情報システム等の脆弱性情報の取扱いに関する研究会 報告書
2006年5月23日(火曜日)
情報システム等の脆弱性情報の取扱いに関する研究会 報告書
- IPAの脆弱性届出制度、受理してから製品開発者が公表するまで平均77日 (internet.watch.impress.co.jp)
- 組込みソフトウェアのセキュリティ対策のポイント集などをとりまとめ、公表「情報システム等の脆弱性情報の取扱いに関する研究会」報告書の公開について (www.ipa.go.jp)
- 情報システム等の脆弱性情報の取扱いに関する研究会 報告書 (www.ipa.go.jp)
というわけで報告書が公開されているようです。しかし……
また、ウェブアプリケーションの場合、ソフトウェア製品とは異なり個別の案件の修正結果などを公表はしておらず、このため、発見者に謝辞を記す機会がない現状にある。このため、発見者に対して謝意を示す観点から、競争を煽ることのない範囲で、IPA の四半期レポートにおいて希望する発見者の氏名等を紹介することなどの方策をとることが適当である。
この結論はどうなんでしょうね。
現状の届出制度の問題点はいくつかあると思いますが、特に私が気になっているのは以下の二点です。
- 「脆弱性があって修正した」という事実が公表されない
- 届出が面倒くさい
個人的には、脆弱性の存在が明るみに出ないことがつらいです。逆に、どんな脆弱性があってどんな風に直ったか、そういうことが公開されると非常に嬉しく感じます (これについては IPAX 2006 でも話したわけですが)。自分の名前が出るかどうかはどうでも良いと思っています。
あと、やはり届出が面倒くさいという人が多いです。「あの届出フォームに書くのは面倒ですか?」と聞かれたりしましたが、あらためてはっきり断言しますと、面倒です。フォームに関して半径50m以内から出てきた意見としては、
- スクリプト無効で動かないので使う気が起きない
- フレームなのであぶない (まあフレーム解除して使えば良いですが)
- 必須記入欄が多すぎ
- デザイン的な工夫も何もないのでわかりにくい
といったところ。で、その話はさらに盛り上がって、「IPAツールバー」を作ってワンクリックで届出できるようにしよう、などという話も出てきたり……。
いずれにしても、発見者の名前を出すというのは改善の方向としてはどうかと思うのですが、それは私だけかなぁ。
- 「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」にコメントを書く
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / フレーム
- 前(古い): ipa.go.jpでさがしもの
- 次(新しい): どうぶつの森ミュージアム
