ニュース

米Microsoft、アプリ開発者に発見後180日以内の脆弱性修復を義務付け

~修復できない場合、ストアから削除する罰則を明記

 米Microsoftは9日.Microsoftのアプリストアに登録しているサードパーティー開発者に対し、アプリケーションの脆弱性が発見された場合、180日以内の修復を義務付ける新セキュリティーポリシーを発表した。

 180日以内に修復を完了できない場合、ストアからの削除する罰則も明記されている。ここでのストアはWindows Store、Windows Phone Store、Office Store、Azure Marketplaceを指す。ポリシーは今回の発表と同時に発効する。

 新セキュリティーポリシーでは、「アクティブな攻撃を受けていない場合、マイクロソフトセキュリティレスポンスセンター評価システムで緊急または重要と評価されるセキュリティ脆弱性については、開発者は修復のため最長180日の猶予が与えられる。アップデートされたアプリは、問題を再現する最初の報告から180日以内にストアに提出されなければならない」と明記された。

 「我々は開発者がすべての脆弱性への対処を、180日よりはるかに速く行うと期待している。これまでには、この期限を超過しそうなアプリすら存在しなかった」とし、十分に妥当な時間であることを強調している。

 その上で、新セキュリティポリシーは既存の開発者との合意を変更するものではなく、既存ルールにおいてもMicrosoftはアプリを削除する権利を留保していると説明している。

 Microsoftは今回のセキュリティポリシーについて、消費者がオンラインストアで提供されているソフトウェアが安全だと確信してもらいたいからだと説明している。

 Windowsストア登録アプリ数は、現時点で10万を超えたばかりだ。一方で、アプリ数でははるかに上回る米AppleのApp Storeや米GoogleのGoogle Playには、明文化された同種のセキュリティーポリシーは見当たらない。今後同様のセキュリティーポリシーがAppleやGoogleでも採用されるかか注目される。

(青木 大我 taiga@scientist.com)