スラッシュドット・ジャパン

• MYCOM PCWEB: 脆弱性情報の流通に慣習法を - 脆弱性の届出、公表などルール化へ [mycom.co.jp]
• ITmedia: 脆弱性情報の告知・公開のルール作りが前進 [itmedia.co.jp]
• @IT: 脆弱性情報はIPAに届け出、ベンダ調整の新ルール策定へ [atmarkit.co.jp]

個人的には、PCWEB と ITmedia の記事が深いところまで書かれていて参考になると思いました。

高木浩光氏の4/7の日記 [hatena.ne.jp]より。

現時点では法的拘束力がないため、本当にメーカーが対応してくれるのか、発見者の行為が免責されるとは限らないため、発見者は本当に通報してくれるのかなど、心配なところはある。今の段階で可能な現実的な落とし所に落ち着いていると思うが、いろいろと意見を公開メーリングリスト等で表に出していただけたらと思う。

「IPAからの通知後に，サイトの運営者が何も対策をせず情報漏洩などが発生した場合，サイト側が何も知らなかったと責任を逃れることは難しくなる」

これを今やろうとすると、発見者個人が結構面倒なことになりそうな。

てか、現に某プロバイダにセキュリティーホールの連絡したんだけど、 2ヶ月たっても何も対策していないんだよね。
通販サイトの注文ログとかダダ漏れ…イヤ、見てませんよ、想像ですｗ
#自分が契約してるバイダではないが

2chあたりでスレ立てれば祭りになって当然対策もするだろうけど、個人情報漏出は避けられないし、匿名での連絡じゃないので自分自身がマズーなことになっちゃう。
かといって放置しておくと…あまりにも簡単なので早晩見つかるだろうし…
早く対策しろとツンツンして逆切れされても困るしね。

今回の報告で気になった点が２点。

　まず、内容を見ると、JPCERT/CCに異様な負荷が掛かる気がするのだが、財源については記載されていない。これ、どうなるんだろ？

　あと、不特定多数が参加するオープンソースプロジェクトだと、今回の、「対策するまで関係者以外には秘密にする」方式が機能しない。大物については、セキュリティ担当専任者が必要になるのか？
　

一発目ゲットでおちゃらけるのって、スラドの伝統と化してません？ところで、

「これまで一般ユーザーが脆弱性を確かめようとしても，不正アクセス禁止法などの法律に違反すれすれの行為をしなければ調査できなかった。これからはIPAに報告してくれれば，こうしたリスクを回避できるようになる」

ここあたりも、素直に評価出来るのでは無いでしょうか。

自分も読んでみたけど結構な疑問点が…
「ウェブサイト運営者」って言葉が多く使われてたけど
文中にある通り「コンテンツの対外的な所有者」を意味してるようで
実質、運用してる管理会社や開発会社は指さないんですなぁ…

そんな方々に脆弱性の及ぼす影響を正確に把握とか
影響の大きさを考慮した修正をしてIPAに連絡とか
スタンダードにならんと思ってみたりするわけなのですが…

#理想としては良いのだけれど高望みしすぎだと思ったというのが正直な感想

　　ま　た　y a s u d a s 　か　！

なのだが、同じく
あえて釣られてみるテスト。

>>脆弱性を持ったサービスを提供した側に、「対応しなけりゃ銭や会社自身を失うよ」といったことでないと

ここで強制力を持たせるようにするには、現状の参入規制のない状況を改善する必要があります。（もちろん匿名やオープンソースやそれに類するものも影響を受けるでしょう）

こういう議論に必ず出てくる「強制・規制論者」は、以下のことを踏まえて議論を展開する必要があります。『ISPサービス自体』とかなら、通信事業者としての規制が可能ですが、同様のことについて cgi サービスや、cgi コードの提供者にそのような規制が必要なのか、ということが顧みられなければならないでしょう。

＃個人的には Windows の品質問題の方が大問題で、それこそ公的権力が強制的に介入すべきプライオリティは高いと思うけどね。

実際問題、サービスやコードを提供することは自由なわけで、自由な流通を支えるのは利用者側の賢い「選ぶ目」、「使い方」でしょう。
と言うと「やっぱり河合容疑者は正しかったんだ」と脳内ショートする人もいるかもしれませんが、他人の管理物を攻撃することの是非とは論点が異なるのでごっちゃにしないよう。

