http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/
IT Proさんからの記事よ。タイトルは

http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/ より
セキュリティ・ホールは公開しない者勝ち？

悪くない切り口なんですけれども。中身はどんな感じなのかしら。
そうそう。一応「登録者だけが見れる」URLなので、引用は最低限に抑えさせていただいてよ。よろしくってかしら？

http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/ より
「Internet Explorer（IE）はFirefoxよりも安全」。最近，このような話を読んだり耳にしたりする機会が何度かあった。

えぇえぇ。あったわねぇあの提灯レポート。でも、提灯ってもうちょっと控えめなものだったんじゃなくってかしら？ あれじゃ提灯ってよりもサーチライトって感じよ？ しかも「目を眩ませるためだけの」。

http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/ より
Internet Security Threat Reportとは，同社が世界中に設置しているセンサーなどから収集した情報を基に，同社が半年ごとに作成し公表しているレポート。レポートではセキュリティに関するさまざまなデータがまとめられている。その一部として，2005年上半期（1月〜6月）に公表された，主要ブラウザのセキュリティ・ホールの数がまとめられている。そのデータによると，Firefoxでは25件のセキュリティ・ホールが公表され，そのうち18件は深刻なものだったという。一方，IEでは13件が公表され，深刻なものは8件だったとされる。確かに，数字だけ見れば，IEのほうが少ない。

よく目にするんですけれども。結局のところ「何を持って致命的であるとし、またどの程度"隠蔽"しているのか」っていう部分を、ちゃんと第三者の目でチェックする必要があるのよね。
自分達の発表を基準にこんな話を語られてもなんの意味も成さなくってよ？
そうねぇ。ドン・ファンの「君だけだよ 僕の心をこんなにも奪っているのは」なんて言葉、誰が信じていてかしら？*1

で、こんな風に続いていくの。

http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/ より
先日，Microsoftのセキュリティに関する最高責任者の一人であるMichael Nash氏にインタビューする機会があった（関連記事 *2 ）。Nash氏は同社のセキュリティへの取り組みを説明する際に，他社製品と同社製品，あるいは以前の同社製品と現在の同社製品における，公表されたセキュリティ・ホールの数の違いに何度も言及した。
それを聞いて筆者は，「公表されたセキュリティ・ホールの数を比べることに意味はあるのか」といったことをたずねた。すると同氏は，「もちろん，セキュリティ・ホールの数はその製品が安全かどうかを計る唯一の指標ではない。だが，ユーザーが指摘する点，気にする点であることは間違いない」と答えた。

そうねぇ。だからこそ「必死に隠す」のよねぇ？ MSも、どこぞやのお値段系サイトも*3。
でも。一般人に

http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/ より
確かに多くのユーザーにとって，公表されているセキュリティ・ホールの数が，ソフトウエアの“安全度”を計る上での指標の一つになるだろう。それ以外に，数字として現れるセキュリティに関するデータはほとんどないからだ。とはいえ，公表されたセキュリティ・ホールの数だけで，ソフトウエアの安全度を判断されることを筆者はとても懸念する。そうなれば，公表しない者勝ちになってしまう。不誠実なベンダーが開発したソフトウエアが安全と判断され，積極的に情報を公開するベンダーのソフトウエアが危険とされてしまう。それはおかしい。

ってところまでを期待するのはちょっと難しくってよ？
「論理的に正しい」と「コモンスタンダード/コモンセンス」ってのは、必ずしも一致しないの。そうして、その「不一致っぷりを熟知している」連中が、上手に世論を操作して自らの都合のいい王国を築き上げていくの。論理的に正しい弱者どもがか細い声で鳴いているのを尻目に、ね。
で、そのあたりが理解できないから

http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/ より
Mozilla Foundationの公式アフィリエイトであるMozilla Japanに，Symantecのレポートの感想を聞いてみた。「確かに（比較的）多数のセキュリティ・ホールを公表しているが，すぐに対応している。ユーザーには，公表したセキュリティ・ホールの数だけではなく，情報公開や対応の早さなどを含めて総合的に判断してほしい」（技術部プロダクト開発担当の吉野公平氏）。

