脆弱性報告制度、企業への義務づけは近い？（前）

　企業が善意のセキュリティ研究者からバグの報告を受けて対処するための仕組みである脆弱性報告制度は、米連邦取引委員会（FTC）と米司法省の様子からすると、将来的にあらゆる企業が何らかの形で設けるよう義務づけられることになりそうだ。現状では、この手の制度を一切設けていない企業がほとんどである。米HackerOneが2017年6月に示した調査結果によると、Forbes Global 2000企業の94％は、セキュリティ問題について研究者から報告を受け付ける手段を用意していない。

　脆弱性報告制度では、セキュリティ問題について研究者が報告するためのセキュアなチャネルを用意し、問題のトリアージや緩和を適切に行うためのプロセスを取り入れる。こうした制度は業界でベストプラクティスとなっており、規制当局や法執行機関が注目している。FTCは2018年6月、消費者製品安全委員会で、基本的な脆弱性報告制度すら設けていない企業はFTC法違反になり得るとの見解を示し、次のように言及した。

　「FTCが多くの事例で展開してきた主張の1つは、セキュリティ研究者や学界からセキュリティ脆弱性の報告を受けて対処するための十分なプロセスを用意しないのは不合理な慣習であり、FTC法の第5条に違反しているということだ」

　司法省も同じような姿勢を示している。同省が2017年に策定した「A Framework for a Vulnerability Disclosure Program for Online Systems」は、脆弱性報告制度のあるべき姿について定めたフレームワークだ。拘束力のないフレームワークという形ながら、厳格な指針となっている。現時点でフレームワークとされているものが、将来的に法令となる可能性は大いにある。

｜Computerworldについて｜Computerworldへのお問い合わせ・ご意見｜著作権・リンクについて｜個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について｜