シュガーな見解だわ
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/index2.shtml
セキュリティ関係のお話よ。情報処理推進機構( IPA )のお話っていってもいいかしら?
ええ。あったわねぇ。あたしが危惧して実際に骨抜きだった制度ね。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/ より
2004年7月から運用されている「情報セキュリティ早期警戒パートナーシップ(以下,早期警戒パートナーシップ)」。ソフトウエア製品やWebサイトに見つかったセキュリティ・ホール情報を情報処理推進機構(IPA)が受け付け,ソフト開発者やサイト運営者に修正や情報公開を促す制度である。
記事を読んでいくとわかるんですけれども…どうしてそう、ヌルくて甘くて楽観的な見解ができるのかしら?
えぇえぇ。相変わらず字面はいいわ。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/ より
早期警戒パートナーシップとは,ソフトウエア開発者(ベンダー)やWebサイト運営者,セキュリティ・ホールの発見者,IPAやJPCERT/CCなどの組織,電子情報技術産業協会(JEITA)や情報サービス産業協会(JISA)といった業界団体――が協調してセキュリティ・ホール情報(脆弱性情報)を適切に取り扱おうという取り組みである。
そうねぇ。「円滑に運用されれば」ネット全体のセキュリティ・レベルを向上させることも可能かもしれないわね。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/ より
具体的に言うと,(1)セキュリティ・ホールの発見者が,外部に漏らすことなくソフト開発者やサイト運営者に(早期警戒パートナーシップを通して)報告,(2)開発者/運営者は修正プログラム/修正版や回避策を用意,必要に応じて発見者が協力,(3)開発者/運営者がセキュリティ情報や修正プログラム/修正版を公表,(4)ユーザーが対応――といったプロセスを支援しようという取り組み(制度)である。
これらのプロセスが円滑に運用されれば,ソフトやサイトにセキュリティ・ホールが見つかっても,リスクを最小限に抑えられるだろう。結果として,ネット全体のセキュリティ・レベルを向上させることを狙っている。
あたしが突っ込む場所はとりあえずこの辺かしら?
- 発見はどうやってやるのかしら?
「実際にクラックするのは飽く迄違法」であったはずなの。で、どうやって「クラックせずに脆弱性を見つけて」「相手がうなずけるレベルの説得を展開」するのかしら?
- 「仕様です」攻撃をどうやってかわすのかしら?
最近もあったわよねぇ。愚かな話が。
実際に「どんな問題点があるか」っていうレベルの検証がまったくできていないか、でなければ意図的に目を閉じているとしか思えない状況だわ。
えぇえぇよく耳にしますわ。まぁ企業にしてみたら「踏み込んだほうが」早いんだと思いますし。きっと「目を閉じていれば危険はない」んですわ。目の前で銃を突きつけられても、なお。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/ より
今までに直接的あるいは間接的に聞いたところでは,発見者からセキュリティ・ホールの存在を知らされても,真摯に受け止めない製品開発者(ベンダー)/サイト運営者は少なくないという。例えば,メールなどで報告しても無視。恫喝される場合さえあるという。
そうねぇ。そうすると今度は「不正アクセスだ」とか騒がれて、色々な責任を全部かぶる羽目になる「生贄の羊」と化すんだわ。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/ より
善意で報告した発見者からすればひどい対応だ。一度でもそういった対応をされた発見者は,次からは報告することなく,メーリング・リストやWebサイトで公表することになる(ただし,発見者の報告方法などが不適切なために,ベンダーやサイト運営者の誤解を招く場合もある)。
実例をいまさらあたしに挙げろとでもおっしゃるかしら?
これもまた素敵なお話だわねぇ。くさいものに蓋をして目を閉じていればきっと安全で清潔な毎日が過ごせるんだわ。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/ より
また,最近あるベンダーの広報の方に「どうしてセキュリティ・ホール情報を記事にするのですか?」と聞かれて驚いた。驚きのあまり,「ユーザーのためです」ととっさに返せず後悔している。そのベンダーでは,修正版などは用意するものの,積極的にはセキュリティ・ホール情報を公開していない。その理由を尋ねると,「ユーザーが不安に思う」「言わなくても,みんなバージョンアップする」との答え。意識の低いベンダーはまだまだ多いようだ。
意識が低いっていうよりも知能が低いんじゃないかしら? それとも「ない」のかしら?
あまいわねぇ。「間接的コミュニケーションによるクッション」にはなっても「第三者による検証」がなけりゃ意味がないのよ?
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/ より
ソフトやサイトのセキュリティを向上させるには,セキュリティ・ホールが存在するという事実を開発者や運営者にきちんと認識してもらう必要がある。そのためには,発見者と開発者/運営者の間に信用のおける第三者機関が入ることが効果的だ。そうすれば,発見者の情報が妥当であるかどうかを検証できるとともに,開発者/運営者がその報告を無視しにくくなる。また,発見者と開発者/運営者の間でトラブルが発生しにくい。
そうねぇ。「まともに考えていただける」んならいいんですけれども。結局「仕様逃げ」をしてしまうようなところであれば、最終的には「広く一般に匿名掲示板経由で…」っていう手段が存在してしまうんだわ。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050613/162618/index2.shtml より
一般ユーザーがソフトウエアやWebサイトのセキュリティ・ホールを偶然見つける可能性もある。見つけても,「面倒は避けたい」とばかりに黙っていたり,匿名掲示板に書き込んだりしては,ネットのセキュリティ・レベルは向上しない。せっかく早期警戒パートナーシップがあるのだから,見つけた場合にはIPA へ報告してほしい。IPAの「脆弱性関連情報に関する届出について」ページから報告できる。
仕様逃げってのは簡単よ。どんな脆弱性でも「それは仕様です」の一言で逃げてしまえばいいんですもの。本気でやばくなって修正しても「現在の仕様でい一部懸念されることがあるので仕様を変更しました」で片付けて終わり。
きっと、字面を気にする人たちにとっては便利な言葉なのよねぇ。「脆弱性」って言葉よりもなんとなく聞こえがいいんですもの。
あたしが懸念したとおりの甘さがそのまま残ったIPA。はたして今後、どんな風に成長するのかしら? それとも退化するのかしら?
ま、あんまり期待せずに見守るって感じかしらね。
