2025年、Google Project Zeroがパッチギャップ削減のため報告透明性トライアルを実施

Google Project Zero、パッチギャップ解消に向けた「報告透明性」トライアルを発表

マウンテンビュー、カリフォルニア州 – 2025年7月 – Tim Willisが率いるGoogle Project Zeroは、**「上流パッチギャップ（upstream patch gap）」の削減を目的とした新たな「報告透明性（Reporting Transparency）」**トライアルポリシーを発表した。この取り組みは、上流ベンダーと下流依存者間の透明性を向上させ、エンドユーザーへのセキュリティ修正の提供を加速することを目指している。

ポリシー更新の主な内容

既存の90+30開示モデルでは、ベンダーは脆弱性に対処するために90日間の猶予が与えられ、修正が早期にリリースされた場合はさらに30日間のパッチ適用期間が追加される。新たなトライアルでは、早期公開通知システムが導入される：

• 脆弱性報告から1週間以内に、Project Zeroは以下を公開する：
  • 報告を受けたベンダーまたはオープンソースプロジェクト
  • 影響を受ける製品
  • 報告日および90日後の開示期限

Google Big Sleep（Google DeepMindとProject Zeroの共同プロジェクト）もこのポリシーを採用する。脆弱性報告はGoogle Big Sleep issue trackerで追跡される。

上流パッチギャップの課題

上流パッチギャップとは、上流ベンダーが修正をリリースしてから下流依存者がそれを製品に統合するまでの遅延を指す。このギャップは脆弱性のライフサイクルを大幅に延長し、パッチが利用可能になった後でもエンドユーザーがリスクにさらされる原因となる。

「エンドユーザーにとって、脆弱性はベンダーAからベンダーBにパッチがリリースされた時点で修正されるわけではありません。実際に修正されるのは、ユーザーがアップデートをダウンロードしてインストールした時点です」とWillisは説明する。「この連鎖を短縮するためには、上流の遅延に対処する必要があります。」

目標と期待される効果

報告透明性トライアルの主な目的は以下の通り：

• 上流の脆弱性に関する早期シグナルを下流依存者に提供し、透明性を向上させる。
• ベンダー間のコミュニケーション強化を促し、パッチ開発と適用を迅速化する。
• 修正がエンドユーザーに届くまでの時間（特に届かない場合）を公開で追跡可能にする。

Project Zeroは、このトライアルにより、より積極的なセキュリティエコシステムが構築され、重大な脆弱性の露出期間が短縮されることを期待している。

セキュリティへの影響と業界の反応

このトライアルは、未修正の脆弱性に初期段階で注目を集める可能性があるが、Project Zeroは開示期限前には技術的詳細、PoCコード、エクスプロイトにつながる情報は公開しないと強調している。このポリシーは攻撃者へのロードマップではなく、アラートメカニズムとして機能するよう設計されている。

「公平でシンプルかつ透明なポリシーのメリットは、少数のベンダーにとっての不都合を上回ると考えています。2025年の今、ソフトウェアに脆弱性が存在することは驚くべきことでも、警戒すべきことでもありません。エンドユーザーはこれまで以上にセキュリティアップデートを認識しており、複雑なシステムには脆弱性が存在することが広く受け入れられています」とWillisは述べた。

次のステップとモニタリング

トライアルとして、Project Zeroはポリシーの効果を綿密に監視し、必要に応じて調整を行う。最終的な目標は、脆弱性が上流のリポジトリだけでなく、エンドユーザーが日常的に使用するデバイス、システム、サービスでも修正される、より安全なエコシステムを構築することである。

セキュリティ専門家やベンダーは、トライアルの進展に応じてフィードバックを提供することが推奨される。詳細については、Project Zero Reporting Transparencyページを参照。