[port139ml:05381] Re: セキュリティ情報

[Makoto Shiotsuki <shio@xxxxxxxxxxxx>]

>これまでセキュリティに関する技術情報（攻撃とか対策とか）は、
>隠してもあまり意味がないと考えていたのですが、最近の流れを
>考えると日本ではおおっぴらに議論したり、ML で流したりしない
>ほうがいいんでしょかね？

セキュリティの技術や脆弱性に関する詳細な情報交換、議論と
いうものは、基本的には大いに行われるべきだと思います。

ただし、以下のようなことに留意する必要があるでしょう。

【目的】

どのような目的で議論するのかは、非常に重要ですね。
不正アクセス等、よからぬ目的での議論や情報公開は、思想や言論の
自由があるといえども、批判されて然るべきだと思います。
(場合によっては幇助罪でタイーホされるかも)

【時期】

その議論や情報公開が、はたしてその時期に行うべきものかどうか、
よく吟味する必要があります。
例えばパッチの出ていない脆弱性の情報公開などが該当します。
またパッチが出たとしても、その直後に具体的なexploit方法を
議論することが適切かどうか、一ヶ月後ならどうか、といった
時間的な要素ですね。

【内容】

機密情報や個人情報を議論の場にあげないことは当然ですが、サイト
の脆弱性について具体的な固有名詞を出さない等、議論や情報公開の
内容に関する慎重な配慮が必要だと思われます。
(どこのサイトがどうだといった、サイト固有の脆弱性の指摘については、
たぶんIPAさんが窓口になって受付けてくれるでしょう。:)

他にもいろいろとあるかも知れませんが、要はある程度考慮する必要は
あるものの、基本的にセキュリティ技術(攻撃や脆弱性を含む)に関する
議論や情報公開は欠かせないというのが私の意見です。

杉浦さんが言っておられましたが、私も日本のセキュリティ技術レベル
は、特にその量(技術者数)において諸外国に劣っていると感じています。
オープンなディスカッションは、参加する方も、その場を提供する方も、
ある程度のリスクを覚悟しなければなりませんが、長い目で見て日本の
セキュリティ技術レベル全体を底上げしていくことを考えると、その
ような場が必要なことは明らかです。

あともう一点、基本的に海外で流れた情報(例えば攻撃手法)については、
ボーダーレスの現状を考えると、日本の中で隠すことは無意味だと思って
います。そしてそういった情報のほとんどは、まず海外で流れます。
つまり、制御すべき情報というのは、それほど多くないんじゃないかと...

ということで、丼原さんには腹をくくっていただいて... :)

(ところで「丼原」って、やっぱり読みは「どんはら」?)

塩月