米国 Google は同社の公式 Blog のひとつである Online Security Blog で、「Project Zero」と呼ばれる、スタッフをそろえたセキュリティチームの結成を発表した。

Google ではこれまで、同社の製品を安全にするため、多大な投資を行ってきたが、自社製品以外にも、Heartbleed のようなバグの発見につながる、インターネットを安全にする研究にも、社員が興味を持つようにしてきた、という。

インターネットは、ますます危険な場所になりつつある。ユーザーは、Web を使用する際、ソフトウェアのバグが悪用されて、自分のコンピュータがウイルスに汚染され、秘密を盗まれたり、通信を監視されたりするのではないか、という恐怖をすくなからず抱くようになった。

また、人権擁護活動家に対する攻撃や、産業スパイ活動のなかにさえ、「ゼロデイ」脆弱性が使われるようになった。Google は、ソフトウェアの脆弱性を利用した「ゼロデイ」攻撃問題ではもっと多くのことができるはずだと考え、専門チームを結成することにしたのだという。

Project Zero の目標は、標的型攻撃によって被害を受ける人々の数を激減することであり、そのために、実践的志向を持ったセキュリティ研究者をフルタイムで雇用し、インターネット全体のセキュリティを改善する。

Google は、このプロジェクトに何か特別な境界線を引くつもりはなく、どんなソフトウェアであれ、多くの人々が使っているものは、セキュリティの改善に努める。脆弱性が多数存在する場所を突き止め、報告するという、標準的な手法を使うが、それに加え、緩和やプログラム解析など、研究者が投資する価値と決めた、新しい研究も行うそうだ。

また、チームが発見したバグは外部データベースに提出されるが、バグのあったことはソフトウェアベンダーのみに報告し、バグレポートが公になるまで(典型的にはパッチが利用できるようになるまで)、第三者には公開しない。

チームはまた、バグレポートを、できる限りリアルタイムに近いタイミングでベンダーに送り、合理的な時間内でユーザーに対して修正を行うため、ベンダーと共同で作業することを約束するそうだ。

というわけで、Google チームでは、セキュリティの知識のある人材を募集中である。Project Zero は、セキュリティの研究者が自分の好きな研究を、オープンに、邪魔されずにできる場所だ、と Google。