マイクロソフト社は、脆弱性情報の開示基準に関する企業連盟を結成

概要：
　マイクロソフト社は、主要セキュリティベンダー５社と組み、セキュリティ情報開示に関するガイドラインを作成する。マイクロソフトと組んだのは、アット・ステーク社 (@Stake Inc.)、バインド・ビュー社(BindView Corp.)、ファウンドストーン社 (Foundstone Inc.)、ガーデント社 (Guardent Inc.)、及びインターネット・セキュリティ・システムズ社 (Internet Security Systems Inc.)。本ガイドラインの目的は、その開示によって、脆弱性がより簡単に活用できてしまうような情報を制限することにある。例えば、脆弱性活用ツールのソースコードや、活用の詳細手順などが、このような情報に含まれる。ただし、最初の発見から30日以上経過すれば、情報は開示できるようにする。尚、上記メンバー企業は、ガイドラインの作成を待たず、直ちにそのような情報の開示を制限することにした。

　本ガイドラインは、情報開示のフォーマット、開示までのリードタイム、ベンダー毎の連絡先など、脆弱性情報の開示を全般にカバーするものである。当初グループの内規が作成された後は、新メンバーも募集する。また、ガイドラインでは外部への情報開示を30日間制限するものの、警察当局、インフラ防護機関、その他関係機関・組織及びメンバー同士は、自由に情報交換できるようにする。

　本グループはお互い協力して RFC (Request for Comment)を作成し、インターネット技術の標準化組織である IETF (Internet Engineering Taskforce)に提出する。RFCは、インターネットで利用されるプロトコル、手順、プログラム、概念などに関する技術仕様であるが、IETFによって承認・公表される前に、一般公開される。

情報ソース：
SecurityFocus Nov. 09, 2001
http://securityfocus.com/news/281

分析：
　マイクロソフト社は、これまでかなり長い間、情報開示の制限を推進してきた経緯がある。マイクロソフト・セキュリティ対応センターのマネジャー、スコット・カルプ氏は、最近「情報の無秩序状態は終わらせるべき ("It's Time to End Information Anarchy")」という文書を発行しており、そこで「セキュリティ脆弱性を活用する手順について、一歩一歩、明白に説明したような情報を開示するベンダー」を批判している。尚、同文書は

http://www.microsoft.com/technet/columns/security/noarch.asp

で入手可能。一方、全てのベンダーが情報開示の制限に賛成しているわけではない。一部企業は、メンバー間では情報を開示するが、外部に開示しないグループを結成することは、脆弱性情報の独占につながると懸念する。また、本グループ結成の背景は、金銭的なものではないかと疑う声もある。グループ結成に反対する主な企業としては、セキュリティ・フォーカス社 (SecurityFocus)、及びイーアイ・デジタルセキュリティ社 (eEye Digital Security Inc.)などがある。

（詳しくはScan本誌をご覧下さい）
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【16:09 GMT、11、12、2001】