ただのにっき

■ IPAの「脆弱性届出制度に関する説明会」へ行ってきた

先日「脆弱性届出制度に関する説明会の実施、参加者募集について：IPA 独立行政法人 情報処理推進機構」という案内を見かけたので申し込み、今日行ってきた。雨の中。

この説明会、申し込み時にIPAにセキュリティ報告をしたときに発行される連絡用の番号を入力する必要があるので、本当に経験者しか入れないという狭き門(?)である。公開Webサイトの脆弱性とかを一回でも報告したことがあればいいので、そんな大変な話ではないものの、参加者は(案の定)わりとそうそうたる顔ぶれで、IPAの人たちもなんだかやりにくそうである。

説明の内容は5月に更新された情報セキュリティ早期警戒パートナーシップガイドラインを受けての、報告者に関する部分の差分についてで、報告窓口をきちんと設けているベンダーには直接報告するようにしてくれとか、報告の内容が詳細になったとか、脆弱性の重要度によって処理の優先順位を変えるよ、みたいな話。

すでに報告者たちの多くは報奨金を出すベンダーには直接報告してるだろうし、IPAを通さなくていいよって話は現状追認にすぎない。優先順位についてはむしろ「今まではそうじゃなかったんかーい！」って思ったよ。バカ正直に届け出順で処理してたんか……。

報告内容の詳細化も、バグレポートとしてはごくあたりまえの内容なので別にいいんじゃないのと思ったけど、面倒になるのは確実なので、参加者のみなさんにはすこぶる評判が悪かった。まぁ気持ちはわかるが、やりとりの手間はむしろ減るのでは。それより、報告時に(任意とはいえ)「CVSSスコアを計算してくれ」なんて言ってたが、バグレポートでは報告者による優先度や重要度の情報を真に受けてはいけないというセオリーを無視してそういうのを求めるのはよくない(笑)。

ただ、影響の小さい脆弱性の場合、Webサイト運営者へ報告後は、応答がなくてもクローズするよって方針は納得いかんなぁ。まぁなにをもって「影響の小さい」というかによるかとは思うけど。21世紀なんだから、むしろ一定期間後は自動で公開するくらいの方がいいと思うがね。

そういえば、「プロトコル等の仕様に関する脆弱性は受理しない」って書いてあったので、KRACKs*1みたいなのを自分が見つけちゃったら報告先がなくて途方に暮れるじゃんか……と心配になって質問してみたが、受理はしなくても各所への連絡はしてくれるそうで、よかったよかった。そんなだいそれた脆弱性を発見する予定はないけど。