米下院は、シーラ・ジャクソン・リー下院議員(民主党、テキサス州)が提案したサイバー脆弱性開示報告法案(HR 3202)を可決した。この法案は、米国政府にセキュリティの脆弱性を開示するプロセスの開示を義務付けるものとなる。
脆弱性開示
政府は長年にわたり、脆弱性を「蓄え」、それを恣意的に悪用することで、米国企業を悪意のあるハッカーの攻撃から守ろうとしていると批判されてきました。エドワード・スノーデンの文書公開後、こうした懸念をいくらか軽減するため、オバマ政権は脆弱性公平性プロセス(VEP)を創設しました。
しかし、この新しい方針は状況を大きく改善しませんでした。例えば、FBIは依然としてバグ報告の義務を回避する方法を見つけることができたからです。その方法の一つは、ソフトウェアやハードウェアの脆弱性を悪用するために民間企業に金銭を支払うことでした。
世界最大級のテクノロジー企業やサービス企業のほとんどが米国に拠点を置いているため、もし彼らのソフトウェアに脆弱性が存在した場合、最終的にその代償を払うのは米国です。したがって、企業がプラットフォームを修正し、顧客を保護できるよう、脆弱性をできるだけ早く開示するインセンティブが必要です。
バグ開示を法律化する
政府は長年、発見した脆弱性の少なくとも90%を企業に開示していると主張してきた。しかし、今回のケースでは、そのプロセスの詳細が重要になる。なぜなら、政府の発言は技術的には真実かもしれないが、重要な点においては必ずしも真実ではないからだ。
例えば、政府はセキュリティとは無関係で、重要度がはるかに低いバグを公開することも、あるいは既に誰かが公開しているバグを公開することもできます。その時点で、政府はそのバグをもはや利用できないことを認識しているので、公開したことで何らかの評価を得ようと試みるかもしれません。
米国政府が実際にこのように行動するかどうかはわかりません。そのため、下院はサイバー脆弱性開示報告法案を可決し、政府が使用するバグ開示プロセスを正確に知ることができるようになりました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
政府は報告書においてバグ開示に関する方針を詳述するだけでなく、前年に民間部門に開示したバグの実例も提示する必要がある。この「付録」は機密扱いにすべきだと主張する者もいるが、EFFは、より特殊な状況におけるわずかな例外を除き、ほとんどのバグ開示事例を公開しない理由はないと考えている。
先週、ホワイトハウスのサイバーセキュリティコーディネーターのロブ・ジョイス氏は、メルトダウンとスペクターのバグに関連して、「NSAは欠陥を知らず、悪用もしていない。米国政府がインテルのような大企業をこのようなリスクにさらして脆弱性を放置することは絶対にないだろう」と述べた。
しかし、EFF は、米国政府がこれらの問題について誠実であるということに関して目立った実績を持っていないと考えており、NSA が実際に米国企業のセキュリティを妨害していたという証拠がある。
