Dropboxがセキュリティ技術者の権利を守るための脆弱性公開ポリシーを設定

By Ian Lamont

オンラインストレージサービスを運営しているDropboxでは脆弱性報奨金制度を行っており、報告の内容によっては最高で約3万3000ドル(約350万円)の報奨金を支払う制度を導入しています。しかし、昨今のセキュリティ研究者は脆弱性情報を公開することで「企業に損害を与えた」として訴訟されるケースがあり、セキュリティ技術の発展を妨げている状況にあるとDropboxが指摘しています。そこで、Dropboxはセキュリティ研究者を守るための脆弱性公開ポリシー(VDP)を更新し、他企業でも利用できるようにテンプレート化したとのことです。

Protecting Security Researchers | Dropbox Tech Blog
https://blogs.dropbox.com/tech/2018/03/protecting-security-researchers/

Dropboxによると、セキュリティに関する出版物や研究、報告などには、現状以下のようなリスクが存在すると説明しています。

・訴訟を提起されるリスク
・「脆弱性を公開する行為」や「研究者の人格」を公然と非難されるリスク
・善意で行われたはずのセキュリティ研究が、法律上で誤った解釈をされ犯罪行為として認定されるリスク
・法律やビジネスを悪用して研究者を脅迫し、研究成果などを公開できないようにすること

Dropboxは、これらのリスクがセキュリティ技術の発展をもたらすセキュリティコミュニティの活動を妨げることになると問題提起しています。最近では、パスワード管理ツールの脆弱性を報じたメディアがメーカーから訴訟されたこともあり、Dropboxは上記のような脅迫行為ともとれる行動を行う企業が増えていることに違和感を感じているそうです。

By Adrian Scottow

そこで、DropboxはVDPの変更に着手し、セキュリティ技術者の保護を行うため、以下8点の条項を盛り込んだとのことです。

1.外部のセキュリティ研究を歓迎することを明文化
2.このVDPに基づいて実施されたセキュリティ研究であれば、仮にDropboxに損害を与えたとしても法的措置をとらないこと
3.コンピューター犯罪取締法(CFAA)を遵守し、このVDPに準拠した行動であれば正当な行為であることを明文化
4.このVDPに準拠した行為であれば、デジタルミレニアム著作権法(DMCA)による著作権侵害行為としての責任を研究者に負わせることはないこと
5.仮に第三者が法的措置を開始した場合は、研究者がVDPに従って行動し、Dropboxが認可した行為であることを証明すること
6.Dropboxが報奨金の支払いで不当に低い金額を提示または交渉を行わないこと
7.研究者が不注意にシステムの機密情報など脆弱性とは関係ないデータにアクセスしてしまった場合、Dropboxが適切な対処方法を指示すること
8.Dropboxが脆弱性の対策に必要な時間を経過するまで、情報の公開は行わないこと

Dropboxは、バグの報奨金を研究者の口止め料として使用することはないとのことです。これを示すためVDPには脆弱性情報の公開に関する制限は最小のものとしており、脆弱性対応の期間経過後であれば、情報公開に制限は設けていないようです。そして、Dropboxが公開しているVDPは他社でも簡単に流用できるようにテンプレート的に使用できる内容にもなっているため、多くの企業で採用できるようにしているそうです。

DropboxはこのVDPが多くの企業で採用されることになれば、業界全体でセキュリティ研究者を守ることができ、セキュリティ技術の発展につながると説明しています。