倫理的に妥当なコンピュータシステムの脆弱性調査と報告の方法(その2)
ITmediaというウェブサイトに、「ACCS事件」についての続報が掲載されていた(2月6日付)
http://www.itmedia.co.jp/enterprise/0402/06/epn04.html
重要と思われる論点を引用する。
まず、ACCS側のコメント。
「CGIの脆弱性を指摘するな、とは言わない。しかし指摘するにしても、良識やモラルなどに添った形で行ってほしかった」(ACCS広報)。
つづけて編集部のコメント。
WebアプリケーションおよびCGI、さかのぼればOSやアプリケーションに存在する脆弱性をどういった形で指摘し、公にするかについては、十年来の議論が続けられており、まだ確たる答はない。
決定打はないようだが、後述する株式会社ラックのポリシーなどを参考にすると、以下のようなものが合意されつつあると考えられる。
- まず当事者にシステムやプログラムの脆弱性を指摘する。
- 一定の期間待ち、修正がなされたか情報を得る。
- 修正情報とともに脆弱性を公表する。
- 修正がなされない場合は、脆弱性のみ(独自の回避策などは含まれるだろう)を公表する。
ACCS事件において、「良識に従っていない」と被害者が指摘しているのは、上記のようなルールが良識に照らし合わせて妥当であると考えているのではないだろうか。
そうした事態*1を避けるためには、脆弱性の指摘と修正に関する合意可能なルールと、そのルールを執行する第三者機関が必要になってくるだろう。
本記事中、株式会社ラックの「脆弱性報告と公開のポリシー」という文書が公開されていることが分かったので、このリンクも紹介する。
http://www.lac.co.jp/security/intelligence/SNSAdvisory/SNSpolicy.html
ここで公開されているポリシー文書は、「脆弱性の指摘と修正に関する合意可能なルール」の下地となるだろう。(指摘する側の一方的な文書であるので、指摘される側のポリシーとあわせる必要がある)
脆弱性報告を受けたり修正状況を監視したりする第三者機関が必要かどうかについては、私の中では整理がついていない問題である。
もうひとつ重要な問題は、他人のシステムや製品の脆弱性を勝手に調査することが妥当かどうかという問いがある。ACCS広報のコメントをみると、調査自体は否定していない。ただ、勝手に調査することを認めない代わりに、システムの脆弱性調査は第三者機関の調査を義務付ける(車検制度がイメージ的には近い)という方法は考えられる。当然システムや製品のコストは上昇するだろうが、功利主義者はそれを上回る安全が得られるのなら導入を是とするだろう。