• ネット界も困惑？ACCS不正アクセス事件(毎日インタラクティブ)
• 情報システム脆弱性分析の充実(IPA)

昨日の「脆弱性の指摘あるいは不正アクセス事件の先にあるもの」で、脆弱性指摘に関するガイドラインについて『IPAないしはJPCERT/CCがその役割を果たすのだろうかと思っていたのだが、現時点で具体的な話は聞こえてこない』と書いた。ところが実際にはすでにIPAが上のリンクで示した事業に取り組んでいるらしい。どうやら大嘘を書いてしまったらしい。ごめんなさい。
で、以下は言い訳がわり。
セキュリティホール memo メーリングリストや24時間常時接続メーリングリストを読んでいると、やはりこの事業にかける期待は大きいようだ。ひいてはIPAが「脆弱性報告機関」としての役割を果たすようになるといい、という意見もある。
ただ、どうのこうの言ってもIPAは政府とのつながりが強い組織である。準国家機関といってもよいIPAに、そのような権限を与えてよいのだろうか＿＿たとえば住基ネットとの絡みへの懸念＿＿という意見も同時にある。公平性の確保のためにはIPAに頼りきりになるのではなく、新たな第三者機関の設置が必要なのではないか＿＿議論しがいのある話だと思う。
もっとも、個人的には完全な第三者機関というのはおそらく存在しえないだろうと思う。どのような機関が作られたところで出資元や業界団体との関わりは避けられないのだし、だとすれば利害関係のしがらみから完全に脱却するのは不可能だということになる。より独立性の高い組織を求めてゆくことは必要だけれども、新たな組織の立ち上げには時間も金もかかる。その団体が広く認知されるとなればなおのことだ。
そう考えてみると、現状ではIPAにその役割を担ってもらうというのは現実解としてアリだろうという気がする。もちろんその責任は非常に大きいものになるし、果たしてIPAという組織がどれだけ独立性を保ちえるのかという疑問は常に残る。だが、それを監視することがセキュリティに関わる人たち＿＿ひいては我々の役割になってくるのではないだろうか。
哀しいことだが、権力が必ず腐敗するというのは事実である。そして脆弱性の情報を握るということはまぎれもなく「力」を持つことを意味してする。だからこそ常に監視の目が必要なのだ。IPAにしろ「第三者機関」にしろ、それ自体が万能解にはなりえない。そしてセキュリティとは状態ではなくプロセスである。だとすれば今議論されるべきは「脆弱性報告機関」がどうあるかだけではない。その機関をいかに監視し、フィードバックを行うことのできる枠組みをいかに作り上げるかにもあるのではないかと思う。
ただ、正しい「監査」を行うのは、とても、とても難しいことなのだけれども。