協調的脆弱性開示 (CVD)
協調的脆弱性開示 (CVD) とは何ですか?
協調的脆弱性開示 (CVD)発見者・影響を受けるベンダー、必要に応じて調整役が、脆弱性の公開時期について合意したうえで開示を行うプロセス。
協調的脆弱性開示(CVD、通称「責任ある開示」)は、研究者による脆弱性報告とベンダーの対応プロセスを体系化する枠組みです。一般的な流れは、セキュリティ窓口への非公開報告、受理とトリアージ、修正期限の合意(通常 60〜90 日)、パッチのリリース、その後に CVE 番号付きの公開アドバイザリと発見者へのクレジット表記です。コミュニケーションが難しい場合、各国 CERT、CISA、HackerOne などのプラットフォームが中立の調整役を担うこともあります。フルディスクロージャーに比べて、防御側のリスク露出期間を短縮しつつ修正動機を維持できます。実効性のある運用には、公開されたセキュリティ窓口、明確なポリシー、セーフハーバー条項、現実的な SLA が不可欠です。
● 例
- 01
security.txt や PSIRT メールアドレスを通じてベンダーへ報告し、90 日間の修正期限を合意する。
- 02
複数ベンダーが関与する脆弱性で CERT/CC や各国 CSIRT が調整役を務める。
● よくある質問
協調的脆弱性開示 (CVD) とは何ですか?
発見者・影響を受けるベンダー、必要に応じて調整役が、脆弱性の公開時期について合意したうえで開示を行うプロセス。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
協調的脆弱性開示 (CVD) とはどういう意味ですか?
発見者・影響を受けるベンダー、必要に応じて調整役が、脆弱性の公開時期について合意したうえで開示を行うプロセス。
協調的脆弱性開示 (CVD) はどのように機能しますか?
協調的脆弱性開示(CVD、通称「責任ある開示」)は、研究者による脆弱性報告とベンダーの対応プロセスを体系化する枠組みです。一般的な流れは、セキュリティ窓口への非公開報告、受理とトリアージ、修正期限の合意(通常 60〜90 日)、パッチのリリース、その後に CVE 番号付きの公開アドバイザリと発見者へのクレジット表記です。コミュニケーションが難しい場合、各国 CERT、CISA、HackerOne などのプラットフォームが中立の調整役を担うこともあります。フルディスクロージャーに比べて、防御側のリスク露出期間を短縮しつつ修正動機を維持できます。実効性のある運用には、公開されたセキュリティ窓口、明確なポリシー、セーフハーバー条項、現実的な SLA が不可欠です。
協調的脆弱性開示 (CVD) からどのように防御しますか?
協調的脆弱性開示 (CVD) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
協調的脆弱性開示 (CVD) の別名は何ですか?
一般的な別名: CVD, 責任ある開示。
● 関連用語
- attacks№ 133
バグバウンティプログラム
組織が外部の研究者に脆弱性報告を呼びかけ、影響度に応じて報奨金を支払う公式制度。
- vulnerabilities№ 1216
脆弱性
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
- vulnerabilities№ 259
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
- forensics-ir№ 524
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
- defense-ops№ 802
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。
- defense-ops№ 1217
脆弱性評価
通常は実際の悪用を伴わずに、環境内のセキュリティ上の弱点を体系的に特定・分類・優先順位付けする調査。
● 関連項目
- № 1234ホワイト ハット ハッカー
- № 451グレー ハット ハッカー
- № 390エシカル ハッカー