  |
正しい脆弱性の定義と言われると、非常に難しい。何となく自分でさえブレる気がする。
私は、一連の自衛隊の大規模接種予約センターの報道すること自体は正しいと思うほうだが、報道内容自体はどうかと思ってる。
まずは、「現在」で真っ当と思われる定義を自分で書いておこう。
基本的に「脅威」があって初めて脆弱性が存在しうる。情報セキュリティの勉強でよくやる内容だ。
よって、そもそもが「脅威」により脆弱性が存在しうるので、固定的な定義が存在しない。
それは、「脅威」==システムへの攻撃は常に進化しているので、このような定義になってる。
なので、「脆弱性」は一部のシステムを作る人だけが関連し、内容が難しいのでその内容を拒否する人が多く、なかなか修正してくれなかったけど、間違ってるのは確かなので修正してください、という含意を「脆弱性」と呼んでいた。
よって、現在の脆弱性とは「CVE等の脆弱性データベースに登録されるほど難しい内容のセキュリティ欠陥」を指す。
現在の定義からすれば、報道を非難するのは間違ってる。これは「脆弱性」ではないので、IPA等に知らせる必要などない。IPA等に知らせる必要があるのはあくまで「脆弱性」だ。もはや普通の人が分かるようなレベルではない。それこそ情報処理技術者試験のセキュリティ程度など教える方だが、それでさえ完全には理解できない程だ。
そして報道内容も間違ってる。これ「脆弱性」と呼んでしまうのは現在の定義としてはずれてる。ただし、間違ってはいるものの、「脆弱性」かどうかと報道内容は関係ないので報道すること自体は正しいと判断してる。
おそらく、報道を非難している人は、政府のやることをすべて正当化したい人か、昔の定義か、表面上の定義しか理解していない人なのだろう。
2
