水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 情報システム等の脆弱性情報の取扱いに関する研究会 報告書

情報システム等の脆弱性情報の取扱いに関する研究会 報告書

2006年5月23日(火曜日)

情報システム等の脆弱性情報の取扱いに関する研究会 報告書

というわけで報告書が公開されているようです。しかし……

また、ウェブアプリケーションの場合、ソフトウェア製品とは異なり個別の案件の修正結果などを公表はしておらず、このため、発見者に謝辞を記す機会がない現状にある。このため、発見者に対して謝意を示す観点から、競争を煽ることのない範囲で、IPA の四半期レポートにおいて希望する発見者の氏名等を紹介することなどの方策をとることが適当である。

この結論はどうなんでしょうね。

現状の届出制度の問題点はいくつかあると思いますが、特に私が気になっているのは以下の二点です。

個人的には、脆弱性の存在が明るみに出ないことがつらいです。逆に、どんな脆弱性があってどんな風に直ったか、そういうことが公開されると非常に嬉しく感じます (これについては IPAX 2006 でも話したわけですが)。自分の名前が出るかどうかはどうでも良いと思っています。

あと、やはり届出が面倒くさいという人が多いです。「あの届出フォームに書くのは面倒ですか?」と聞かれたりしましたが、あらためてはっきり断言しますと、面倒です。フォームに関して半径50m以内から出てきた意見としては、

といったところ。で、その話はさらに盛り上がって、「IPAツールバー」を作ってワンクリックで届出できるようにしよう、などという話も出てきたり……。

いずれにしても、発見者の名前を出すというのは改善の方向としてはどうかと思うのですが、それは私だけかなぁ。

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / フレーム

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト