ニュース
» 2022年02月16日 12時30分 公開

ベンダーの脆弱性修正、何日かかる?修正に必要な時間が年ごとに減少

Googleの脆弱性調査専門チーム「Project Zero」は、セキュリティ脆弱性の修正状況について、ベンダーやプロジェクト別に調査した結果を発表した。2019〜2021年の3年間にProject Zeroが開発元に報告した脆弱性が対象だ。

[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Googleの脆弱(ぜいじゃく)性調査専門チーム「Project Zero」は2022年2月10日(米国時間)、セキュリティ脆弱性が修正されるまでにかかった日数などの修正状況について、ベンダーやプロジェクト別に調査した結果を発表した。2019年1月〜2021年12月の3年間に、Project Zeroが開発元に報告した脆弱性が対象だ。

 Project Zeroは脆弱性を報告する際、脆弱性開示ポリシーに従っている。開発元に連絡してから90日間の開示期限と14日間の猶予期間を設定した。調査結果には、この開示期限への対応と、猶予期間を使った修正の状況も記されている。

 脆弱性の詳細をProject Zeroが公開するルールは、次のように定められている。

開示期間中に修正版が提供された場合
 Project Zeroが開発元に脆弱性を報告してから、90日間の開示期限が切れる前に修正プログラムがユーザーに提供された場合、Project Zeroは、修正プログラムの提供開始から30日後に、脆弱性の詳細を公開する。

開示期間中に修正版が提供されなかった場合
 90日間の期限前に修正プログラムが提供されなかった場合、Project Zeroは期限完了時に脆弱性の詳細を公開する。

修正版のリリースを開発元が確約した場合
 開発元が開示期限から14日以内での修正プログラムのリリースを確約した場合、Project Zeroは14日間の猶予期間を認める。

脆弱性を修正するためにどれほど時間がかかるのか

 脆弱性の修正状況や分布、修正に必要な時間について、報告書は次のようにまとめている。

 2019〜2021年の3年間に、Project Zeroは90日間の開示期限に従い、376件の脆弱性を開発元に報告した。このうち351件(93.4%)は修正されたが、14件(3.7%)はベンダーなどが修正しないことを決めた。その他、11件(2.9%)の脆弱性が未修正となっている(調査結果の発表時点で8件は開示期限を過ぎており、残りの3件は開示期限内)。

 376件の脆弱性のかなりの部分はベンダー数社に集中している。96件(26%)がMicrosoft、85件(23%)がApple、60件(16%)がGoogleに報告された脆弱性だ。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。