「90日間の脆弱(ぜいじゃく)性開示ルール」はGoogleの脆弱性調査チーム「Project Zero」が定めた「脆弱性発見から90日以内に修正パッチを公開できなければ詳細を公表する」というもので、セキュリティ業界で標準とされることがあります。しかし、セキュリティ研究者のヒマスヌ・アナンド氏は、このルールがAIの台頭やソフトウェアの複雑化などにより事実上崩壊しつつあると指摘しています。
the 90 day disclosure policy is dead :: Himanshu Anand :: Threat Notes
https://blog.himanshuanand.com/2026/05/the-90-day-disclosure-policy-is-dead/
「90日間の脆弱性開示ルール」はGoogleのセキュリティチームであるProject Zeroが2014年頃から積極的に推進してきた脆弱性開示ポリシーで、ソフトウェアの脆弱性を発見した際には速やかに開発企業に脆弱性を知らせ、修正パッチの作成・配布に60~90日間の猶予を与えるというものです。猶予期間終了までに修正パッチが配布されない場合には、Project Zeroの公式ブログで脆弱性が発見されたことを公開することで、ユーザーを危険にさらしたままにしないためのルールとなっています。
Googleの超優秀バグハンターやハッカーの神童が集結したドリームチーム「Project Zero」とは? – GIGAZINE
企業に迅速な対応を促すこのルールは、「責任ある開示」の代表例としてセキュリティ業界に定着し、多くのIT企業や研究者コミュニティに採用されました。しかしアナンド氏は「このルールが適用できる時代は終わりました」と指摘しています。
アナンド氏によると、90日の猶予期間を与えるルールはバグ発見報告がまれで、さらに発見されたバグを利用して攻撃するエクスプロイトの開発に時間がかかっていた時代に作られたものであるそうです。例えば2019年頃に重大なバグを発見した場合、同じバグを発見した人が他にもいることはごく珍しく、企業に報告すれば90日の猶予期間内にパッチが適用されるより早くそのバグが悪用される可能性は高くありませんでした。
しかし、現代では高度に発達したコーディングAIによりバグ発見もエクスプロイト開発もごく短時間で可能になっています。重大なバグを報告したら全く同じ報告が数十件届いていたというケースもしばしばあり、善意の報告者だけが同じようにバグを発見していたわけではないと考えると、90日の猶予期間は「悪意ある発見者がバグを悪用できる90日の先行期間」となっているとアナンド氏は指摘しました。
アナンド氏は具体的な例として、解決済みのセキュリティ問題に関するブログを見て、セキュリティパッチを動作するエクスプロイトに変換するのがどれくらいの手間なのか実験した経験を語っています。パッチを理解して脆弱性を特定し実際に動作するエクスプロイトに変換するには、過去の一般的な作業では数日から数週間を要しましたが、AIを活用することで30分で完了したそうです。
そのためアナンド氏は、「90日間の脆弱性開示ルールは改革が必要でも微調整が必要でもなく、死んだルールです。AIによりバグ発見とエクスプロイト変換が爆速になった場合、このルールは一体何を保護しているのでしょうか」と語っています。
さらに、同じ理由で毎月セキュリティアップデートを実施する「月次パッチサイクル」も死んでいると考えられるとのこと。脆弱性の発見から最大で30日間修正までの猶予期間を与える月次パッチサイクルは、攻撃者がエクスプロイトをリリースするサイクルがそれより遅いという前提に基づいていました。
アナンド氏は、時代遅れの90日ルールではなく、「あらゆるバグを優先度最高の『P0』として扱い、ただちにパッチを適用する」という必要があると述べています。無理な要求に聞こえるとしても「セキュリティ問題の報告があったらただちに修正に取り掛かり、数時間以内に完了する」ことが唯一の解決策だと言えるそうです。
この記事のタイトルとURLをコピーする
ソース元はコチラ
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。