http://blog.japan.zdnet.com/kurei/a/000062.html
内容そのものは「脆弱性とその公表について」なんですけれども。ちょっと付帯して色々と。元ネタは 極楽せきゅあ日記さん( id:sonodam ) のところ http://d.hatena.ne.jp/sonodam/20050721#p4 からだわ。
まずは本文への突っ込みをいくつか。

http://blog.japan.zdnet.com/kurei/a/000062.html より
発見者の考え
・脆弱なシステムを作る側に問題がある。
・セキュリティーホールを発見し、事故を未然に防ぐ為にセキュリティー情報を公開して何が悪い。
・公開したセキュリティー情報を悪用する者がいたら、それは悪用した奴が悪い。
・問題点を提起しただけで、法的にもなんら問題ない。

まぁ好意的な見解だわねぇ。とはいっても「問題点を提起しただけで、法的にもなんら問題ない」についてはかなり微妙だわ。というか限りなく黒に近いグレーだわね。天の気がちょっと斜めになってたら、容易に「幇助」とかいわれてしまいそうな感じよ？

http://blog.japan.zdnet.com/kurei/a/000062.html より
メーカーの考え
・公表する前に知らせてくれれば、関連部門や販売会社等を通じて予防策を講じられたのに。
・情報セキュリティーに関わる情報倫理について、学校では教えないのか。
また、該当サイトをリンクする側に対しては、
　・この情報をきっかけに、ダウンされる利用者の事を考えたのだろうか。倫理観を疑う。

大甘な見解ってところかしら？
なんていうのかしら。このBlogを書いている方って、全体的に「甘い」のよねぇ。
例えば

http://blog.japan.zdnet.com/kurei/a/000062.html より
脆弱性を公開するのは本人の勝手だ。しかし、それはセキュリティーを確保する最善の手段とは言いがたい。その事実をインターネットで公表する前に、まずメーカーに知らせるべきだ。

知らせた結果どうなるかご存知ないのかしら？
現状ならまだしもIPAよ。とはいってもそれにもかなり大量の前提条件やら問題点やらが絡んではくるんですけれども。
で、大笑いなのがここから。

http://blog.japan.zdnet.com/kurei/a/000062.html より
脆弱性を発見したら、企業が問題を早く解決できるようにさせるテクニックを使うことだ。たとえば、こんなテクニックを使うといい。

まぁまぁ。いったいどんな素敵な悶絶テクニックなのかしら？ あたくし、テクニシャンは大歓迎よ？

http://blog.japan.zdnet.com/kurei/a/000062.html より
・証拠が残る形で、メーカーと交渉する
　電子メールであれば、証拠が残るとは限らない。改ざんされないようにするには、記録を確実にとっている組織にもメールを送りつけておく。自分の管理者権限を持っていないマシンにあるメールアドレスに送り込んでおくのもいい。万が一、企業が嘘をついた場合、メールアドレスのタイムスタンプから嘘を暴くことができる。

んっと…まぁとりあえず「及第点」をつけておくわ。

http://blog.japan.zdnet.com/kurei/a/000062.html より
・企業に安心感を与えさせる
　企業がかかえるリスクと混乱させないようにすることである。金品を要求するような表現は、慎むべきだし、脅しと解釈されないように言葉を選びたい。インターネットでは匿名で脆弱性を指摘することは珍しいことではない。しかし、脆弱性を匿名で指摘すれば、多くの企業は警戒する。もし、企業に誠意ない対応を感じられたら、誤解を解く努力を行い、それも記録にとることを勧める。

ほーっほっほ。「実名で」連絡した後をご存知ないようね？
そうねぇ。「ホールがあることがわかってそれをもみ消したい」場合に企業がどんな対応をとるのか、想像くらいつかないものかしら？

http://blog.japan.zdnet.com/kurei/a/000062.html より
・必ず返事の期日を希望する旨を記述する
　脆弱性の大きさを企業の担当者が認識する迄には時間はかからない。しかし、企業としての返事を受け取るまでには、脆弱性を指摘する者が想像する以上に時間がかかる。このため、２点「返事を希望していること」、「返事の期日を明記すること」を入れておくこと。ちなみに、期日を指定しない場合、催促するまで返事を出さない企業も存在する。返事がないのでインターネットで公開したら、メーカーの担当者から「返事をだそうと思ってた」なんてトボケル技を使ってくる奴もいるので注意したい。

すごいわぁ。突っ込みどころ満載。
「脆弱性の大きさを企業の担当者が認識する迄には時間はかからない」まぁ。かからないのね。あたしはむしろ「認識できるかどうか」がまず高いオッズの賭けとして存在してると思ったんですけれども。そうねぇ。「問題点の認識」で１ハードル、「問題点が"問題である"と認識する」のにもうひとつ。次にくるのは「問題点を問題であると"権力を握ってるボケナスどもに"認識させることが出来る」にもう１ハードルってところかしら？ 為末大さん*1でも困惑しそうなくらい難しいハードルが並んでいるようにしか、あたしには見えなくってよ？
「このため、２点「返事を希望していること」、「返事の期日を明記すること」を入れておくこと」。そうねぇ。企業側としては「常識として想定できるよりかなり短い時間を明記されてしまったために返答は困難であると感じた」ってあたりが"模範的"回答ってやつかしら？
もっとも、そもそも「メールが確実に届くものである」ことを前提にしているあたりであたし的にはまず突っ込みを入れてみたいんですけれども。

http://blog.japan.zdnet.com/kurei/a/000062.html より
・我慢できる負担の限度を決めておく
　脆弱性を知らせる場合、電話代、メール作業など相当のエネルギーを使う。その限界を超えたら、担当者に素直に伝えることだ。それでも企業が負担を要求するなら、話し合いを打ち切る旨を伝えて終了にすることである。これまでの経緯を記録していることは、伝える必要はない。相手の企業に対する切り札にしておくのである。

あらあら。こういうのって「焦れたほうの負け」よ？


なんていうのかしら。全体的に「甘いんだか温いんだか」って感じの内容だわね。大体、こんなんでどうにかなってたら誰も困らなくってよ？
いったいどんな方が書いてるのかしらって思って調べてみると。

http://blog.japan.zdnet.com/ より
ITセキュリティー下学上達
毎日のように企業や団体のシステムの安全性を脅かすニュースが報道されています。某企業に勤めるセキュリティのスペシャリスト、呉井嬢次氏がこういった問題を起こさないための知識をわかりやすく教えてくれます。

あら。「某企業に勤めるセキュリティのスペシャリスト、呉井嬢次*2氏」なのね。あたしったら、てっきり「社会の厳しさをまったくしらない、温室育ちの学生が」書いてるんだと思ったわ？
そうねぇ。少なくとも技術的な部分については特に言及がないようですから、あるいは「技術的な意味合いにおいてスペシャリスト」ではあるのかもしれない、とは思うわ。でも、少なくとも法的とか渉外とか、そういった部分については「どうみても素人」レベルだわね。


なんていうのかしら。「自分が無名な個人であることを前提に実際に行動に移すってのを数年」やってみて、それなりに荒波とか高波とか突風とか竜巻とか天からの雷とかいろいろなものを体感してみてからもう一度こういったBlogを書いてみても遅くはないんじゃなくってかしら？
現状では「現実を知らない方の机上の空論」以上のものには見えなくってよ？