誰が責任を取る？　ランサムウェアWannaCryの被害拡大

ゼロデイ脆弱性の公表

　政府機関が、OSやネットワーク機器などのゼロデイ脆弱性を知った際、どれを備蓄するかは、「Vulnerabilities Equities Process （VEP）」という手続きを経て決められるという。

　2014年、OpenSSLの脆弱性「Heartbleed」が見つかった際、Bloombergが、NSAは知りながら公表せず、2年間、活動に利用していたと報じた。この報道に対して、ホワイトハウスのサイバーセキュリティ・コーディネーターで特別補佐官のMichael Daniel氏が反論し、「脆弱性の公表は確立された原則、厳格、かつハイレベルな意思決定プロセスに基づいて行われている」と述べ、VEPの存在が明らかになった。

　MIT Technology Reviewによると、VEPは2010年には既に存在していたが、2014年まで秘密にされていた。その後、プライバシー擁護団体の電子フロンティア財団の情報公開要求に応じてVEPの概要が部分的に公開されたが、公表可否をどのように判断しているかは、依然としてはっきりしないままだという。

　Daniel氏は、「実際の判断は、テロ防止よりも公開する方に偏っている」と述べたが、言葉通りに受け取っているメディアは少ないようだ。MIT Technology Reviewは「不幸なことに、透明性と説明責任の面で、今後よくなる見込みは薄いように思われる」と論評している。