グーグルのProject Zero、パッチ適用を促すため30日間の猶予期間を新設

今回は「グーグルのProject Zero、パッチ適用を促すため30日間の猶予期間を新設」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleのセキュリティチーム「Project Zero」は、脆弱性情報の開示ポリシーに関して、これまではベンダーへの通知から90日後に必ず技術情報の詳細を開示する方針を取ってきたが、ユーザーにパッチを適用する余裕を与えるため、詳細情報の開示までに30日間の猶予期間を設ける新しいモデルに移行する。

 Project Zeroの新しいモデルでは、パッチが90日以内に公開されなかった脆弱性に関して90日後に詳細情報を開示するポリシーは変わらないが、パッチが90日以内に公開された場合には、技術的詳細の開示はパッチの公開時から30日後になる。

 また、既に実際の攻撃で利用されている脆弱性に関しては、ベンダーへの通知から1週間以内にパッチが公開されない場合、1週間後に技術的な詳細が開示されるが、パッチが通知後7日以内に公開された場合は、詳細情報は30日後に開示される。また、既に攻撃が行われている場合も、ベンダーがパッチ公開までに3日間の猶予を求めることができるようになった。

 Project Zeroがベンダーにパッチ公開までの猶予期間(悪用されていない場合は従来通り最大2週間、悪用されている場合は最大3日間)を認めた場合、その期間は技術的な詳細情報が開示されるまでの30日間の猶予の一部を食い潰すことになる。

 Project Zeroは2020年に、情報の開示までに必ず90日間の猶予を与えるという新しいポリシーを導入した。

 この変更にはユーザーのパッチ適用率を向上させる目的があったが、この目的は達成されたとは言い難かった。

 Project ZeroのマネージャーTim Willis氏は、「その背景にあった考え方は、もしベンダーが、ユーザーがパッチをインストールするための時間を長く取りたければ、90日の猶予期間のなるべく早い時期にパッチを公開することを優先するだろうというものだった」と述べている。

 「しかし実際には、パッチ開発のスケジュールには大きな変化は起こらず、私たちは今まで通り、ベンダーから多くのユーザーがパッチを適用していない状態で脆弱性やエクスプロイトに関する技術的詳細を開示することを懸念するフィードバックを受け取り続けた。つまり、パッチの導入を促進するために設けられたタイムラインであるという意図が明確に伝わっていなかったということだ」(Willis氏)

 Willis氏は、将来的には今回のシステムで定めた90日+30日の期間を短縮していく予定だが、まずはベンダーが現時点で対応可能な期限から始める必要があったと説明した。

 同氏はまた、「私たちが持っている脆弱性のパッチ公開までの時間を追跡したデータによれば、2022年には『84+28』モデル(期限を7で割れる数字にすることで、期限の最終日が意図せずに週末に掛かってしまうことを避けられる)に移行できる可能性が高い」とも述べている。

【ALSOK公式】アルソックの防犯・防災グッズ通販ショップ

ALSOK(アルソック)綜合警備保障が運営する公式オンラインショップ。「セキュリティの匠が選んだこだわりの逸品」を「子供・防犯・防災・スクール・女性防犯・健康」のカテゴリーでお届けします。

アンチウイルスソフトウェア - Wikipedia

複数のセキュリティソフトのインストールに関する問題点. セキュリティソフト(特にアンチウイルス)は、1台のパソコンに複数(2個以上)の製品を同時にインストールしないことが正常動作の基本条件である。

セキュリティエンジニア 専門学校 | 東京 | 日本工学院

情報セキュリティエンジニア専門学校の日本工学院は、インターネット社会を守る、ネットワークセキュリティ関連エンジニア・スペシャリストを育成する東京の情報セキュリティエンジニア専門学校です。

セキュリティエンジニア 専門学校 | 4年制| | 東京 | 日本工学院

セキュリティエンジニア・スペシャリスト専門学校の日本工学院は、進化するIT・コンピュータ社会に対応した4年制の学科を設置。高度なネットワークにおいて、情報セキュリティエンジニア・スペシャリストを育成する東京のセキュリティエンジニア専門学校。

Utmを月額1万円以下で 中小企業に向けた5つのセキュリティ製品とは:Ipaのお墨付きサービスでセキュリティ対策を ...

IPAが、中小企業のセキュリティ対策の促進に向けて「サイバーセキュリティお助け隊サービス」を開始した。コストやセキュリティ要件など一定の審査基準を設けて合致したサービスや製品をブランドとして管理する。

IPAが「サイバーセキュリティお助け隊サービス」として5つのサービスを登録し認定 | ScanNetSecurity

経済産業省と独立行政法人情報処理推進機構(IPA)は4月15日、2021年2月に策定した「サイバーセキュリティお助け隊サービス基準」を満たした5つのサービスを「サイバーセキュリティお助け隊サービス」として登録し、同日発表した。

セキュリティ技術の教科書 第2版 | IT資格試験の取得、IT人材育成は株式会社アイテック(iTEC)

「セキュリティ技術」全般の知識を身に付けたい 第1章から順にでも、興味のある章からでも、まずは本書全体をひととおり読んでください。 関連する項目同士は、互いに行き来しながら確実に理解していきましょう。

Onward Security社製のセキュリティ脆弱性スキャン自動化ツール「HERCULES SecDevice」の ...

