脆弱性開示の倫理原則

エラーや脆弱性は、複雑なITシステム、ソフトウェア、ハードウェアの開発において、ほぼ避けられないものとなりました。こうしたエラーは、ソフトウェアまたはハードウェアの開発元の社員や技術者ではなく、社外のリサーチャーによって発見されることもしばしばです。エラーや潜在的な脆弱性を取り除くことは、強固なサイバーセキュリティを実現する上での鍵であり、当社のリサーチャーとエキスパートが取り組むところでもあります。このとおり、エラーや不具合の主な発生源である人間もまた、速やかな検知と修正を行うための鍵となる要因なのです。同時に、このエラー修正のプロセスが、問題解決ではなく新たなリスクや不具合を生む可能性があることも、認識することが重要です。

Kasperskyは、脆弱性の責任ある開示（Responsible Vulnerability Disclosure：RVD）、すなわち他組織のシステムに脆弱性を発見した際に私たちが従うプロセスにおいて、明確で透明な倫理原則を順守します。当社の5原則は、23年以上にわたる当社の世界各地における取り組みに根差し、さまざまなベストプラクティス、特にForum of Incident Response and Security Team（FIRST）の倫理規定（Code of Ethics）から継続的に触発されています（リンク先は英語）。いかなる場合においても、私たちはユーザー（Kasperskyの製品およびソリューションをご利用いただいている方々および組織）の安全と安心を最優先事項とします。

同時に、私たちはあらゆる当事者、すなわち脆弱性を抱えた製品の開発元である個人または組織、その顧客（脆弱性による影響を被る可能性のある人々）、およびサイバーセキュリティ業界全体の利益を尊重します。

この原則に従うことで、私たちは、より安全な情報通信技術（ICT）のエコシステム構築を、透明で、責任ある、一貫した形で行うことができます。しかし、このような取り組みをIT業界全体で機能させるためには、他のベンダー、そのユーザー、独立系リサーチャー、規制機関、そして利害関係にあるその他組織も、同様の意識を指針として持たなければなりません。そこで私たちは、他社製ソフトウェアにて発見した脆弱性の責任ある開示に関する当社の原則を公開するという決断に至りました。私たちは先を行き続けます。

原則1：信頼関係を築く

情報セキュリティの根幹には、ある程度の不信感が存在します。しかし、信頼を欠いた脆弱性開示は機能しません。したがって、私たちは関係者全員が善意を動機とするものとの前提に立っています。とは言え、当然ながら、行動の連携を図り、脆弱性による被害を低減するために、時間と努力を重ねます。信頼するが、検証はするということです。私たちは脆弱性に関する情報を、面白半分に、あるいは野心のために公開するのではなく、ユーザーと社会の利益と安全のために公開します。

原則2：影響を受ける当事者へ最初に知らせる

脆弱性の開示は複雑なプロセスであり、関係者から回答がない、または連絡が取れないなど、問題が多々発生する可能性があります。そうした問題を抱えながらも、影響を受けるベンダーに正確な情報を速やかに提供することは不可欠です。私たちはまず、当事者たるベンダーと共に、脆弱性を排除してユーザーのリスクを最小限に抑えるための取り組みを調整します。そのためには、ベンダーの側にて、脆弱性に関する情報を報告および処理するための明確で透明性のある方法を提示していただく必要があります。なお、この点におけるKasperskyの取り組みについては、以下をご覧ください。

• Vulnerability Report: Report a vulnerability – Safe Harbor Terms（英語）
• Kaspersky Bug Bounty Program – Policy（英語）

原則3：連携して取り組む

言うまでもなく、脆弱性はそれぞれ性質が異なります。1つの製品のユーザーにとって脅威となる脆弱性もあれば、複数の関係者に影響を及ぼす脆弱性（複雑なサプライチェーンを持つ国際的企業が関係する場合など）もあります。重要インフラや公的機関のネットワークに影響する脆弱性であれば、国家の安全が脅かされる可能性があります。また、リサーチャーおよびベンダーだけが当事者ではありません。規制機関、顧客、独立系リサーチャー、ホワイトハットハッカーが関与する場合もあります。当事者全員が効果的に連携できるよう、当社は国際的なベストプラクティス（たとえば、脆弱性開示に関する標準のISO/IEC 29147:2018）に従っており（リンク先は英語）、特に、全当事者が十分に時間をかけて脆弱性の徹底的な解析と修正プログラムの開発を実施できるように配慮しています。

原則4：必要に応じて秘密性を保つ

脆弱性の技術情報を公開するタイミングが早すぎると、攻撃者に利用されてしまう恐れがあります。そうした理由から、軽減手段を開発する立場にある当事者へ情報を内密に共有した後、最も信頼性および安全性の高い通信チャネルを通じてやりとりを行います。また、同様の理由から、開示の条件についてベンダーと協議します。しかし、ベンダーから返答がない場合は、脆弱性の深刻度と規模、そしてリスクの緊急性に応じて、当社のコミュニケーションチャネルを通じて開示を行います。その際は、社内ポリシー、地域の法令、業界のベストプラクティスに従い、全過程を通じて当該ベンダーへ継続的に情報を提供します。

原則5：望ましい行動を奨励する

業界の取り組みをよそに、サイバー犯罪者は脆弱性を探し求め、見つけ出します。したがって、責任を持って脆弱性を報告し、責任ある開示に際しての業界のベストプラクティスに従う一人一人を、表立って支援することが重要であると私たちは考えています。

脆弱性の開示を守るために

すべての当事者が同様の倫理原則に忠実であれば、ICTエコシステムを、より安全なだけでなくユーザーにとっていっそう健全で予測可能なものにするために、一丸となって取り組むことができる。私はそう確信しています。私たちはユーザーのために働いているのですから。

当社の責任ある脆弱性開示の倫理原則、および透明性への取り組みの詳細については、以下をご覧ください。

• 責任ある脆弱性開示の倫理原則
  『Kaspersky’s ethical prinsiples in Responsible Vulnerability Disclosure』（英語PDF）
• 透明性への取り組み
  Global Transparency Initiative（英語）
  透明性への取り組み（概要）