楽天グループが2023年10月2日、Webサーバーにsecurity.txtを設置し、脆弱性情報の受付窓口としてVDP(脆弱性開示プログラム)を開始したことがSNSで話題になった。同社広報はこれを事実だと認めた。
日本有数のIT企業である楽天グループが「Webサーバーにテキストファイルを設置?」「脆弱性情報の受け付けがなぜ関係するの」と思った人もいるだろう。このsecurity.txtは、米Apple(アップル)や米Google(グーグル)、米GitHub(ギットハブ)、米IBMなど、IT関連の製品やサービスを提供する海外企業はすでに導入しているものだ。
一方、国内企業でsecurity.txtを導入している企業は少ない。security.txtとは何か、脆弱性情報の受け付けとの関連性、国内企業ではなぜ普及していないのか、順番に見ていこう。
security.txtがセキュリティー向上につながる理由
楽天グループが設置したsecurity.txtの内容を開くと、連絡先(Contact)や有効期限(Expires)、謝辞(Acknowledgments)などが並ぶ。
security.txtは、当該企業が提供する製品やサービスの脆弱性情報を見つけた人が通知する窓口を示すためのファイルだ。インターネット技術の標準化を行う団体IETF(Internet Engineering Task Force)が発行する仕様書RFC 9116で規定されている。
RFC 9116では、security.txtの設置場所をWebサイトの「/.well-known/」の下に指定している。必ず記載する情報は連絡先と有効期限で、連絡先には連絡用フォームのURLやメールアドレス、電話番号などが入る。また改ざんを防ぐために、正規の設置場所(Canonical)を示すとともに、ファイルに電子署名を行い、利用する際にsecurity.txtを検証できる仕組みも用意されている。
security.txtを導入すれば、脆弱性の発見者は迷うことなく、正しい窓口を把握しやすくなる。発見者が連絡先を見つけられず、報告をやめてしまうケースを減らせる。
加えて、第三者に脆弱性を悪用されるリスクを低減できる。正しい窓口以外に脆弱性の情報が届きにくくなるためだ。JPCERTコーディネーションセンター(JPCERT/CC)の戸塚紀子早期警戒グループ脆弱性関連情報コーディネーターは、「脆弱性情報はできるだけ必要最低限の人だけに伝わるべきだ」という。security.txtがないと、脆弱性の発見者は顧客窓口や営業担当などに連絡するケースが増える。しかるべき担当者に伝わるまでに多くの人が情報に関われば、それだけ脆弱性の情報が広まりやすくなる。
こうした理由から、security.txtを導入すればセキュリティー向上につながるとされる。
