公表されると、ユーザーを混乱に陥れ、また、攻撃者に有利な情報を与えてしまうという理由から、発見者はまずベンダーにだけ報告し（非公開）、対策（パッチなど）が準備できた段階でその対策情報とともに脆弱性情報を公開するというものだ。

　これに対して「協調的な情報公開」とは、発見者はベンダーのほか、しかるべき機関や研究者に報告・情報を共有し、協力しあってパッチや対策方法を整えてから一般に開示するという方法を指す。なお、日本をはじめ欧米各国が採用している脆弱性公開ルールは「協調的な情報公開」を基本にしていると考えられる。

　マイクロソフトなど巨大ベンダーはかつて、自社の責任においてセキュリティパッチを定期的に公開しているため、脆弱性情報は非公開で、まず自分のところに提供してほしいという立場をとっていた。

　しかし、近年では各国のCERT組織やセキュリティ研究者などとは情報を共有しあう「協調的」立場に転じている。これは、製品の規模や種類が多様化し、発見または報告される脆弱性の対応に優先度をつけても、ものによってはパッチリリースまで時間を要したり、その間に実際の攻撃が確認されたりする事態も発生したため、若干の軌道修正を加えたわけだ。

　ただし、現実的にはソースコードの開示は難しく、修正対応の公開にも時間がかかることがあるため、この対応でも十分ではないという意見も存在する。しばしば、グーグルとマイクロソフト、大企業とセキュリティ研究者の間で、このような論争が展開されるのはそういうわけだ。

【次ページ】グーグルが7日間ルールを新しく提唱