って話になるのよね。
理解してもらいたければ相応の宣伝が必要だわ。ましてや相手は「誤認識を誘うような手法まで使って」形振り構わずにきているのよ？
そんな相手と対峙したときに「正義はいつか勝つ」なんて寝言、通用するかどうかなんて考えなくてもわかりそうなものじゃなくってかしら？
嘘も突き通せばそれは真実になるの。そうして「多数決」という暴力の前で人は沈黙してしまうのよ？

http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/ より
だが，セキュリティ・ホールを隠したがるベンダーは少なくない。第三者が発見し公表しているセキュリティ・ホールに関して，当事者であるベンダーに筆者が問い合わせると，「次期バージョンで修正するから問題ない。無用の混乱を招くからユーザーには知らせない」と回答されたことが何度となくある。セキュリティ・ホールを公表することよりも，そういった対応をすることのほうがユーザーの信頼を失うと思うのだが・・・。

このあたりも温い見解よね。「そういった対応」込みで隠蔽してしまえば、結局のところ一般愚者の皆様方からは高評価をいただけてよ？

http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/ より
あるベンダーの方からは，「どうして（わが社の製品の）セキュリティ・ホールの記事を書くのか分からない。一度，理由を聞きたいと思っている」という言葉をいただいたこともある。筆者としては，その製品のユーザーの一助になると思って記事を書いているのだが・・・。

この辺もまた甘々ね。「知らなければ幸せ」って言葉をご存じないのかしら？

http://itpro.nikkeibp.co.jp/article/OPINION/20051025/223458/ より
セキュリティ・ホールが見つからないことに超したことはない。だが，プログラムが肥大化を続ける現状では，なかなか難しいだろう。セキュリティ・ホールを見つける「バグ・ハンター」たちのスキルも向上している。セキュリティ・ホールが見つかることよりも，きちんと対応しないことのほうが問題なのである。セキュリティ・ホールを公表したがらないベンダーの方には，そのことを理解していただきたい。「セキュリティ・ホールは公開しないほうがよい」と思っているのは当事者だけである。ユーザーはその不誠実さを見逃さない。

ええ。もちろん「誠実に」対応することが求められてよ？
だからこそ「危険があることすら知らせないことでユーザに無用な心配がかからないようにし」「万が一のときは"安全ですと宣言する"、"その瞬間だけ権威ある高名な方々を招き入れてより一層の安心感を充実させる"」といった行為を行うんじゃなくってかしら？
多くの愚民達が望むのは「真実」ではなくて「偽りの平穏」だわ。ええもちろんそれは偽りでもなんでもなくって、「真の平穏」なんですけれども*4。


この記事をお書きになったのは「勝村　幸博」さんって方。ええ、いいところをついてるとは思うわ。でも、まだまだ「理想」が基準になっていないかしら？
そんな青臭い理想よりも、もっともっと「人々が幸せになるような色眼鏡」を書いたほうがきっと喜ばれてよ。
世界は安全で人々は幸せに暮らしていてソフトウェアにはバグなんてなくて誰もが安心してインターネットを使うことが出来る理想郷なの。だって、問題はすべてメーカがちゃんと片付けてくれている「はず」なんですもの。そうじゃなくってかしら？
そんな素晴らしくも有能なメーカ様から下賜された最高のソフトウェアを、なんの疑いもなくただ唯々諾々と使っていればきっと何の問題もないはずだわ？
まさに理想郷のような世界じゃなくってかしら？


ええもちろん、あたしはそんなくだらない「真実を歪めるベール」なんてまったく興味はないんですけれども。

http://tb.japan.cnet.com/tb.php/20088915