JNSAセキュリティしんだんに私の「公表前の脆弱性の報道を考える」という小論が公表されています。

内容については、上の記事を参照いただきたいと思います。JNSAの記事ということで、自分の考えを決論として明らかにするということは、避けたところになります。

逆に自分が、報道機関の側であったならば、どのようにしただろうか、という疑問があります。悩ましい問題ではあります。

「情報システム等の脆弱性情報の取り扱いにおける法律面の調査　報告書改訂版」では、まず、最初に、「脆弱性の公表」と表現の自由という大原則をあげています。報道機関の報道は、まさにそのような原則のもとにあることを前提に考えることになります。

触れた１６時５分の記事は、こちらになります。

そのあと、具体的に、実際の脆弱性について分析された記事がでています。

1６時５分の記事をみる限り、具体的な攻撃のための条件が明らかになっているとはいえません。この記事を見て、この部分に脆弱性があるはずだとして、攻撃者が、探すことによって、どのくらい悪用されうるのか、という可能性については、私としては、評価することはできませんが、現実としては、高いものとはいえないかなあと考えています。そうだとすると、やはり大原則の表現の自由の保護を考えるべきとなるかと思います。

このように考えたときに、取扱規定的には、脆弱性を第三者への開示ということは、状況に応じて具体的に考えられると解釈されて、報道機関が、攻撃のための条件を明らかにしたり、攻撃しうる部分を特定しうるような情報を公表する場合は該当するが、そのような要素がない場合には、「脆弱性の第三者への開示」とはいえない、ということになるのかなあ、と思います。

当たり前ですが、上の見解は、単に私の見解です。取扱規定に関する経済産業省、IPA、その他の組織との公式見解とは全く関係がございません。