ネットワーク製品用に特化したセキュリティ評価ツールであり、自動環境検出、ドッキング、およびテスト機能を搭載株式会社アスク(本社:東京都千代田区)は、台湾Onwa…(2021年4月19日 10時17分42秒)

Amazon.co.jp: usbメモリ パスワード付き

センチュリー パスワード入力型セキュリティusbメモリ usb3.0接続 64gb 『lock u (ロックユー)』 csul64g 5つ星のうち3.9 13 ¥16,336 ¥16,336

イベント・セミナー情報|ビジネス+IT

ITと経営の融合でビジネスの問題を解決するサイト。ソフトバンクグループのSBクリエイティブが運営。ニュースや記事、イベント、セミナー、事例、動画、ホワイトペーパーなどを掲載。

マカフィー リブセーフ - 家族全員インストール無制限!マルチデバイス対応【ベクターpcショップ】

マカフィー リブセーフは、家族みんなのパソコン・スマホ・タブレットをこれ1つで何台でも守ることができる、セキュリティソフトです。最新のマルウェア検出エンジンを搭載し、より強く、より軽くなりました。

ASCII.jp:テレワークのセキュリティ対策に。ウィルス感染や不正アクセスを防止するリモートアクセス「V-Warp ...

テレワークのセキュリティ対策に。ウィルス感染や不正アクセスを防止するリモートアクセス「V-Warp(ブイワープ)」初期費用0円で販売開始!

【新発売】マカフィー リブセーフ シリーズ【ベクターpcショップ】

マカフィー リブセーフは、家族みんなのパソコン・スマホ・タブレットをこれ1つで何台でも守ることができる、セキュリティソフトです。最新のマルウェア検出エンジンを搭載し、より強く、より軽くなりました。

PFU、主要セキュリティ施策とサイバー保険をセットにした「PCセキュリティみまもりパック」を提供 | IT Leaders

PFUは2021年4月15日、サイバー攻撃への主要なセキュリティ施策とサイバー保険を1つのパッケージにまとめたサブスクリプション型サービス「PCセキュリティみまもりパック」を発表した。同年5月末から提供する。専任の担当者がいない中小企業に適しているとアピールする。価格(税別)は、PC1台あたり月額750円。

Amazon.co.jp: キーボックス 暗証番号

セキュリティキーボックス 屋外 鍵収納ボックス 防水 ダイヤル式 暗証番号 大容量 操作簡単 ロックポケット 4桁 暗証番号 南京錠式 盗難防止 侵入対策 幅9.2cm 日本語説明書付き (ブラック)

フィンランド発"世界最強の鍵"と国産クオリティを組み合わせた高セキュリティオフィス家具「GeoPROTEC」半額購入 ...

Release No.871701|〜先着20社限定、導入事例へのご協力で「GeoPROTEC」を表示価格の半額で提供〜ジオメトリシステムズ株式会社(本社:東京都立川市、代表取締役:根岸 雅也、以下当社)は、当社が企画・販売している高セキュリ...

セキュリティ対策に能力発揮、「ニューロダイバーシティ」人材とは--米銀大手CISOに聞く - ZDNet Japan

バンク・オブ・アメリカの最高情報セキュリティ責任者(CISO)が、ニューロダイバーシティに配慮した人材の雇用やニューロダイバーシティ人材がサイバーセキュリティチームにもたらすメリットについて語った。

Onward Security社製のセキュリティ脆弱性スキャン自動化ツール「HERCULES SecDevice」の ...

株式会社 アスクネットワーク製品用に特化したセキュリティ評価ツールであり、自動環境検出、ドッキング、およびテスト機能を搭載株式会社アスク(本社:東京都千代田区)…

「フィンテックのセキュリティ強化を支援するpci 基準」~その概要と2021 年の取組み~ | ペイメントナビ

2021年4月19日8:00 2006年に設立された PCIセキュリテイ・スタンダード・カウンシル(PCI Security Standards Council :PCI SSC)は、PCI セキュリティ基準の開発、管理 […]

Veracode | セキュリティ | テクマトリックス株式会社

セキュアなアプリケーションをより早く開発するために. 開発者とセキュリティチームは、複雑化する開発環境の中でセキュリティの目標を達成することが求められています。. 開発者は多種多様なツールを管理する必要があり、ツールを切り替えるためにワークフローを中断することは、ますます困難な状況となっています。. 一方で、より多くの組織がアジャイルや ...

アプリケーションセキュリティへの着手: Scott Treacy - バラクーダネットワークス

トピック: ネットワークおよびアプリケーションセキュリティ、Barracuda Web Application Firewall 2021年4月15日、Scott Treacy Webアプリケーションの保護は困難です。ネットワークセキュリティの経験があっても、新しいスキルと言語を学習する必要があります。

Prisma Access(SASE)クラウドアクセスセキュリティ | Palo Alto Networks ...

