「責任ある公開」から「協調的な脆弱性の公開」へ、脆弱性公開方針を変更（マイクロソフト）

製品・サービス・業界動向業界動向

2010年7月29日（木） 19時30分

マイクロソフト株式会社の7月27日の発表によると、米Microsoftは脆弱性の公開への対応方法に関する方針を変更する。具体的には、「責任ある公開（Responsible Disclosure）」から「協調的な脆弱性の公開（CVD：Coordinated Vulnerability Disclosure）」へと変更する。CVDでは、新たに確認されたハードウェア、ソフトウェアおよびサービスの脆弱性が、影響を受ける製品のベンダ、CERT-CCやベンダに非公開で報告を行うコーディネーター、またはベンダに非公開で報告するような専用サービスに直接レポートされる。

ファインダーにより、ベンダは脆弱性の詳細または悪用情報が一般に共有される前に分析を行い、完全にテストを実施した更新プログラム、回避策またはその他の修正策を提供できることになる。一般で攻撃が行われた場合、ユーザ自身の防御のための継続的な通知およびガイダンスを提供するためにファインダーおよびベンダが緊密に協力して脆弱性を早期公開することが可能になる。同社では、「ユーザへのリスクおよび影響を最小限に抑えて問題を解決するためには、協調および協力が必要である」という重要な柱を構成し、コミュニティの考え方を改めることが必要であるとしている。

http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

「責任ある公開」から「協調的な脆弱性の公開」へ、脆弱性公開方針を変更（マイクロソフト）

Scan PREMIUM 会員限定記事

被告：CISO ～実例で考える CISO が訴訟されるリスク

Non State Actor 図鑑（6）ニセ情報拡散に貢献「ファクトチェック機関」

国際手配のランサム犯　逮捕されずに世界中を旅行

Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性（Scan Tech Report）

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

被告：CISO ～ 実例で考える CISO が訴訟されるリスク

Non State Actor 図鑑（6）ニセ情報拡散に貢献「ファクトチェック機関」

国際手配のランサム犯 逮捕されずに世界中を旅行

Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性（Scan Tech Report）

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

SAPジャパンのなりすましサイトに注意を呼びかけ

PHPの脆弱性（CVE-2024-4577）を狙う攻撃に注意を呼びかけ

Apache Tomcatにサービス運用妨害（DoS）の脆弱性

OpenSSLの関数SSL_select_next_protoにバッファオーバーリードの脆弱性

JP1/Extensible SNMP Agentに不十分なアクセス権設定の脆弱性

スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

インシデント・事故 記事一覧へ

個人情報保護委員会がメール誤送信、96 名のメールアドレスが閲覧可能に

イセトーへのランサムウェア攻撃、リークサイトにダウンロード URL 出現も現在はファイルが消失

イセトーへのランサムウェア攻撃で徳島県の個人情報も漏えい、委託業務完了後に報告書提出するも実際には削除されず

Google フォーム設定ミスで SECCON CTF for Girls 運営イベントの参加申込者の個人情報が閲覧可能に

情報漏えいによる電話番号変更や引っ越し費用、漏えい元企業が負担 ～ Google フォーム設定ミスでオーディション応募者情報が閲覧可能に

KADOKAWA グループへのランサムウェア攻撃、角川ドワンゴ学園に関する一部情報も漏えい

調査・レポート・白書・ガイドライン 記事一覧へ

AI の業務利用 16.2 ％、6 割はセキュリティ脅威感じるも利用規則は個人任せ ～ IPA 調査

金融機関は p=reject 設定が多い ～ TwoFive「国内DMARC統計とその傾向 2024年7月版」

Volt Typhoon と他の APT 攻撃キャンペーンとの違いは ～ JPCERT/CC 考察

国内 CNAPP 市場規模 2027年度 257 億円予測

HTMLで作成しOCR回避 ～ 新たなQRコードフィッシング手法

「3組織の取った情報非開示の方針は不適切」～ NTTデータグループ「グローバルセキュリティ動向四半期レポート」2023年度3Q版公開

研修・セミナー・カンファレンス 記事一覧へ

被告：CISO ～ 実例で考える CISO が訴訟されるリスク

reject（拒否）へのいばらの道を進むには ～ 日本プルーフポイント「DMARC Conference 2024」レポート

エーアイセキュリティラボ「Gartner Security & Risk Management Summit 2024」出展、「診断マネジメントプラットフォーム」展示

エーアイセキュリティラボが考える「理想の脆弱性診断のプロセス」実現方法、6/26 オンライン開催

GMOイエラエのドローン向け脆弱性診断が「Japan Drone & AAM Awards 2024」受賞

エーアイセキュリティラボとテクマトリックスが販売店契約を締結

製品・サービス・業界動向 記事一覧へ

Proofpoint Blog 38回「生成 AI の影響で日本はビジネスメール詐欺が増加」

素早い AED 使用でスポーツ中の心臓突然死はゼロを目指せる ～ 日本 AED 財団

脆弱性診断自動化ツール「AeyeScan」アップデート、外部ドメインでの Bearer 認証に対応

神奈川県警察でサイバー犯罪捜査官を募集、申込受付 8月16日まで

千葉県警察でサイバー犯罪捜査官を募集、申込受付 8月23日まで

AeyeScan blog 第6回「ブラウザの内蔵AIでXSSを検出してみた」

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

被告：CISO ～実例で考える CISO が訴訟されるリスク

国際手配のランサム犯　逮捕されずに世界中を旅行

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

情報漏えいによる電話番号変更や引っ越し費用、漏えい元企業が負担～ Google フォーム設定ミスでオーディション応募者情報が閲覧可能に

調査・レポート・白書・ガイドライン記事一覧へ

AI の業務利用 16.2 ％、6 割はセキュリティ脅威感じるも利用規則は個人任せ～ IPA 調査

金融機関は p=reject 設定が多い～ TwoFive「国内DMARC統計とその傾向 2024年7月版」

Volt Typhoon と他の APT 攻撃キャンペーンとの違いは～ JPCERT/CC 考察

HTMLで作成しOCR回避～新たなQRコードフィッシング手法

研修・セミナー・カンファレンス記事一覧へ

被告：CISO ～実例で考える CISO が訴訟されるリスク

reject（拒否）へのいばらの道を進むには～日本プルーフポイント「DMARC Conference 2024」レポート

製品・サービス・業界動向記事一覧へ

素早い AED 使用でスポーツ中の心臓突然死はゼロを目指せる～日本 AED 財団

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