HackerOneはこのほど、「Proposed Legislation Requires Federal Contractors Implement VDPs」において、米国共和党のナンシー・メイス下院議員が連邦政府の請負業者に脆弱性開示ポリシー(VDP: Vulnerability Disclosure Policy)の実施を義務付ける法案「Federal Cybersecurity Vulnerability Reduction Act of 2023(2023年連邦サイバーセキュリティ脆弱性削減法)」を提出したと伝えた。
脆弱性開示ポリシーとは、企業や組織の職員ではない外部のセキュリティ研究者や、ホワイトハッカーが発見した脆弱性などの情報を、企業や組織に報告してもらうためのガイドラインを提供する仕組み。脆弱性開示ポリシを導入する企業は、報告を受け入れるための窓口と体制を整備する必要がある。
HackerOneは、脆弱性開示ポリシーについて、次のような利点があると述べている。
- 脆弱性修復の単純化 - 脆弱性公開までの戦略構築と、報告者との円滑なやりとりによる迅速な修正パッチ開発を支援する
- 報告者への期待の明確化 - 報告者に対して企業とのコミュニケーションで何を期待すべきかを知らせ、公開までの工程を提供し、報告者との窓口を維持する。報告者とのコミュニケーションに失敗すると、修正前に脆弱性が公開される危険性がある
- 企業ブランドへの信頼構築とコストの大きい侵害を低減 - 脆弱性を悪用されて製品やサービスなどを侵害された際の企業ブランドへの損害を軽減する。積極的な情報開示計画は、企業がセキュリティ対策を真剣に考えていることを示し、顧客と投資家に信頼を与える
この法案は米国のものであり、国内では大企業を除いてあまり関係がない。しかし、IoT (Internet of Things)時代においてあらゆる製品がインターネットに接続されるようになり、脆弱性への対策と備えは重要になってきている。国内においてもグローバルに事業を展開している大企業を中心に、脆弱性開示ポリシーや類似する仕組みを導入する企業が増えてきており、このような取り組みは今後も拡大していくとみられている。