Vulnerability Management

Responsible Disclosure

責任ある開示(レスポンシブル・ディスクロージャー)

Category: Vulnerability Management / Updated: 2026-05-26

📖

Overview

責任ある開示(Responsible Disclosure)とは、セキュリティ研究者やホワイトハッカーがソフトウェアやシステムの脆弱性を発見した際に、まずベンダーや開発者に非公開で報告し、修正が完了するまで公開を控えるという脆弱性報告の倫理的なプロセスです。これにより、脆弱性情報が悪意ある攻撃者に悪用されるリスクを最小限に抑えながら、ユーザーの安全を確保します。

責任ある開示は、完全開示(Full Disclosure)非開示の中間に位置するアプローチです。完全開示は脆弱性を即座に公開するため修正前に攻撃が発生するリスクがあり、非開示はベンダーが対応を放置する可能性があります。責任ある開示では、通常90日間の猶予期間をベンダーに与え、その間に修正を促します。

近年では「責任ある開示」に代わり、Coordinated Vulnerability Disclosure(CVD:協調的脆弱性開示)という用語が推奨されています。これは、研究者とベンダーが対等な立場で協力し合うという理念をより適切に表現するためです。ISO/IEC 29147やISO/IEC 30111といった国際標準も、この協調的なアプローチを定義しています。

🔬

Details

脆弱性開示のプロセス

責任ある開示の標準的なプロセスは以下の通りです。まず、研究者が脆弱性を発見し、再現手順や影響範囲を文書化します。次に、ベンダーのセキュリティチームに暗号化された通信(PGP/GPGメールなど)で非公開に報告します。ベンダーは報告を確認し、修正スケジュールを研究者と共有します。修正パッチがリリースされた後、研究者は脆弱性の詳細を公開できます。

一般的な猶予期間は90日間(GoogleのProject Zeroが採用)ですが、脆弱性の重大性や修正の複雑さに応じて延長されることもあります。ただし、ベンダーが対応を怠る場合や、脆弱性が既に悪用されている場合は、ユーザー保護のために猶予期間前に公開されることもあります。

脆弱性開示ポリシー(VDP)

VDP(Vulnerability Disclosure Policy)は、組織が外部からの脆弱性報告を受け付けるための正式な方針です。VDPには、報告の受付先(セキュリティ連絡窓口)、報告範囲(対象システム)、禁止行為(データ破壊、サービス妨害など)、法的保護の方針(善意の研究者を訴追しない旨の明記)が含まれます。

VDPはsecurity.txt(RFC 9116)としてWebサイトの/.well-known/ディレクトリに配置することが推奨されており、研究者がセキュリティ連絡先を容易に発見できるようにします。

バグバウンティプログラムとの関係

バグバウンティプログラムは、責任ある開示を金銭的なインセンティブで促進する仕組みです。HackerOneBugcrowdなどのプラットフォームを通じて、企業はセキュリティ研究者に報奨金を提供し、脆弱性の発見と報告を奨励します。報奨金は脆弱性の重大性に応じて数百ドルから数十万ドルに及びます。

バグバウンティは責任ある開示を包含する概念であり、VDPが最低限の受付体制であるのに対し、バグバウンティはより積極的に脆弱性報告を促進するプログラムです。

法的リスクと研究者の保護

脆弱性研究は法的なグレーゾーンに位置することがあります。研究者がシステムの脆弱性を調査する過程で、不正アクセス禁止法やコンピュータ犯罪に関する法律に抵触するリスクがあります。このため、VDPにおいて善意の研究者に対するセーフハーバー条項(法的免責)を明記することが重要です。

米国では司法省(DOJ)が2022年にCFAA(Computer Fraud and Abuse Act)の運用指針を改訂し、善意のセキュリティ研究を訴追対象から除外する方針を示しました。日本でも情報処理推進機構(IPA)が脆弱性関連情報の届出制度を運用し、研究者の保護に取り組んでいます。

