「責任ある公開」から「協調的な脆弱性の公開」へ、脆弱性公開方針を変更（マイクロソフト）

製品・サービス・業界動向業界動向

40 views

2010.7.29 Thu 19:30

マイクロソフト株式会社の7月27日の発表によると、米Microsoftは脆弱性の公開への対応方法に関する方針を変更する。具体的には、「責任ある公開（Responsible Disclosure）」から「協調的な脆弱性の公開（CVD：Coordinated Vulnerability Disclosure）」へと変更する。CVDでは、新たに確認されたハードウェア、ソフトウェアおよびサービスの脆弱性が、影響を受ける製品のベンダ、CERT-CCやベンダに非公開で報告を行うコーディネーター、またはベンダに非公開で報告するような専用サービスに直接レポートされる。

ファインダーにより、ベンダは脆弱性の詳細または悪用情報が一般に共有される前に分析を行い、完全にテストを実施した更新プログラム、回避策またはその他の修正策を提供できることになる。一般で攻撃が行われた場合、ユーザ自身の防御のための継続的な通知およびガイダンスを提供するためにファインダーおよびベンダが緊密に協力して脆弱性を早期公開することが可能になる。同社では、「ユーザへのリスクおよび影響を最小限に抑えて問題を解決するためには、協調および協力が必要である」という重要な柱を構成し、コミュニティの考え方を改めることが必要であるとしている。

http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx