「続・脆弱性報告」(SAKURAI's site)
そう、それですよ。
脆弱性の指摘に対して異を唱える人が出す喩えはだいたい、「人の家の鍵をチェックするのか?」なんですよ。脆弱性の指摘をする、その対象は不特定多数に対するサービスを展開するサイトであって、その脆弱性によって害をうけるユーザーがいるから管理者に改善要求するんですよ。
まず、喩えを間違っている。この喩えには、脆弱性確認に入る動機も無ければ対象規模も全然違う。
※それ以前にこの件は喩えることが難しいし、下手に喩えるとその閲覧者を(意図的に?)ミスリードしてしまうんですよね。ここで敢えてミスリードさせていただくとして(笑)、
わたし的にもっと近いと思う喩えは、「A銀行のATMで誤った操作をしたら他人の口座から引き落としができてしまった。改善せよ > A銀行へ連絡。また、もしやと思ってB銀行のATMで試してみたら同様であった(もちろん寸止めで)。さっさと改善せよ > B銀行へ連絡。」なんですよ。この場合のB銀行ATMに対する脆弱性検査とその報告は善意ですよね?
ここからは脆弱性報告後の話。
そこで脆弱性の対策と公表までの猶予期間をどうするこうするは、悪意の攻撃者から利用者を保護する観点から、指摘者・サービス提供者が相談して決めれば良いでしょう。
ここでB銀行が、何ヵ月も反応しないだの、公表しなければ安全だの言ってると、サービス提供者としてサービス利用者の保護責任を無視していると判断されるわけですよ。
また、コッソリ直して指摘者を名誉毀損で訴える、っていうのも一企業として倫理的にどうかと思うわけですよ。
こういった企業を ぎゃふん と言わせるとともに、善意の指摘者を保護するには、権威ある中立の機関が必要だなぁと、 1/9 に言ったことはそういうわけですよ。