2010 年 7 月 22 日 (米国日付) に、MSRC blog (英語情報) で、Trustworthy Computing Security の統括マネージャーである Matt Thomlinson が、マイクロソフトの新たな方針である「協調的な脆弱性の公開 (Coordinated Vulnerability Disclosure)」を発表しました。
以下にその発表内容の日本語抄訳を掲載します。
-—-
本日、マイクロソフトは脆弱性の公開への対応方法に関する方針を「責任ある公開 (Responsible Disclosure)」から「協調的な脆弱性の公開」へと、変更することを発表します。「責任ある公開」と「完全な公開 (Full Disclosure)」の支持者との終わりなき議論、またその有意義かつ、生産的な業界の連携とお客様の保護を損なうことを鑑みると、マイクロソフトは“お客様へのリスクおよび影響を最小限に抑えて問題を解決するためには、協調および協力が必要である“という重要な柱を構成し、コミュニティの考え方を改めることが必要であると信じています。
協調的な脆弱性の公開 (CVD): ** 新たに確認されたハードウェア、ソフトウェアおよびサービスの脆弱性は、影響を受ける製品のベンダー、CERT-CC やベンダーに非公開で報告を行うコーディネーター、またはベンダーに非公開で報告するような専用サービスに直接レポートされます。ファインダーにより、ベンダーは脆弱性の詳細または悪用情報が一般に共有される前に、分析を行い、完全にテストを実施した更新プログラム、回避策またはその他の修正策を提供できることになります。一般で攻撃が行われた場合、お客様自身の防御のための継続的な通知およびガイダンスを提供するためにファインダーおよびベンダーが緊密に協力して脆弱性を早期公開することが可能になります。
責任は今後も絶対に欠かせないものです。しかし、それはセキュリティ リサーチャー、セキュリティ製品の提供者およびその他のソフトウェアベンダーのコミュニティにおける共通の責任です。このディフェンダー コミュニティの各メンバーが役割を果たし、コンピューティング エコシステムの全般的なセキュリティを強化します。
CVD は、現在定義している「責任ある公開」から大きく離れるものではありません。マイクロソフトはこれらのガイドラインから外れた、広範に公開された脆弱性の詳細は、お客様を不必要なリスクレベルの状態にするものであると一貫して考えています。しかし、CVD では問題を一般的に解決する方法について、より焦点を絞った協調が可能になります。CVD の中心的な原則は単純なものです。ベンダーおよびファインダーが解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むことが必要になります。その際にもできる限り緊密に協調していく必要があります。
マイクロソフトがマイクロソフトの方針を新たなアプローチに転換するに伴い、幅広いセキュリティコミュニティにお願いしたいのは、最終的にお客様のリスクが最低限に抑えられるというこの変更の目的を受けいれていただくことです。この違いは重要な意味を持ちます。
マイクロソフトは、マイクロソフトが知らないうちに、非常に限定的な攻撃が発生する可能性があることを認識しています。しかし、基本的に (また、過去 10 年に渡るマイクロソフトの経験が示すように)、一旦脆弱性の詳細が一般で公開されると、悪用の確率が顕著に上昇することを確信しています。協調的にセキュリティ更新プログラムまたはテスト済みの回避策を提供しなければ、お客様に対する影響が大幅に増幅するのです。
公開に関する議論の中で、両方の極論を聞いてみると、私達すべてが目指しているものがひとつ - 「お客様を守る」ことであるのは明らかです。数年に渡り、マイクロソフトはセキュリティ コミュニティと緊密に協力し、お客様の利益のために連携した活動を行ってきました。協調的な脆弱性の公開により、これからもユーザーの安全が保持されます。
-—-