利用者側の啓蒙普及、と言う点では「暮らしの手帳」のような方法が一番望ましいのではないかと考えます。

『テストはするが、自分で買った自分のものに対してテストする』ってことですね。もちろん、このやり方では自社開発のシステムや非オープンなシステムでの提供サービスのテストはできませんが、地道な一歩は「そこから」なのではないかと思います。
「地道はいやだ」、「注目を集めて目立ちたい」では第二、第三の河合一穂が出るだけで、一般社会の目はより厳しくなるだけです。


##なお、このコメントにyasudasuがとんちんかんなコメントを付けても釣られないのであしからず。

　今回のは、行政側での対応報告だから、強制力を与える立法や制裁を加える司法関連に言及しないのが当然。
　実際、内容的には、現行法や裁判の行方等を検討しつつ、現実的な対応方法を示した物で、（この資料に限るが）三権分立が適確に機能している。

　それに、現段階では、セキュリティ関連についての一般的な見解というものが無い訳で、立法したくても具体的項目が作れない、裁判所も判断に悩んでいるのが実態。
　今回は、その一般見解となるべき「ガイドライン」を示すことが目標で、これが定着すると、個人情報保護法などに罰則が追加されたり（現法案では発効しても罰則の無い努力目標に過ぎない）、裁判の際の目安になるので、企業側も対策する必要性が生じたりする。
　その意味では、確かに「一歩前進」である。
　

あたしの経験だけで発言をさせていただけるなら、あたしの手法は全て「不正アクセス禁止法」に引っかかるか、ないしは少なくとも企業側が「それは故意にアタックをした」と言いがかりをつけることが可能なのよ、全部。
だから、あたしの今の暫定的な答えは「無理」になってしまうんだわ。

でも、もし存在するなら「違う答え」を探してみたいの。
だから久しぶりに書き込んだのよ？
それとも、やっぱり「みんなの持ってる答えはお前と一緒だよ、このアバズレ」っていわれちゃうのかしら？

毒婦

まぁ面白いコメントだわ。ちなみにあたしは、始めのを書き込んだ時点ではアカウントをもってなかったの。
というか、どうして「あたしがアカウントを持っている」って思ったのかしら？
大体、本気で匿名で書くんなら、毒婦って名前も書かなければ、こんな独特の文体でも書かないわ。
ついでに、別にあたしはACが卑怯だとは思わないわ。

でもまぁ、たまに書き込むことも有りそうだし、せっかくだからアカウントを作ってみたわ。別に卑怯だっていわれるのは気にならないんですけれども、単純に「ACだとホンの少量しかコメントがかけない」みたいなので。

ま、アノ時に突っ込む穴間違えそうなあわてん坊さんには「気をつけて発言したほうがよろしくってよ？」って書いておいて差し上げるわ。
せめて「アカウントくらいもってないんですか？ もし持ってるのにACでコメントしているんだとしたら最低の卑怯者だね」ってくらいの書き方にとどめておくべきだったわね。

毒婦

>いつ誰が、これで完成と言ったかね？

未完成にしても、杜撰であるという指摘なんですが、
それは理解できませんか？

イッポゼンシンと、認めているわけなんですけどね。

# つまりは、今起こっていることには、何も影響しない
# という事ですよ。

Anonymous Cowardさんって、文も読めないのかな？

内容の無い（皆無な）レスがいっぱいついてるけど、
俺のこのヒトの「興味」には全く同感。
この世に存在する脆弱性発見のあらゆる手段は、
拡大解釈で「不正アクセス」と見なせるものではないですかね？

毎度毎度Office氏関連の議論に戻すのはもう嫌なんですけど、
彼が逮捕されたのは、(a)アクセスした事についてですか？
(b)ダウンロードした事についてですか？
(c)公開した事についてですか？

(b)と(c)を取り締まる法律は現時点では存在しませんよね？
彼が逮捕されたのは「不正アクセス」の疑い、(a)です。

ほとんどの場合、管理者の意図しないアクセスこそが脆弱性であり、
同時にそれは拡大解釈された「不正アクセス」にもなるのです。
アクセスせずに脆弱性を発見できるんですか？

IPAが「不正アクセスの例外」（の社会的根拠）を
作る予定があるのだとすれば、今回の流れは支持できます。