脆弱性を上手に伝える方法

　先日、KDDIが提供するCGIサンプルプログラムにディレクトリトラバーサルという脆弱性が発覚された。何、それ！と思わせて、中身を読ませる誘導手法は、情報を流す側のテクニックだ。しかし、脆弱性を的確に伝えるには、もう少し工夫が必要かもしれない。たとえば、こんな風に・・・

脆弱性の解説はわかりやすいですか

　今回発見された脆弱性の説明は、こちらに書かれている。しかし初心者には理解できるだろうか。

　http://jvn.jp/jp/JVN%2333593387/

　発見された脆弱性の一覧もある。そこには深刻度を小数点第１位までつけらいるが、どうもピントこない。深刻度の最大値は10だから、100ランクで細かく表現していることになる。もっと簡略化できないだろうか。　

ディレクトリトラバーサルを例にして説明すると

危険度は幾つなの？

　この脆弱性の場合、危険度はどのくらいか。5段階で表わせば、

　　　危険星3つ。

　こんな感じで定義すれば、今後登場する脆弱性について、ポイントを抑えて短時間で把握できる。多忙な人は、難解な解説を読まずに済むと思う。

5つ星
　最も危険なレベルで、インターネットが提供するサービス全体に損害を与え、被害者は、インターネットを利用する全ての人に影響する危険レベル。急速に拡大するワーム、ネットワーク経路情報を改ざんする不正なプログラムが配布されつつある段階などが相当する。

4つ星
　よく利用される特定のサービスの提供者また、利用者に影響を与える脆弱性。利用者に被害が発生する脆弱性がリスクとして顕在化するには、該当する脆弱性を攻撃するコードを無作為に送りつければ、
一定の確率で被害が発生する。つまり、利用者は、防ぐ術はない。（まぁ、ウイルス対策ソフトなど外的なセキュリティ製品、修正プログラムを提供することで防止は可能な脆弱性といえる）。

3つ星
　特定サービスの提供側に影響を与える脆弱性。今回のようなサービスを提供する側に潜在する脆弱性である。星4つより、脆弱性を修繕する対象数が少ない点、提供者側に技術的な理解があって局所的に処置が可能であること、他のインターネットのサービスには影響を与えない点が特徴。

2つ星
　閉じたネットワークまたはシステムで発見された脆弱性である。悪意のある行為を行うにしても、利用者が特定可能なケースで、ある程度の抑止力が機能するため、被害が生じにくい。例えば、特定企業が自社内ネットワークで経費処理のために開発したウェブアプリケーションの脆弱性が、これにあたる。その脆弱性の存在が公開されたとしても、インターネットから特定企業の内部システムには既存のセキュリティ対策が講じてあり、攻撃はできない。

1つ星
　既知な脆弱性であり、そのセキュリティ対策も複数存在しており、通常の運用では脆弱性とはならないタイプである。その脆弱性の存在自身が死語のようになっているもので、故意にシステムを作らない限り再現しないもの。例えば、旧OS（OS/2やウインドウズ95など）でのみ稼動するウイルスがこの範疇にいれてもよい。

脆弱性報道の伝達効果を測定する時期では？

　セキュリティベンダー、米国政府なども5つのレベルによって、わかりやすく説明している。しかし日本の場合、脆弱性を収集する点、分析対処する側に力点を置いている。それは脆弱性を排出するメーカー、システム管理者にとっては有難いだろう。だけど、これからは、もう少し利用者の立場を考慮した脆弱性の伝達方法を考えてはどうだろうか。例えば、脆弱性の存在が利用者にどこまで浸透したのか、効果を測定してはどうだろうか。もしも、ホームページに載せました、これで責任が免れると思っていると、脆弱性が顕在化する事故が起きた時、対策費用で驚くことになり、その責任はＣＩＯ交代という形になって表れるかもしれない。