2023年10月2日、各SNSで楽天グループがWEBサーバーに「security.txt」と呼ばれるテキストファイルを置き、脆弱性に関する情報の受付窓口としてVDP(Vulnerability Disclosure Program、脆弱性開示プログラム)を開始したという話題が流れました。
その後、楽天の広報は、これを「事実である」と認めたことで、セキュリティ問題へのさらなる話題を提供しました。
脆弱性の早期発見に繋がるsecurity.txt
security.txtとは、導入している企業が提供する製品やサービスの脆弱性情報を見つけた第三者が、それを報告するための窓口となるテキストです。
security.txtを導入しておけば、発見者は迷うことなく発見した脆弱性を報告しやすくなります。しかし、security.txtが導入されていないケースでは、発見者が連絡先を見つけられず、わざわざそれを探し当ててでも報告するのを面倒と感じてしまい、報告をやめてしまうこともあるのです。
また、それでも発見者が「どうにかしてこの情報を伝えよう」といった善意の意志にもとづいて行動した場合、顧客窓口や営業担当などに連絡するケースが増えてしまいます。
これでは、セキュリティ担当者に伝わるまでに多くの人がその情報に触れてしまうということをあらわします。その結果、脆弱性情報が外部に漏れてしまうリスクが、飛躍的に高まってしまうでしょう。
「対策される前の脆弱性情報は、必要最小限の人以外には出来る限り伝えるべきではない」これは、セキュリティに関わる重要な基本事項です。
こうした観点からも、security.txtの導入は脆弱性の発見を早め、第三者に脆弱性を悪用されるリスクを減らし、同時に正しい窓口以外へ脆弱性情報が届いてしまうリスクも減らすことに繋がります。
日本でsecurity.txt導入が進まない理由
security.txtはApple、Google、GitHub、IBMなどアメリカを中心とした海外の大手IT企業は既に導入していますが、日本ではまだ一部の企業以外では導入事例はありません。
その理由としては、主に次の3つが考えられています。
- security.txt自体が周知されていない
- 導入にリスクを感じている
- 先行する受付窓口がある
現在、国内企業でsecurity.txtを導入している企業は、楽天グループを含め数社しか確認されていません。
そのため、多くの企業はsecurity.txtについてそもそも知っていないというのと同時に、導入例が少ないためそこにリスクがあると感じているようです。
security.txtには、連絡先(Contact)と有効期限(Expires)を記載しなくてはなりません。この連絡先には、連絡用フォームのURL(Uniform Resource Locator)やメールアドレス、電話番号などを利用しなければならず、フィッシングメールやマルウェア付きメールが届く可能性をはらんでおり、そうなってしまえば業務に悪影響を及ぼしてしまいます。
こうした懸念から、security.txtの周知が進んでいない日本では、リスクを抱えて先行導入するよりも、先行企業の動向を見ながらタイミングを計りたいという企業の思惑もあるようです。
また、日本では、2004年に「情報セキュリティ早期警戒パートナーシップガイドライン」にのっとり整備された、ソフトウェア製品やサービスに関する脆弱性情報の届出先が既に整っています。
これは、ソフトウエア製品の脆弱性であればJPCERT/CCがベンダーに、サービスの脆弱性であれば情報処理推進機構(IPA)がサイト運営者にそれぞれ連絡し、対応方法や公開時期を調整する仕組みのことです。
さらに、届け出があった脆弱性情報については、IPAとJPCERT/CCが運営する、脆弱性を取りまとめたポータルサイトの「JVN(Japan Vulnerability Notes)」に掲載するなどした対応がなされていました。
こうした先行制度がある中で、「わざわざリスクを取ってまでsecurity.txtを導入する意味はない」というのは、多くの企業としての本音でしょう。
security.txt導入にかける楽天グループの思惑
これに対して楽天グループの広報は、今回のグループでのsecurity.txt導入を、「セキュリティー強化の断続的な取り組みの1つとして、security.txtを導入した」と発表しています。
つまり、脆弱性に関する情報を発見者からダイレクトに自社に届けられる仕組みを作っておくことで、脆弱性情報をいち早く把握し、利用者への影響を最小限に留められる。これが楽天グループがsecurity.txt導入に踏み切った理由のようです。
そしてそこには、楽天グループの製品やサービスの信頼性向上に繋がり、顧客ロイヤリティを高めることにも繋がっていくという思惑があるでしょう。
security.txtを設置するのであれば、当然ながら脆弱性の解消に素早く適切に対処する体制の整備・運営は欠かせません。しかし、それさえ整えられれば、セキュリティを高めるために必要となる様々なコストは、かえって少なく済むでしょう。
楽天の今後の発表に注目するとともに、今は様子見の企業においても、security.txtの導入は自社製品やサービスのセキュリティを強化する施策として、検討する価値は十分にあるのではないでしょうか。