開示のタイムラインと透明性

効果的な開示プロセスには、明確なタイムラインの設定が不可欠です。業界標準として、初回応答は5営業日以内修正リリースは90日以内が目安とされています。ベンダーは進捗状況を定期的に研究者に共有し、遅延が発生する場合はその理由と新しいスケジュールを伝えるべきです。

🛡️

Security Measures

  • 01
    脆弱性開示ポリシー(VDP)の策定と公開:組織として脆弱性報告を受け付けるVDPを策定し、Webサイト上で公開してください。security.txt(RFC 9116)を/.well-known/ディレクトリに配置し、セキュリティ連絡先を明示しましょう。
  • 02
    セーフハーバー条項の明記:VDPにおいて、ポリシーに従った善意のセキュリティ研究者を法的に訴追しない旨を明確に記載してください。これにより研究者が安心して脆弱性を報告できる環境を整備します。
  • 03
    専任のセキュリティ対応チーム(PSIRT)の設置:脆弱性報告を受け付け、トリアージ、修正、公開までを一貫して管理する専任チームを設置してください。報告の受領確認は48時間以内に行い、研究者との信頼関係を構築しましょう。
  • 04
    明確な対応タイムラインの設定:脆弱性の重大性に応じた修正スケジュール(Critical: 7日、High: 30日、Medium: 60日、Low: 90日など)を事前に定義し、研究者と共有してください。遅延が発生する場合は理由を透明に説明しましょう。
  • 05
    暗号化通信チャネルの整備:脆弱性情報の送受信にはPGP/GPGによる暗号化メールやセキュアなチケットシステムを使用してください。公開鍵をsecurity.txtやVDPページで公開し、機密情報の漏洩を防ぎましょう。
  • 06
    研究者への適切な謝辞と報奨:脆弱性を報告した研究者に対して、修正後のアドバイザリーで謝辞を掲載してください。可能であればバグバウンティプログラムを導入し、金銭的な報奨で研究者の貢献に報いましょう。
⚠️

Incidents

📋 Google Project Zero vs Microsoft の開示期限問題(2015年)

2015年、GoogleのProject ZeroチームがMicrosoft Windowsの脆弱性を発見し、90日間の猶予期間を設定して非公開で報告しました。しかし、Microsoftが期限内に修正パッチをリリースできなかったため、Project Zeroはポリシーに従い脆弱性の詳細を公開しました。

この公開に対してMicrosoftは強く反発し、「ユーザーを危険にさらす行為」と批判しました。この事件は、開示期限の設定と運用に関する業界全体の議論を活発化させ、最終的にはベンダー側の迅速な対応を促す効果をもたらしました。

📋 Missouri州知事によるセキュリティ研究者への訴追脅迫(2021年)

2021年、米国ミズーリ州のジャーナリストが州教育省のWebサイトで教職員の社会保障番号がHTMLソースコードに含まれていることを発見し、責任ある開示の手順に従って州に報告しました。しかし、州知事は研究者を「ハッカー」と呼び、法的訴追の意向を表明しました。

この事件はセキュリティコミュニティから強い批判を受け、善意の研究者に対する法的保護の重要性が改めて認識されました。最終的に検察は訴追を見送りましたが、VDPにおけるセーフハーバー条項の必要性を象徴する事例となりました。

📋 Apache Log4j 脆弱性の開示と混乱(2021年)

2021年12月、Apache Log4jの重大な脆弱性(Log4Shell)は、修正パッチの準備が完了する前にGitHubのプルリクエストを通じて情報が広まり始めました。本来は協調的脆弱性開示のプロセスに従い、修正完了後に公開される予定でした。

情報の早期流出により、パッチ適用前に攻撃が開始され、世界中の組織が緊急対応を迫られました。この事件は、協調的脆弱性開示プロセスにおける情報管理の難しさと、修正が完了するまで情報を厳格に管理することの重要性を浮き彫りにしました。

🔗

Related Terms

VDP(脆弱性開示ポリシー) バグバウンティ CVE(共通脆弱性識別子) 脆弱性ライフサイクル Exploit Database