セキュリティホールmemoで、またあたしの日記を取り上げていただいているわ。…本当にドキドキしちゃう。でも、あたしでは役者不足だとは思うんですけれども、せっかくなのでさらに返信を書かせていただければ、と思っていますの。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/04.html#20040409_tuikiより
偶然なのに「故意だろ!」とつっつかれるとか、悪意はないのに「悪意ありありだろ!」とつっつかれるとか、いう可能性は確かにありますね。 しかし、このフローを使う場合には、開発・運営側には IPA によってフィルタされた情報が届くようになりますから、発見者が直接報告する場合よりは冷静に受け止められるようになるのでは、と期待しています。
これまでは、ちょっとした言葉使いがモトで話がこじれちゃったりすることが少なくなかったのでは、と思っています。そういうトラブルは少なくなってくれるかなあ、と。なってくれるといいなあ。

確かにこの視点は重要だと思うの。もちろん最終的には「あらゆる層をフォローできるように」なっていただきたいんですけれども、とりあえずの一歩目としての
・文言や口調を起因にしたトラブルを排除する
効果がある、っていうのは確かに大切だと思うわ。もちろんあたし的には企業側に「あんた達自分の行いをまず省みて御覧なさいな？」と申し上げたいんですけれども。でも結局は人間同士の対応と考えた場合に、クッションをいれる事でおかしな感情的軋轢がなくなるのであれば、それはそれで重要だと思うし、それをもって「最初の一歩目の前進」とするのは、それはそれで大切だと思うの。つまり「現状でまずそこを期待されている」ってことなの。覚えておいて頂戴ね、IPAの皆様。


ただ、再三にわたってあたしが心配している「実際のホールの見つけ方」については…やっぱりどこからも有効な話が出ていないのがとても残念だわ。そうねぇ。とりあえず手間とか工数とかは無視するとして、例えば

• セキュリティホールの可能性を見つける
• 可能性のあるアタック方法を考察、テスト方法を列挙
• IPAに連絡
• IPAがそのテスト方法について不足分を補う
• 企業に連絡後、IPAがテストを行う
• 問題があれば企業側が対策
• 企業側の対策が完了、または一定期間以上放置された場合に、問題点について公表

って感じで動いた場合、IPAが骨抜きになっていなければまだしも…とかは思うのよね。ただ、これって「IPAがタイムラグなしに真摯に対応してくれる」ことが前提だわ。それに、現実問題としてIPAにどれだけ工数がかかるか分からないわ(多分パンクする程度の量はふってくると思うの、正直なところ)。
でも、現在の状態で可能そうな方法って、これくらいしか思い当たらないわ。で、気になるのが「依頼量が多すぎるから適当に掻い摘んで」「テストがお座成りになって」「形骸化して」っていう流れなの。水が低いところに流れていくように流れてしまうってのが、あたしの不安要素。
どこかに負担をかけるような運用は、一時的にはともかく、恒久的な運用には不向きだわ。そのあたりをきちんと考えた上で「恒久的に動かせる」無理のないシステムが出来上がるように考えていかなきゃいけないの。
ちなみにこれを見て「恒久的なシステムなんて出来るわけないじゃん」とか思ったあなた、まだ考察が甘いわ。そうねぇ、あたしがイベントを運営する時に使う、矛盾した言葉を一つ載せておいてあげるわ。「予測不可能なトラブルが起きたときにどうするか、の対応策を練っておく」。予測不可能なものへの対応をどうやって考えるのか、わかるかしら？ そこが分かれば「恒久的なシステム」の作り方が見えてくるかもしれないわね。


せっかく発生したムーブメントが一過性の意味の無いものにならないようにしていきたいものだわ。