2003年07月31日(木) 16時07分

「議論ばかりで実行が足りない」-セキュリティ対策の実状（CNET Japan）

　ここ2週間はインターネットセキュリティの現状をよく表す出来事が続いた。業界と政府がセキュリティ改善に注力していると述べているにもかかわらず、セキュリティの脆弱性が次々と露呈したのだ。

　たとえば、米Cisco Systemsは米国時間7月16日、インターネットハードウェア機器の深刻な欠陥について警告を発した。その1週間後、Windows搭載コンピュータの大部分が影響を受ける脆弱性が見つかり、ネットワーク管理者は対策に大わらわだった。米eEye Digital Securityのチーフ・ハッキング・オフィサー、Marc Maiffretは「みんなセキュリティ問題についてよく議論するが、口ばかりで、実際にはあまり対策を講じていない」と指摘する。

　ブッシュ政権は2月にNational Strategy to Secure Cyberspace（サイバースペース機密保全のための国家戦略）を発表したが、批評家に言わせると、具体的な提案はほとんど組み込まれていないという。また、この書類の作成で大役を担ったRichard ClarkeとHoward Schmidtの2人は、すでに辞職している。

　政府だけでなく、業界にも責任はある。米MicrosoftがTrustworthy Computingの取り組みを発表したのは1年余り前だが、それ以降もPassport認証サービスの欠陥やMicrosoft SQLサーバの脆弱性をついたSlammerワームの攻撃に悩まされている。

　ハッカーやセキュリティ専門家がラスベガスで30日から開催している会議、Black Hat Briefingsでは、セキュリティホール開示の是非が話題の中心となった。ベンダーが欠陥を修復する前に、深刻な脆弱性を公表すべきかどうかについては、賛否がくっきりと分かれた。

　MicrosoftやCiscoなどの大手企業の製品で脆弱性が発見された際、研究者はすぐにそれを公表した。密かに修復に取り組みたいという企業側の希望よりも、一般の人々への通知が優先だという主張である。一方で、公開した脆弱性の情報が悪用され、ワーム攻撃などにつながるという危惧もある。

　業界団体のOrganization for Internet Safety（OIS）は脆弱性の報告に関するガイドラインを出しており、「研究者は脆弱性を公表する前に、ソフトウェア企業に対し、欠陥の修復やパッチ開発の猶予期間として30日間以上与えるべきだ」としている。

　一部のセキュリティ企業はこのガイドラインに沿っている。しかし、多くの独立系のセキュリティ研究者やハッカーたちは、誰が一番乗りで脆弱性の詳細情報を入手できるかを争っているのが現状だ。

関連記事：
Windowsの脆弱性を悪用するコード公開でワーム攻撃の怖れ
相次ぐセキュリティ上の欠陥に、専門家がウイルス出現を懸念
「ルータに深刻な欠陥あり」：米シスコが警告
いつまで続く?-Windowsにまたもや「重大な欠陥」
だからマイクロソフトは嫌われる？-セキュリティ担当者の呆れた弁解
ブッシュ政権、サイバーセキュリティ戦略を承認

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

【CNET Japanニューズレター】（無料）
最新ニュースを毎朝メールでお届けします。お申し込みはこちらから。

[CNET Japan]
http://japan.cnet.com/ （CNET Japan）

http://headlines.yahoo.co.jp/hl?a=20030731-00000007-cnet-sci