今年の8月から9月にかけて、paperboy&co.が運営する「ロリポップ!レンタルサーバー」にて運用されていたWordPressサイトが多数改ざんされるという問題が発生しましたが、それを受けた対策の一環として脆弱性の報告を社外から受け付ける窓口を設置するという発表がありました:
- [公式発表]当社サービスにおけるセキュリティ強化対策に関するご報告 – 株式会社paperboy&co.
- [公式窓口]脆弱性報告制度 – 株式会社paperboy&co.
業界の超大手、例えばMicrosoft、Google、Facebookなどはこういった窓口を設けていますが、一般のサービス運営会社では「脆弱性専門の報告受付窓口」を持っているところはあまりありません。このようなことから、脆弱性があったとして、どのように対応するのかが分かりづらく、結果として報告されずに放置され、事故となるまで発覚しない(下手をすると改ざんや漏えいが起こったことに気付いていない可能性も…)という問題が起こりえる現状があります。
そんな中でpaperboy&co.は、セキュリティ強化をする取り組みとして、こういった問題を脆弱性のレポートを専門に受け付ける窓口を設けて対応するとのことで、意欲的な取り組みだと思います。
脆弱性の調査を行うサービスを行っている会社を検索でいくつか探し、その会社自体が脆弱性のレポートを受け付ける窓口を持っているかどうか見てみたのですが…。見逃しているだけなのかもしれませんが、少なくともわかりやすい範囲にはそういったものを設けているところはあまりないように見受けられます。脆弱性を専門とする会社ですらこの状況ですから、ニュースサイト運営会社やサービス運営会社となると…、といったところです。改めてみてみると結構残念な感じです。
各社とも、もう少し脆弱性に目を向けて、今少し積極的な対応策を講じることが求められていると思います。paperboy&co.のこの取り組みが、きっかけとなるといいのですが…。