■脆弱性の「現在」の定義

正しい脆弱性の定義と言われると、非常に難しい。何となく自分でさえブレる気がする。

私は、一連の自衛隊の大規模接種予約センターの報道すること自体は正しいと思うほうだが、報道内容自体はどうかと思ってる。

まずは、「現在」で真っ当と思われる定義を自分で書いておこう。

辞書的な定義

辞書的な定義は以下になる。

• コンピュータに存在する情報セキュリティ上の欠陥
• 機密性/完全性/可用性を欠く
• 情報セキュリティ上の「脅威」 によりつかれる弱点

基本的に「脅威」があって初めて脆弱性が存在しうる。情報セキュリティの勉強でよくやる内容だ。

よって、そもそもが「脅威」により脆弱性が存在しうるので、固定的な定義が存在しない。

それは、「脅威」==システムへの攻撃は常に進化しているので、このような定義になってる。

昔の脆弱性、とは

「昔」で言う脆弱性の背景は以下のものだった。

• システムを作る一部の人
  • そう簡単にシステムが修正されない。
• 脆弱性の内容は少し難しかった
  • 脆弱性の判定自体難しい
  • 難しいので「言われただけでは」拒否する人がいっぱいいた

なので、「脆弱性」は一部のシステムを作る人だけが関連し、内容が難しいのでその内容を拒否する人が多く、なかなか修正してくれなかったけど、間違ってるのは確かなので修正してください、という含意を「脆弱性」と呼んでいた。

現在の脆弱性、とは

「現在」の脆弱性の背景としては、以下がある。

• システムを作るのは簡単になってる。
  • 誰でもITシステムを作れてすぐに修正できる。
• 逆に「脆弱性」の内容は狂気なほど難しくなってる。
  • 簡単に「間違っただけ」な内容はすぐに修正される。気づかれもしない。
  • 攻撃の進化に追いつけない。もはや「脆弱性」の内容を理解できる人は少ない。

こうなると「脆弱性」の定義は以下になる。

• 「CVE」(https://cve.mitre.org/index.html) にCVE_IDを振られたものだけを「脆弱性」と呼ぶ
  • どうせ難しくて誰も判定できない
  • 見つけるのも至難の業
• 「脆弱性」とされたらすぐに修正する
  • CVE_IDを振られるようなレベルは、公表前にそのシステムに通知されてる。

よって、現在の脆弱性とは「CVE等の脆弱性データベースに登録されるほど難しい内容のセキュリティ欠陥」を指す。

現在の定義からすれば、報道を非難するのは間違ってる。これは「脆弱性」ではないので、IPA等に知らせる必要などない。IPA等に知らせる必要があるのはあくまで「脆弱性」だ。もはや普通の人が分かるようなレベルではない。それこそ情報処理技術者試験のセキュリティ程度など教える方だが、それでさえ完全には理解できない程だ。

そして報道内容も間違ってる。これ「脆弱性」と呼んでしまうのは現在の定義としてはずれてる。ただし、間違ってはいるものの、「脆弱性」かどうかと報道内容は関係ないので報道すること自体は正しいと判断してる。

おそらく、報道を非難している人は、政府のやることをすべて正当化したい人か、昔の定義か、表面上の定義しか理解していない人なのだろう。

Permalink | 記事への反応(0) | 19:48

ツイートシェア