水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 脆弱性に関わる人の立場と目的

脆弱性に関わる人の立場と目的

2009年12月14日(月曜日)

脆弱性に関わる人の立場と目的

公開: 2009年12月19日2時15分頃

Security Wars: エピソード 1 -ハッカーと暗黒面- (technet.microsoft.com)」。弁護士である高橋郁夫さんのコラム。WASFのときに話されていた事とも内容は重なりますね。

暗黒のハッカーは、実際に侵入したとしても、「ファイル等に対して実際に変更を加えなければ、困ることはない。むしろ、その脆弱性を無償で発見して、教えてやっているのだ」とうそぶくであろう。

(~中略~)

しかしながら、社会は、このような言い分を認めるものではない。

(~中略~)

しかしながら、技術者が、「私は、ソフトウェアの安全性の調査をしている○○といいますが、あなたの会社のこのソフトウェアについては、このような脆弱性があります」と開発者に伝えたしても、真剣にとりあげてくれるとは限らない。話として聞いてもらえたとしても、脆弱性としては、脅威の程度はたいしたことがないので、パッチは開発しませんとか、次のバージョンアップで対応しますといわれるのにすぎない場合も多い。場合によっては、脆弱性を発見したとかいってまるで脅迫でもするのですかなどとクレーマー扱いされないとも限らない。また、脆弱性情報の発見が、社会的に極めて重要な意味をもつものだとしても、その発見にいたるまでの労力に対して適切な評価、とくに経済的な評価がなされているのかという問題もあるであろう。

このような状況のもとで、技術者は、脆弱性情報を悪用して、実際に侵入して、みずからの技量を証明しようとする自己顕示欲の罠、脆弱性情報を第三者に売却等して経済的な利益を得ようとする経済的貪欲の罠などに陥る危険性に直面することになるのである。

脆弱性に関わる人の目的は実は様々なのですよね。ここで言う「目的」とは、誰を守るのか、誰の利益を優先するのかという立場の違いです。

そして中には、以下のようなことを考える人もいるでしょう。

これらのうちどれを目的とするのか、しないのか、複数あるうちのどれを優先するのか……は人それぞれで、その目的によって最適な手段は異なります。たとえば、野次馬を喜ばせることが最優先の目的ならば、ゼロデイ公開という手段がマッチすることもあるでしょう。

もっとも、必ずしも目的にマッチした手段を選択できるとは限らないわけですが……。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト