古いOSの脆弱性めぐり「Appleは秘密主義」と技術者が皮肉
Appleがセキュリティ研究サイトを新設し、外部の研究者との協力関係を重視する姿勢を打ち出しました。
同社製品の脆弱性への対応に関して研究者が不満を募らせていた問題を認めた形となります。
これについて業界からは一定の評価がある一方で、脆弱性修正の方針を巡って依然、疑問の声もあがっています。
新サイトの「Apple Security Research」は、同社の最先端のセキュリティ技術を紹介するとともに、外部の研究者にも協力を呼び掛け、ユーザーの安全確保に貢献した研究者を認定・表彰する場と位置付けている。
同サイトには10月27日、まず2本のブログ記事が掲載された。このうち1本は、Apple製品の脆弱性を発見・報告した研究者に賞金を支払うセキュリティバウンティプログラムの「アップグレード」を紹介する内容だった。
研究者とAppleとのコミュニケーション改善を目指す対策も打ち出しており、研究者がApple IDでログインし、Web上で指示に従って脆弱性を報告すると、その後は画面上で進展状況を把握して、Appleのエンジニアとコミュニケーションができるようになるとのことです。
報告に基づいてデバイスやサービスのセキュリティが変更された場合は、それに関する更新情報を掲載して、自分の功績がどのような形で認定されるかを決めてもらいます。
賞金が贈呈された場合はこの画面と電子メールの両方で通知する仕様になっているとのこと。
進化していくWEB業界の中でこういったプログラムが組まれることは非常におもしろい試みです。
さ
