今後は脆弱性の指摘からキッチリ90日後に情報開示 ～GoogleのProject Zeroチームがポリシーを変更

“Google Project Zero”の公式ブログ

　米Googleの脆弱性調査チーム“Project Zero”は1月7日（現地時間）、発見した脆弱性の情報開示ポリシーを変更すると発表した。2020年1月1日以降に報告された脆弱性については、それがいつ修正されたかに関係なく、90日で開示するという。

　“Project Zero”は、修正プログラムが提供される日（One day）よりも前に攻撃が広まる“ゼロデイ脆弱性”を撲滅するため、2014年に設立されたセキュリティチーム。発見した脆弱性の修正後、またはそれが行われなければベンダーに指摘してから90日後に情報を開示することをポリシーとし、ベンダーに早期の脆弱性対策を促してきた。

　一方で、ゼロデイ脆弱性の開示には否定的な意見も根強い。問題によっては修正に時間を要することもあるが、それが完成する前に脆弱性情報が開示されてしまうと、製品のユーザーが不利益を被るからだ。そこでチームは2015年に14日間の猶予期間を導入するなど、ベンダーとの対話も行っている。

　しかし、ここ5年間の取り組みで、ベンダーが深刻な脆弱性を迅速に修正する仕組みに大きな改善が見られ、現在、脆弱性レポートの97.7％は90日間の開示ポリシー内で修正されているという。開示ポリシーがGoogleによって特例で延長されたのも、2016年のmacOS/iOSの脆弱性（145日）と、CPUの脆弱性“Spectre/Meltdown”で業界が歩調を合わせたとき（216日）の2回だけだ。当初は修正に6カ月以上かかる問題もあったことを思えば、長足の進歩を遂げたといってよいだろう。

　そこで、“Project Zero”チームは当初からの主要目標の1つ“修正プログラム開発の高速化”がおおむね達成されたとみなし、開示ポリシーを見直すことにした。今後は試験的に、脆弱性の指摘から原則、キッチリ90日後に情報を開示していくという。ポリシーをシンプルで一貫したものにすることで、どのベンダー（Google自体も含む）に対してもフェアに適用され、わかりやすいものにするためだ。

従来のポリシーと新しいポリシー

　チームはこれにより、“パッチ開発の高速化”に加え、“より徹底したパッチの開発”と“修正プログラムの導入方法の改善”を促していくとのこと。開示期限を守ろうとするあまり、指摘した脆弱性の亜種（よく似た異なる攻撃）の可能性をよく吟味しなかったり、脆弱性の根本原因を解決せず、場当たり的な修正に終始しては本末転倒だ。また、せっかく修正パッチが完成しても、それをエンドユーザーが迅速に適用できなければ意味はないだろう。そういったさまざまなトレードオフも考慮しながらインセンティブのバランスを調整し、2020年後半にもこのポリシーが目標を達成しているかを再評価するという。