- - PR -
なぜセキュリティホール情報を公開するのか?
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-01-09 13:08
素朴な疑問なんですが。
Microsoftは、なぜセキュリティホール情報を公開するのでしょう?。 少なくとも現時点では、ウイルスや各種アタックは、Microsoftが 公開したセキュリティホールを元にして行なわれているものと 感じております。 オープンソースならともかく、コードが秘密になっているWindowsならば、 セキュリティホール情報を公開しなければ、かなり多くのウイルスや アタックの出現が防げたのではないでしょうか。 『コードを隠蔽すれば絶対安全』では無いとは思いますが、 現在のWindowsがさらされている脅威の多くは、セキュリティホールの 公開に起因しているのではないでしょうか。 ご意見をお聞かせ下さい。 | ||||
|
投稿日時: 2004-01-09 13:13
ども、ほむらです。
セキュリティホールを公開する理由は対処する為だと思います。 公開しないだけでその脅威は現実に存在しているわけですから。。。 それに、MS側で情報を公開しなくてもまた別のところで情報は公開されるでしょう。 たとえば、ハッカーサイトとか。。。 セキュリティホールを自分で発見対処できる人だけならば必要はないのでしょうけど 無理ですから、少なくとも僕はこの情報があることに対しては 好感を持っています。 | ||||
|
投稿日時: 2004-01-09 13:23
こんにちは。「あにゃ」です。
セキュリティホールは、製造元自身が発表するのがビジネスインパクトが低いという判断がデファクトスタンダードだと思います。 「セキュリティ会社」と称される様々な企業が、MSが発表する前にセキュリティホールを見つけたと世間に発表することにより、自社の宣伝を計ろうとしています。例えば、以下の記事の場合、 http://www.itmedia.co.jp/news/0211/21/ne00_bug.html Foundstoneが最初にこのバグを発見し、Microsoftと共にパッチの開発にあたった。 というくだりがあります。宣伝に使われた場合、セキュリティ会社は利益になりますが、それを隠していたか見つけられなかったプロダクト製造会社は、信用を傷つけられます。 と、思いますがどうでしょう。 | ||||
|
投稿日時: 2004-01-09 13:31
基本は情報公開の義務付けの一環ですね。(米国法の何か) 大雑把に言えば、
製品に関する故障などの情報は遅滞無く消費者に公開しなければならない、の様な。 知っているのに公開せず、消費者が損害を被った場合訴訟に‥という流れが ベースにあったかと。なお、詳しい情報は検索すれば得られると思います。 | ||||
|
投稿日時: 2004-01-09 13:41
ども、BASEと申します。
>現在のWindowsがさらされている脅威の多くは、セキュリティホールの >公開に起因しているのではないでしょうか。 これに起因している物が確かにあるかもしれません。 しかし、セキュリティホールの発見する人は一人ではないし、 見つけた人が必ずマイクロソフトに報告している保証はどこにもありません。 #実際0-dayExploitといったような、対策猶予を与えずに攻撃Toolが、 #ハッカーサイト等で公開されている事例はあります。 また、脆弱性を公開することで、セキュリティ技術者から類似の脆弱性報告が 増える可能性があります。 #マイクロソフトとしては、売ってる商品の改良がボランティアでやってもらえるわけです。 ##前提として、発見した脆弱性を悪用するのではなく、報告してくれる善良な ##技術者の方が多いという前提があります。 で、最後に、仮にセキュリティホールの公開や修正報告が一切行われていないとして、 過去にホームページを見ただけでウイルスに感染することがあったOSを、 使いたくないと思う人は当然いるでしょう。 #マイクロソフト的には収入源になるお話ですよね? いじょう、簡単ですが | ||||
|
投稿日時: 2004-01-09 13:47
こんにちわ。
セキュリティーホール情報を公開することについてのご意見は いろいろ出されていますが。 ぼくは、たいていのウィルスは、マイクロソフトが公開する前に セキュリティーホールを見つけて作ってるものと思っていました… マイクロソフトが公開しなければウィルスを防げるのではないか と言うことについては、どうなんですかね?ぼくは、どちらにしろ ウィルスは減らないと思っていますが^^; | ||||
|
投稿日時: 2004-01-09 17:54
ウイルスは、別にセキュリティホールをつくものだけではないですよ。ローカルにてプログラムを実行することだけ言えば、何でも可能なわけです。フォーマットしてもいいですし、常時チェックディスクを常駐させても立派なウイルスです(怖いね)。 セキュリティホールはウイルスが侵入する穴であるわけです。その穴は別にWindowsやIEのセキュリティホールじゃなくても、例えばウェブ上でウイルス付きのアプリを公開したり、Winny/WinMXなどで公開するアプリケーションに混入してもいいわけです。 ですから、セキュリティホールの大きな要因は、案外「人の心」なわけですよね 
誰かパッチを作ってください
[ メッセージ編集済み 編集者: あにゃ 編集日時 2004-01-09 17:57 ] | ||||
|
投稿日時: 2004-01-09 19:29
[quote]
ですから、セキュリティホールの大きな要因は、案外「人の心」なわけですよね
[/quote] ですね。 最も防ぎにくい攻撃方法は、ソーシャルエンジニアリングだと言う意見もあると思いますし。 例えば、何らかの方法でシステムの正規のユーザ自身からユーザ名とパスワードを聞きだして しまうとか、そういう方法はシステムでは防ぎようがありません。 [quote] 誰かパッチを作ってください
[/quote] で、名前が「おばけSP1」とかになるんですかね(笑)。 嫌だな〜。誰がパッチ作るんだろう。 そもそも、H/W(っていうか人間の身体?)やS/W(考え方?)が一人一人違うから、 パッチなんて作りようも無いとも言えるかも(^^ 
| ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。