TOPNetwork > 脆弱性報告制度、企業への義務づけは近い?(後)

Network

脆弱性報告制度、企業への義務づけは近い?(後)

2018/09/06

J.M. Porup CSO

バグ報告への対処が必要

 善意の研究者からセキュリティ問題の報告を受け付けるためのチャネルを設けても、それだけでは不十分だ。そのバグに関して実際に何らかの手を打たなくてはならない。報告された問題に対するトリアージや対処を怠ると、過失と見なされる恐れがある。

 Elazari氏は言う。「『十分なプロセス』とは、単に『security@~』というメールアドレスで報告を受け付けるだけのことではない。もっと包括的なプログラムだ。報告を受けたら、見て見ぬふりはできない。パッチを適用する必要がある。情報を見た後は、過失のレベルが1段上がる」

 次なる問題は、法廷や世論から疑義を唱えられた時に、相当の注意義務を果たしていたことを実証する方法だ。司法省のフレームワークを遵守しているというのは、大きな援護になる選択だとElazari氏は言う。「『十分なプロセス』の何たるかを実証することを求められる段階に達した場合、司法省の指針に従っているというのは意味を持つ。単なる推奨事項にすぎない指針だとしてもだ」

脆弱性報告制度の未来

 すべての企業に何らかの脆弱性報告制度が義務づけられる日は間もなくやって来る。ネットワーク化されている現在の世界では、1つの企業で発生した重大なセキュリティ問題が社会全体に影響する度合いが増している。社内の体制を整え、助けになりたいと考えている善意のセキュリティ研究者を歓迎することは、今や業界のベストプラクティスだ。こうした新たな規範を、FTCのような規制当局が義務づけることは可能であるし、きっとそうするはずだ。

 Elazari氏は、「今後は脆弱性報告制度が幅広く導入されることになる」と述べている。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