ネットワークセキュリティ事業部 第2営業部 ネットワークプロダクツ営業2課. 03-4405-7813; テクマトリックス株式会社 西日本支店. ネットワークセキュリティ営業課. 06-6484-7486

霞が関のPPAP廃止会見受け、「GUARDIANWALL Mailセキュリティ・クラウド」に機能拡張と新サービスを ...

キヤノンマーケティングジャパン株式会社は4月15日、「GUARDIANWALLMailセキュリティ・クラウド」での添付ファイルZIP暗号化(PPAP)問題対策として機能拡張と新サービスの開発を発表した...

日経会社情報digital : 日経電子版

日経電子版の総合投資・金融情報コーナー。オンライン版の「日経会社情報」。株式・為替など国内外の最新マーケット情報に加え、各企業の最新ニュースやプレスリリース、株価・財務データ、銘柄管理ツールなどの便利機能を提供。各企業の人事・おくやみ情報も掲載。

書籍 | IT資格試験の取得、IT人材育成は株式会社アイテック(iTEC)

情報処理技術者・プロジェクトマネージャ・ネットワークスペシャリスト・情報セキュリティマネジメントの各種IT資格取得のアイテック。ITパスポート,基本情報技術者,応用情報技術者,情報セキュリティ, データベーススペシャリスト, システム監査技術者などの通信教育・eラーニング・講座 ...

Onward Security社製のセキュリティ脆弱性スキャン自動化ツール「HERCULES SecDevice」の ...

株式会社 アスクのプレスリリース(2021年4月19日 09時52分)Onward Security社製のセキュリティ脆弱性スキャン自動化ツール[HERCULES SecDevice]の取り扱いを開始

IT資産管理/セキュリティ管理統合システム「MCore Ver.7.5」を発売:紀伊民報AGARA

テレワークでのPC社外使用に最適なセキュリティポリシー適用・労務管理支援を実現住友電工情報システム株式会社は、IT資産管理/セキュリティ管理統合システムの最新版「MCore(エムコア) Ver.7.5...

【比較】ウイルスバスターvsZEROウイルスセキュリティ!乗り換えるならどっち? | 奈良人いっちーが行く|ならいく

名前をよく聞くトレンドマイクロ社のウイルスバスターと軽いと噂のZEROウイルスセキュリティ。どちらにしようか迷ってしまいますよね。 高性能でも激重だったり使いにくいし、軽い方が良いけど性能が悪すぎても嫌です。僕自身どっち ...

アイ・ラーニング、情報セキュリティ分野2コースが国家資格の特定講習に採択 | Ict教育ニュース

アイ・ラーニングは15日、同社が提供するセキュリティ研修2コースが、サイバーセキュリティ分野において唯一の国家資格である「情報処理安全確保支援士」(登録セキスペ)の特定講習に採択さ […]

COMMENTS


Recommended

TITLE
CATEGORY
DATE
レッドハット「Red Hat Enterprise Linux 9」–エッジ向け機能やセキュリティ強化
IT関連
2022-05-13 14:17
Next.jsのVercelがフロントエンドのクラウド化とサーバーレス化に向けて約113億円調達
ネットサービス
2021-06-28 15:03
いまだ複雑なクラウドに対するセキュリティの意識
IT関連
2022-02-16 09:07
AIは開発者とビジネスユーザーのコラボレーションを加速する
IT関連
2024-02-15 13:46
SkyDriveとスズキが「空飛ぶクルマ」事業・技術連携に関する協定締結、機体開発・製造・量産体制・インド市場開拓検討
IT関連
2022-03-23 14:09
川田工業、多言語対訳支援サービスを外国人作業員の安全講習などに活用
IT関連
2023-11-30 02:08
アクセンチュア、クリエイティブエージェンシー「Droga5」の東京オフィスを開設
IT関連
2021-05-20 03:44
ノーコードでAirtableを利用したウェブサイト・アプリの作成を簡単にするSoftrが2.3億円調達
ソフトウェア
2021-01-25 21:47
MariaDB社が投資会社「K1」に買収されると発表。CEOは交代、製品開発と提供は継続
MariaDB
2024-09-12 13:47
普及が進むリアルタイムデータ–持続可能な活用に向けた課題とは
IT関連
2023-11-21 10:17
ITエンジニアのための新刊案内(2023年7月): JavaScript Primer 改訂2版/プログラミング文体練習 /初めてのTypeScript、ほか
新刊案内
2023-07-07 08:38
「IIJセキュリティ教習所」に新任セキュリティ担当者向けの基礎コース新設
IT関連
2023-04-21 11:10
“モノ×コト”の組み合わせ、お客さまのその先を見据えて提案を–菱洋エレクトロ・中村社長
IT関連
2023-01-12 16:39
GitHub、プロンプトでコード生成やデバッグを指示できる「GitHub Copilot Chat」を個人ユーザーにも提供開始
GitHub
2023-09-22 09:55