「責任ある開示」に関する議論、セキュリティリサーチ手法への注目が高まる中、トリップワイヤは責任ある情報の取り扱いに関する意識調査が必要と考え、先般サンフランシスコで開催されたRSACの参加者147名を対象に調査を実施、その結果興味深いことがわかりました。
回答者の大半は、脆弱性に関する問題が発生した場合は早期の情報開示を望んでいることが分りました。完全な情報開示前に脆弱性問題修復のためにベンダーに与える猶予期間はどれくらいかが妥当かとの質問に対し、選択肢中最短の60日と回答した人は全体の32%と最も多く、次いで25%がベンダーの修復を待つ必要はないと回答しました。
次に製品およびサービスのセキュリティ制約条件をテストするのに、企業の事前の許可が必要かどうかについては、事前許可なしには許されるべきではないが回答者全体の50%であったのに対し、許されるべきは49%でした。
これは、米国ジョージア州の新たなサイバーセキュリティ規制の争点でもあり、責任あるセキュリティリサーチャーが公益の為に行うリサーチの権限にも影響が出るものです。
同規制に対して、トリップワイヤのセキュリティリサーチャー・Craig Youngは次のように述べています。
「セキュリティリサーチャーは、情報漏洩の第一の防御者でもあります。善良なハッカーは、システム上の脆弱性を発見し、その製品のベンダーに通知します。するとベンダーは予め製品に修正パッチを適用できるので脆弱性の悪用が防止されます。またこのように脆弱性を明らかにすることは、消費者の製品使用に当たっての安全性を確認する目的で実施されるため、違法行為とはみなされません。」
悪意あるハッカーから組織・個人を護るために規制の厳格化が必要、と答えた人は全体の84%に達しました。一方で、議会が情報セキュリティー問題を理解するためにはガイダンスが必要と感じている人も多く、全体の35%が「(規制の厳格化が)必要だが、情報セキュリティの専門家との連携の上で立案されるべき」と回答しました。
更に回答者の所属組織がこれまでに脆弱性の報告を受けたことがあるかとの問いに対し、組織側からの依頼に基づかない脆弱性報告を受けたことがあると回答した人は全体の36%でした。一方、全体の約半数の53%は外部のセキュリティリサーチャーが発見した脆弱性の報告のための公式の窓口があると回答しました。そして、全体の約4分の1に相当する24%が、脆弱性の詳細と引き替えに金銭の支払いを強要されたことがあると回答しました。
これに対し、弊社の VERT(Vulnerability and Exposure Research Team:脆弱性、および露出の調査チーム)マネージャー・Tyler Regulyは、次のように述べています。
「企業がリサーチャーの情報提供を受け入れる開かれた体制があることはよいことで、また53%が公式の窓口があるという今回の結果は、これまでの統計数値を上回っています。昨年実施されたある調査では、フォーブス・グローバル2000にランキングした企業の94%が自社のネットワークの脆弱性についての報告を受ける特定のルートを持たないという結果でした。」
脆弱性の報告は、企業および企業の攻撃対象範囲の保護に資することを目的として提出されるものです。「責任ある開示」のポイントはより安全なインターネット環境の構築にあります。金品を強要する目的での脆弱性の暴露は責任あるリサーチャーのすることではありません。
調査結果からは責任あるセキュリティリサーチの在り方には複雑な課題があることが分ります。事前の許可なく自社の製品およびサービスの調査を実施するリサーチャーを懸念する声もいまだあります。しかし公益目的のリサーチャーと、個人の利益のために悪意をもって行うリサーチャーとの間には根本的な違いがあるのです。
