【せきにんあるぜいじゃくせいかいじ】
責任ある脆弱性開示 とは?
💡 見つけた穴はまず開発者に伝える、それがセキュリティの礼儀
📌 このページのポイント
ひよこ 脆弱性を見つけたら、すぐ公開しちゃダメなの?
ペンギン先生 すぐ公開すると、修正パッチが出る前に攻撃者が悪用してしまうんだよ。だから先に開発元に非公開で報告して、修正する時間を与えるのが責任ある開示の基本的な考え方なんだ
ひよこ でも、開発元がなかなか直してくれなかったらどうするの?
ペンギン先生 一般的には90日間の猶予期間を設けるよ。Googleの Project Zero が90日ルールを有名にしたんだ。期限を過ぎても修正されない場合は公開する、というプレッシャーが開発元の対応を促すんだよ
ひよこ バグバウンティとの関係はどうなっているの?
ペンギン先生 バグバウンティプログラムは、責任ある開示を金銭的なインセンティブで促進する仕組みだよ。脆弱性を報告してくれた人に報奨金を払うことで、闇市場で売るよりも報告する方が魅力的にしているんだ
ひよこ 日本でも同じルールなのかな?
ペンギン先生 日本ではIPA(情報処理推進機構)が脆弱性の届出制度を運用しているよ。IPAに届け出ると、開発元への連絡や公開のタイミングを調整してくれるんだ。法的にも、善意で発見・報告する行為は保護される方向に進んでいるよ
📖 おまけ:英語の意味
「Responsible Disclosure / Coordinated Vulnerability Disclosure」 = 責任ある開示 / 協調的な脆弱性開示
💬 最近は『Coordinated Disclosure(協調的開示)』という呼び方の方が主流になりつつあるよ