米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は水曜日、国防・諜報機関以外の米国連邦政府機関に対し、実用的な脆弱性開示ポリシーを策定するよう命じた。
CISAのサイバーセキュリティ担当副ディレクターのブライアン・ウェア氏はオンラインメモの中で、近所を歩いているときに家が炎に包まれているのを見て緊急サービスに電話するというシナリオを説明した。
連邦政府のウェブサイトでセキュリティ上の欠陥が発見された際に、人々が同様の行動をとれるようになれば、政府にとって有益だと彼は示唆した。しかし、多くの政府ウェブサイトでは、警告の発令方法を宣伝しておらず、脆弱性の報告を歓迎するという保証も示されていない。
「オープンリダイレクトは、サイト外の悪質なコンテンツを正当なものに見せかけるのに利用されるが、火災ほど深刻なものではないかもしれないが、インターネットシステムの深刻な脆弱性は現実世界に毎日悪影響を及ぼしている」と同氏は述べた。
訓練された目を持つ人は重大な欠陥を見つけることができるが、それを報告できる人がいない。潜在的なサイバーセキュリティ問題を政府に伝えることは難しくないはずだ。
「多くの場合、訓練された目があれば重大な欠陥を見つけることができるにもかかわらず、それを報告できる人がいないのです。政府に潜在的なサイバーセキュリティ上の問題を報告するのは難しくないはずです。しかし、意図的に報告を容易にしない限り、難しい状況になるでしょう。」
CISAの拘束的運用指令20-01は、報告プロセスの簡素化を目指しています。連邦政府機関は、管理する各.govドメインについて、セキュリティ担当者と対応組織を30日以内に.govレジストラに提供することが義務付けられています。
180日以内に、各機関は脆弱性開示ポリシーを公表しなければなりません。このポリシーでは、ポリシーの適用対象となるITシステム、許可されるテストの種類、脆弱性報告の提出方法、誠実な報告に対する法的措置の勧告を回避するためのコミットメント、そして対応に関する期待値の設定について規定されています。また、各機関はその後も、適用可能な指標を報告しなければなりません。
これらのポリシーは、個人を特定できる情報の提出を必須とすることはできませんが、要求することはできます。また、特定のグループや米国市民を除き、誰でも参加できる必要があります。また、バグ報告者が他の場所で欠陥を公開する権利を制限することはできませんが、回答期間を限定して非公開を求めることはできます。
この指令では、脆弱性の報告に対して報酬を支払わないこと、また、そのような報告はいかなる補償請求権の放棄を意味することを政府機関に表明することを検討するよう推奨されています。ただし、政府機関が脆弱性開示ポリシーとは異なる、別途バグ報奨金プログラムを運営することは許可されています。
マイクロソフトはバグ報奨金として1370万ドルを支払った。この報奨金プログラムの設計者は、この資金はもっと有効に活用できたはずだと考えている。
続きを読む
ルータ・セキュリティのCEO、ケイティ・ムスーリス氏はこの動きを歓迎したが、連邦政府は本末転倒だと指摘した。「何の手続きも踏まずに、一般市民から脆弱性報告を募るための窓口をただ設置するだけで、結果として優れたセキュリティが期待できるはずがない」と、彼女はブログ記事に記した。
ムスーリス氏は、指令案が起草されていた当時、彼女と同僚らが行ったコメントを指摘し、この政策では各機関に対し、報告を受けそれに対応する職員を配置したりインフラを整備したりすることを義務付けていないと警告した。
「これらの取り組みに十分なリソースを確保できない場合、(指令)の有用性が損なわれ、(脆弱性開示ポリシー)に伴うプラスのメリットが損なわれることになる」とコメントには記されている。
言い換えれば、各機関が脆弱性報告に対応するために911コールセンターに相当するものを設置するだけでは不十分です。連邦政府は、火消しのための応急処置要員と装備にも投資する必要があります。®
