脆弱性情報に関する動きが活発化

　まず防衛省の大規模接種予約システムについて整理しよう。突貫で作られたこのシステムには、本人確認やセキュリティ対策に不備があった。

　報道は、脆弱性の指摘というより開発委託受けた事業者の手抜きや下請け構造を問題にする意図もあったが、これに対し「脆弱性の指摘は開発元やしかるべき機関（JPCERT/CCやIPA）に報告すべきではないか」という声もあがった。また「発見方法が業務妨害（稼働中のサイトに不正な入力や処理を試みた）にあたるのではないか」といった意見もあった。

　これとほぼ期を同じくして米国では、米国土安全保障省（DHS）の下部組織CISAが、連邦機関やエージェント団体に対する脆弱性の公開プログラム（VDP）を開始した。このプログラムはハッカーやバグバウンティ（賞金稼ぎ）が連邦機関のサイトやサービスにバグや脆弱性を見つけた場合の通報窓口や手順、そして公開方法を統一化したものだ。目的は、善意のハッカーに通報を促し信頼関係を築くこと。窓口を明確にすることで効果的な脆弱性情報のトリアージを行うことにある。

　6月16日には、マイクロソフトも脆弱性報告窓口について改めてアナウンスを行っている。同社のセキュリティレスポンスセンターは、担当者の名前で「マイクロソフト製品の脆弱性はIPAやJPCERT/CCではなく直接同センターに報告してほしい」と呼びかけている。

　以上の3件の動きに因果関係や連動した要素はない。それぞれの背景と経緯は独立しており、たまたま公表タイミングが一致したものといえる。しかし、非同期の動きが同期しているように見えるのは、社会的変化が脆弱性ハンドリング（脆弱性情報をどう管理するか）の枠組みに与える影響が可視化されつつあるのかもしれない。

脆弱性ハンドリングを取り巻く環境の変化

　そもそも国内産業全体で見ると、報道機関を含めて脆弱性ハンドリングに対する認識が十分とは言い難い。IT業界なら、JPCERT/CCやIPAから「御社のシステムに脆弱性があります」と連絡を受けても慌てるところは少ないだろう。しかし、自社が展開しているサービスサイト、アプリ、製品に「脆弱性があります」としかるべき機関から連絡を受けて正しく対応できる企業がどれくらいあるだろうか。

　ましてや、海外のバグバウンティ（賞金稼ぎ）やホワイトハッカーが善意でバグや脆弱性の報告をしてきた場合、IT系の企業でさえ正しく相手を認識できるかも疑わしい。

　うちはIT企業ではないと思っていても、ソフトウェアの脆弱性情報を無視して問題ないという企業は少ないはずだ。IoT製品は一般化し、多くの製品やサービスがインターネット接続を前提としている。顧客管理やサービスのためアプリやクラウドを利用する中小企業も珍しくない。優秀なベンダーに丸投げでもいいが、セキュリティインシデントが発生した場合、提供元・運営主体としての責任は免れない。

　国内企業は、バグや脆弱性情報は「秘匿することで安全を守る」という考え方が根強い。だが、攻撃者にとって、脆弱性情報は周知の事実のようなもので、秘匿による防御機能はないと思ってよい。未知のゼロデイでも、研究者が気が付くものが攻撃者だけ気が付かないという前提は成り立たない。脆弱性情報やゼロデイのバグは、通報・検証・対応・公開（パッチ含む）という正しい手順を踏んで処理することが、全体のセキュリティを向上させる。そのためには報奨金制度も活用し、ハッカーコミュニティの情報も集めることが常識となっている。

【次ページ】米国では民間の取り組みが連邦政府機関に広がっている