Don'tStopMusic

たまには長文。詳しいわけでもないので、変なところはツッコミしてください。

セキュリティの問題について注目されているのは良いことだと思います。ただ、「脆弱性」という言葉が示す範囲が広がっているため、深刻かつ緊急な問題もあまりそうでない問題も一括りに同じ「脆弱性」とされているのが課題点でしょう。

何故一括りだと問題なのか。それは、不十分な情報ではユーザが正しく対処しにくいという点ではないでしょうか。(まったく深刻でない「脆弱性」に対応しなくちゃならないベンダーが大変なので、ということもあったりしますが :-p )

便利に使っているアプリが、ある日「脆弱性がある」と言われたときに、ユーザはどういう行動をとるでしょうか。「データが削除された人がいる」「個人情報がネットにばらまかれた人がいる」というならば、即刻使用を止めると思います。「盗聴により第三者の不正アクセスが可能」というのではどうでしょうか。

ユーザには許容できるリスクなのかそうでないのかを判断するだけの材料が必要です。それには、ベンダー、報道、セキュリティに関する第三者機関(IPA などのような)が、正確で、コンピュータに関する知識がなくとも理解し判断できる情報を提供しなくてはいけません。

いくつかの尺度を用いて脆弱性情報を提供するというのも一つの手だと思います。例えば、

• 実現性: どれだけ容易に危険を実現化できるのか
• 深刻度: 危険が実現したときにユーザはどれだけの被害を被るのか
• 所在: 脆弱性がどこに由来するものなのか

大雑把に具体例を挙げてみます。

「掲示板にコピペされた URL を踏めば、そのサービスのユーザはみんな被害を受ける」、という場合は実現性は極めて高いと言えます。あるいは、「通信路を盗聴するとパスワードが盗める」や「10万台の PC でクラスタを組んで解析すれば、半年くらいでパスワードが分る」という場合は実現性はやや低いと言えるでしょう。

「勝手に商品を購入できてしまう」「個人情報が取得できる」なら深刻度は相当高いでしょうし、「任意のプログラムを実行」「データが削除される」ならやや高い、「プライベートにしていた登録 URL が見える」くらいなら低でしょうか。

所在は、アプリケーションプログラム、システムの構築方法、インターネットの仕組、人間などなど。

実現性と深刻度を掛け合わせてみて、「起きる可能性がまずないなら気にしなくていいか」とか「可能性は低くても一度起きてしまったら取り返しがつかないな」とか「あんまり被害はないけど、こう簡単にできるなら鬱陶しいな」とか、判断してどう対処するかを決めるわけです。まあ、単純に高・中・低で分類してしまうのも、それでしか判断しなくなってしまうので弊害もあります。

ともかく、脆弱性というと技術寄りな説明になりがちなので、それがわからない人でも判断できるような説明の仕方が一般的になるといいなあということです。

……あーこの内容でこの文体だと大上段に構えた感じになるので気に入らないけど直すのも面倒だー。