前のエントリの関係で、WirelessWire News「急増するIoT機器への攻撃、対策に不可欠な法的整備とは？」という記事についてもみていきましょう。

IoTセキュリティ総合対策では、「脆弱性対策に係る体制の整備」「民間企業等におけるサイバーセキュリティ対策の促進」、セキュリティ関連技術の「研究開発の推進」、セキュリティ関連の「人材育成の強化」、「国際連携の推進」がでています。

ここで、「脆弱性」という用語について、もう一回考え直してみました。

私(高橋)が委員を務めているIPAの脆弱性研究委員会では、2002年から、脆弱性についての対応についての枠組みを検討してきています。

そこでは、脆弱性については、「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所（ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。）をいう。」と定義されています(経済産業省告示第十九号・第1・1・3(3))。

ここで、弱いパスワードというのは、この脆弱性に含まれるのか、という問題があるだろうと思います。不正アクセスとの関係でいえば、識別符号に関する不正アクセスと、脆弱性悪用の不正アクセスがあることはふれましたが、普段の会話としては、用語的には、後者の場合のみを脆弱性と呼んでいるように感じます。(ただし、上の定義でも、ウエブアプリケーションの場合は、これに限られません)

そうだとするとこの記事も「パスワード設定が脆弱であるIoT機器を広域スキャンを実施して調査し、脆弱性がある機器に関する情報をICT-ISAC経由で通信事業者に提供する」を「パスワード設定が脆弱であるIoT機器を広域スキャンを実施して調査し、アクセスに対して脆弱である機器に関する情報をICT-ISAC経由で通信事業者に提供する」と表現しておいてもらえるといいのかな、と思ったりします。

この場合は、「NICTが行う脆弱性調査は、NICTが作成した実施計画について総務省が関係行政機関と協議の上で認可する」という表現も、「NICTが行う脆弱な識別符号に関する調査は、NICTが作成した実施計画について総務省が関係行政機関と協議の上で認可する」という表現になりますね。

一定のプログラムに伴うものを脆弱性と呼び、それ以外を脆弱な設定とでも定義したら、すっきりするのかなとか、ふと思ってみました。