製品開発者は“バグハンター”と情報共有を

10月5日から10日まで、東京・新宿の京王プラザホテルでセキュリティカンファレンス「Black Hat Japan 2008」が開催されるが、今年から同イベントにマイクロソフト日本法人もスポンサーとして協賛することになった。 Black Hatのようなセキュリティコミュニティとマイクロソフトの関係は、いわば「バグハンターと、ハントされる立場の関係」（マイクロソフトのチーフセキュリティアドバイザーである高橋正和氏）。それがなぜ協賛するに至ったのか、経緯や意図を聞いた。 ● “バグハンター”とともにセキュリティ問題を考えることの意義 高橋氏はまず、製品を開発するエンジニアたちが“セキュリティホール”ではなく“脆弱性”という言い方を用いることを挙げる。これは、たとえ製品にセキュリティ面から見て弱い部分があったとしても、穴が空いている状態だとの認識ではなく、「踏まなければ壊れない」と考えているから

[mi1kman]

「Microsoft Vulnerability Research（MSVR）」という新たな制度を発表した。」/「同様の取り組みはすでに、AppleのWebブラウザ『Safari』とWindows Vista/XPの組み合わせで脆弱性が見つかった時などに行われていたという。」