フルディスクロージャ
フルディスクロージャ(英:full disclosure)とは、「脆弱性情報は、全ての情報が詳細に渡って(=full)一般に公表(=disclosure)されていなければならない」とする、セキュリティ哲学の一つである。
概要
[編集]コンピュータセキュリティにおけるフルディスクロージャの動きが大きく取り上げられるようになったのは、メーリングリストBugtraq創設と時期を同じくする。この当時、ベンダーが自社製品の脆弱性情報を一般に公開することはほとんどなかった。また、脆弱性情報に関する外部団体としてはCERT/CCが挙げられるが、CERT/CCの当時の脆弱性情報公開ポリシーは「ベンダーに問合せを行い、ベンダーからの承諾を得て初めて公表する」「公表内容には、脆弱性に関する技術的詳細を含めない」というものであったため、メーカーが自社製品の脆弱性を修正する外圧とはなり得なかった。更には、個人で脆弱性情報を直接ベンダーに報告するケースもあったが、前述のように脆弱性情報に関しては「秘密主義」(Bugtraq-FAQでは「不透明なセキュリティ」と記されている)が当たり前であった時代においては、クレーマー同然に扱われることもあった。こうした事情から、脆弱性を持った機器類(ハードウェアとソフトウェアの双方)は、脆弱性を抱えたまま稼動しつづけ、たまたま一般に知られた脆弱性のみが秘密裏に対処される状況となっていた。
このような背景の中で脆弱性情報に関する議題を話し合う場として登場したメーリングリストがBugtraqであるが、それまで業界で標準的な考えであった「秘密主義」とは異なり、ここでは脆弱性情報、攻撃手法、さらにはその実行コードであるexploitまでもが投稿可能とされていた。ここで大きく取り上げられた脆弱性情報公開ポリシーがフルディスクロージャであり、その考えはBugtraq-FAQの中で以下のように述べられている。
真にセキュアなシステムはすべてのレベルにおいてオープンレビューに耐えねばならない。(例えばプロトコールレベル、ソースコードレベル等)
— Bugtraq-FAQ(日本語翻訳版)、“Bugtraq-JP FAQ”. 2009年3月3日閲覧。
万人に対して、セキュリティ上の脆弱性についての詳細情報は利用可能であるべきである。
この考えは、後述のように様々な方面に影響を与えることとなった。
影響
[編集]- NTBugtraq
- NTBugtraqとは、Bugtraq創設(1993年)の4年後、1997年にRuss Cooperによって創設されたメーリングリストである。Microsoft社のWindows NTとBackOfficeをターゲットとして、セキュリティに関する議論の場として設けられた。フルディスクロージャ運動を踏襲して、脆弱性に関する技術的詳細も含め、投稿を妨げないことをポリシーとしている。
- 脆弱性情報データベース
- 今日ではMITERのCVE、NISTのNVD、JVN(日本)などの脆弱性情報データベースが整備されている。これは、「秘密主義」の時期においては考えられないことであった。脆弱性情報データベースは「脆弱性情報は一般に公開されるべき」とするフルディスクロージャ運動の具現化の一つである。脆弱性情報データベースが整備される糸口となったのは、「セキュリティ脆弱性のデータベースについての研究ワークショップ」である。第1回は1996年に開催されている。第2回は1999年1月22-24日にパデュー大学の情報保証教育研究センター(Center for Education and Research in Information Assurance、通称CERIAS)で開催された。この時点においても、脆弱性情報データベースは存在していなかったが、後のデータベース整備に向けて動き出すきっかけとなった。
- CERT/CC 新脆弱性情報公開ポリシー
- CERT/CCの過去の脆弱性情報公開ポリシーに対する批判は前述のとおりであった。CERT/CCは2000年10月9日に新しい脆弱性情報公開ポリシーを示している[1]。これによると、原則として、ベンダーによる対策の有無を問わず、脆弱性情報の報告を受けてから45日を経過した時点で公開するとされている。また、FAQに「このポリシーがフルディスクロージャを意味しているか」という項目を設け、これまで公開していなかった技術的詳細情報についても可能な限り公開すると答えている。ただし、exploitについては公開するつもりはないという。
関連項目
[編集]参考資料
[編集]- 「フルディスクロージャ - セキュリティ脆弱性を発見し公表する人々の言い分」『ネットワークマガジン』、ASCII、2001年3月、110–115頁。
- “Bugtraq-JP FAQ”. 2009年3月3日閲覧。 - 「フルディスクロージャ」とは何を意味しますか?
- “Full Disclosure is a necessary evil”. 2009年3月4日閲覧。 - Bugtraq管理者Aleph Oneによる、フルディスクロージャが必要悪であることについての説明
- “「セキュリティ脆弱性のデータベースについての研究ワークショップ」参加報告”. 2009年3月4日閲覧。
- IPA. “セキュリティ脆弱性情報等の公開ポリシーに関する資料” (PDF). 2009年3月1日閲覧。
脚注
[編集]- ^ “CERT/CC Vulnerability Disclosure Policy”. 2013年5月28日閲覧。