IPAを甘やかすな2007年02月02日 09時23分03秒

とりあえず、今回のケースでは、はまちや2さんは IPA という独立行政法人に、本名という個人情報 (個人属性?) をあずけたくないという意思表示を示しているという点を無視するべきではないと思いますよ。例えば、警察へ通報を行う際には、必ずしも実名を名乗る必要はありません。

IPA が脆弱性の報告に際して氏名と連絡先の提示を求める根拠は、FAQ の中で説明しています。その根拠というのが中川昭一元経済産業大臣による告示な訳ですが (注: PDF ファイルです!!)、この中では、報告者が氏名を明かさねばならない理由については触れられていません。仮に、情報の信頼性を担保する為なのだとして、それが信頼しうる有効な情報であることを検証する能力が IPA に無いのだとしたら、それはそれで問題なのでは無いでしょうか? (「正確な情報」である必要は必ずしもありません。発見者が脆弱性の危険性について正しく検証できないケースは多々あります。しかしどのような程度の脆弱性であれ、報告の仲介を担う行政機関である以上、開発元に情報を渡し、議論を進める義務はあります。) その検証の根拠を「氏名」といった個人情報の提示に求めているのだとしたら、IPA という機関は無能であると断ぜざるを得ないし、そのような機関を信用して利用しようとする人は少なくなるかもしれません。

kyoumoe さんが言わんとすることもわかります。物事を前に進める為には、お互いの協力関係が必須であり、それを円滑に進める為のコミュニケーション作法はあってもいいだろうと。そしてその作法に準じないはまちや2さんの行動を囃し立てる行為を「幼稚だ」と断じたくなる気持ちもわかります。

しかし、世の中にはいろんな人がいる。はてぶでの反響が大きいだけに、多くの人がはまちや2さんの行動を賞賛しているように見えるのかもしれませんが、単純に関連する 3つの記事のブックマーク数だけ見たって所詮は述べ件数でも数百じゃないですか。こんなもん、「そういう人もいる」の域を出ません。全然日本終わってる根拠になんてなりゃしない。

むしろ、こういう、いろんな人がいるからこそ、コミュニケーションにおける作法とか、態度の取り方とかについて、各々が考えながら生きる必要があるんです。みんなが同じように礼儀正しかったら、コミュニケーション作法なんて考える必要も無い。

IPA には今回の件から早めに教訓を得て、報告者の氏名の扱いについて考えを改めて頂きたいです。信頼性に対する薄弱な根拠を担保にすることと、報告の敷居を下げ、コンピュータ利用の安全性底上げを早めること。優先順位は、はたしてどちらの方が上でしょうか?


Fri Feb 2 23:11:21 JST 2007 - 追記

正論ではあるんだが,敷居を下げたら下げたで別の問題も出てくるんだよね.いたずらの届出ばかりになって制度が機能しなくなるのも困りもの.

おいらはその辺についてはあんまり心配していません。現状でもいたずらはもっとたくさんあってもいいだろうし、その度にこの手の返事を返しているんだとすれば既に結構な手間ですし。はまちや2さんも (返信の書面で) 書いている通り、そもそも本名であることを確認する術が IPA にはない、という意味でも、氏名を要求することにあまり意味を感じません。

そもそもそんなはまちや2さんでも、メールアドレスは律儀に伝えているわけですし (当人も連絡を取り合うことの必要性は認識していらっさるのでしょう、っていうかリアクションが返ってくることを期待できなきゃそもそもブログのネタにもならんかw)、そこさえ守らせていれば、厳密なことを言えば実は既に匿名ではないわけで。

コメント

_ 七資産 ― 2007/02/02 12:39:19

ざっと検索してみたんですが、http://www.ipa.go.jp/security/fy15/reports/vuln_handling/documents/vuln_handling_2004.pdf
によると、
>なお、責任ある届出を促すため、匿名での届出については、原則認めないものとすべきである。
となっていますね。情報の信頼性を担保する為じゃなくて。

_ T.MURACHI ― 2007/02/02 16:03:58

情報提供どもです。
なるほど。「発見者の責任」をどのように定義しているのか、気になるところです。
あと、「資料-17,18」ページ辺りを見ると、

(イ) 匿名の届出でないこと(発見者への連絡が可能であることを確認できること)

ともあるので、「連絡が可能である」ことさえ担保できれば、実運用上は問題ないようにも見えます (確かに、脆弱性に関する議論を前に進める上で、発見者と連絡が取り合えることは必要でしょう)。
「本名が必要」という話ではなさそうにも見えるのですが。。。どうなんだろ?

_ 松永英明 ― 2007/02/02 18:31:24

実名を告げたくないという意思表示は、別の方法でも可能でしょう。はまちちゃんの態度は、少なくとも匿名での報告を検討させるどころか逆効果であろうと思いますし、目的が「脆弱性を報告すること」なのか「実名を認めさせること」なのか「IPAをさらしものにすること」なのか、といったときに、最後の意図が非常に強く感じられる表現手法であることは間違いないと思います。

_ T.MURACHI ― 2007/02/02 23:07:58

ん、まぁ、そうなんだろうと思います>「IPAをさらしものにすること」。

個人的には、今回のはまちや2さんの行動を「応援」しているつもりは無いです。ただ、どちらにせよ、この問答が立ち止まっちゃっているが故に、Yahoo! の脆弱性がないがしろにされたままにされちゃっているのはよろしくないので、どっちが引き下がるにしても議論が進んでくれることを願って止みません。

まぁ、なんとなーく、結末は見えてるんですけどね。。。

_ 七資産 ― 2007/02/03 06:54:49

>この問答が立ち止まっちゃっているが故に、Yahoo! の脆弱性がないがしろに
>されたままにされちゃっているのはよろしくないので、

べつに、他の人が届け出ればいいだけでしょ。

そんなこともわからないのかねえ。

_ T.MURACHI ― 2007/02/03 08:56:58

? 報告内容ってすでに一般に知られちゃってるの?
だとしたら IPA を利用すること自体すでにあんまり意味がないような。。。

_ T.MURACHI ― 2007/02/03 10:10:08

高木さんとこの記事読んできたー。
とりあえず↑の以下の行は訂正。。。報告すること自体は意味はある。

> だとしたら IPA を利用すること自体すでにあんまり意味がないような。。。

んで、じゃあ報告したいんだけど、その情報ってどこかに公開されているのかしら? (されてないんなら、めんどくさいから、おいらはやりたくないです。。。)

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
おいらがやっている会社の名前をひらがな4文字で。

コメント:

トラックバック

このエントリのトラックバックURL: http://harapeko.asablo.jp/blog/2007/02/02/1159210/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。

_ 国民宿舎はらぺこ 大浴場 - 2007/02/03 10:27:55

このコメント書いてから、ふと思ったんだけど、氏名公表しちゃっても構わない人が、氏名公表したくない人の代わりに報告してあげればいいんだ。

ちうわけで、ぜーじゃくせー発見