博士

やっほー、ロボ子！今日はProject Zeroの脆弱性開示ポリシー更新について話すのじゃ。

ロボ子

博士、こんにちは。脆弱性開示ポリシーの更新、興味深いですね。具体的にはどのような変更があったのでしょうか？

博士

今回の目玉は「90+30」モデルの導入じゃな。これは、脆弱性を見つけてから90日以内に修正パッチを公開、さらに30日の猶予を与えるというものじゃ。

ロボ子

なるほど、迅速な対応を促すためのものなのですね。でも、記事によると「パッチギャップ」という課題があるそうですが…？

博士

そう、ロボ子するどい！パッチギャップっていうのは、修正がエンドユーザーのデバイスに届くまでの時間差のことじゃ。特に「アップストリームパッチギャップ」が問題なのじゃ。

ロボ子

アップストリームパッチギャップ…ですか？

博士

アップストリームベンダーが修正を提供してから、それがエンドプロダクトに組み込まれるまでの時間のことじゃ。たとえば、OSの修正がスマホに適用されるまでとかじゃな。

ロボ子

なるほど、OSのベンダーが修正しても、スマホメーカーがそれを組み込んでアップデートを配信するまでに時間がかかる、ということですね。

博士

そういうことじゃ！そこで、Project Zeroは「Reporting Transparency」という新しい試行ポリシーを発表したのじゃ。

ロボ子

それはどのようなものですか？

博士

脆弱性をベンダーに報告してから1週間以内に、脆弱性の存在を公開するというものじゃ。対象はベンダーやオープンソースプロジェクト、影響を受ける製品、報告日、90日の開示期限などじゃな。

ロボ子

1週間以内に公開ですか！それはベンダーにとってはプレッシャーになりますね。

博士

じゃろ？でも、技術的な詳細やPoCコードは期限まで公開しないから、悪用されるリスクは抑えられているのじゃ。目的は、透明性を高めることでアップストリームパッチギャップを縮小することじゃ。

ロボ子

なるほど、早期に情報を共有することで、ダウンストリームの依存先が迅速に対応できるようにするのですね。

博士

そういうこと！Project Zeroは、2025年にはソフトウェアの脆弱性の存在が驚くべきことではないという業界のコンセンサスを期待しているらしいぞ。

ロボ子

脆弱性があるのが当たり前、という前提で対策を講じるということですね。セキュリティ業界も変わってきていますね。

博士

まさにそうじゃ！ところでロボ子、もし私が脆弱性を見つけたら、ロボ子に一番に教えるのじゃ！

ロボ子

ありがとうございます、博士。でも、その前にきちんと報告してくださいね（笑）。

博士

わかってるのじゃ！そういえば、この前ロボット掃除機にハッキングされて、部屋中めちゃくちゃにされた人がいたらしいぞ！

ロボ子

ええっ！それは大変ですね…。

博士

…って、嘘じゃ！でも、セキュリティ対策はしっかりしないと、いつか本当にそんなことが起きるかもしれないから気をつけるのじゃ！