勝ちとは?/ マイワン
[ 549] セキュリティ・ホールは公開しない者勝ち?:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/
|
それを聞いて筆者は,「公表されたセキュリティ・ホールの数を比べることに意味はあるのか」といったことをたずねた。すると同氏は,「もちろん,セキュリティ・ホールの数はその製品が安全かどうかを計る唯一の指標ではない。だが,ユーザーが指摘する点,気にする点であることは間違いない」と答えた。 確かに多くのユーザーにとって,公表されているセキュリティ・ホールの数が,ソフトウエアの“安全度”を計る上での指標の一つになるだろう。それ以外に,数字として現れるセキュリティに関するデータはほとんどないからだ。とはいえ,公表されたセキュリティ・ホールの数だけで,ソフトウエアの安全度を判断されることを筆者はとても懸念する。そうなれば,公表しない者勝ちになってしまう。不誠実なベンダーが開発したソフトウエアが安全と判断され,積極的に情報を公開するベンダーのソフトウエアが危険とされてしまう。それはおかしい。 筆者もそのとおりだと思う。セキュリティ・ホールが見つかることはある程度避けられない。問題は情報公開と対応の早さだ。できるだけ早く修正版やパッチを公開し,それらの適用の必要性を分かりやすく告知することがベンダーにとっては重要だ。筆者は,FirefoxもIEも,セキュリティ情報を積極的に公開していると思っている。 だが,セキュリティ・ホールを隠したがるベンダーは少なくない。第三者が発見し公表しているセキュリティ・ホールに関して,当事者であるベンダーに筆者が問い合わせると,「次期バージョンで修正するから問題ない。無用の混乱を招くからユーザーには知らせない」と回答されたことが何度となくある。セキュリティ・ホールを公表することよりも,そういった対応をすることのほうがユーザーの信頼を失うと思うのだが・・・。 「情報公開」という言葉にも過敏に反応する。筆者は,パッチや修正版の公開前にセキュリティ・ホールの詳細を公表しろといっているのではない。「起こりうる問題と対応策」を広くユーザーに知らせることを「情報公開」といっているつもりだ。そういった話をしても,「セキュリティに関することなので,一切公表するつもりはない」の一点張りというのはいかがだろうか。筆者には言わなくてもよいので,せめてユーザーには伝えてほしい。 「情報は公開している」というベンダーでも,信じられないくらい“深い”ディレクトリにセキュリティ情報ページを用意しているところもある。トップページからはとてもアクセスできないようなところに置いて,「情報を公開している」と言えるのだろうか。 あるベンダーの方からは,「どうして(わが社の製品の)セキュリティ・ホールの記事を書くのか分からない。一度,理由を聞きたいと思っている」という言葉をいただいたこともある。筆者としては,その製品のユーザーの一助になると思って記事を書いているのだが・・・。 セキュリティ・ホールが見つからないことに超したことはない。だが,プログラムが肥大化を続ける現状では,なかなか難しいだろう。セキュリティ・ホールを見つける「バグ・ハンター」たちのスキルも向上している。セキュリティ・ホールが見つかることよりも,きちんと対応しないことのほうが問題なのである。セキュリティ・ホールを公表したがらないベンダーの方には,そのことを理解していただきたい。「セキュリティ・ホールは公開しないほうがよい」と思っているのは当事者だけである。ユーザーはその不誠実さを見逃さない。 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
マイワンのサイトです。
