「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキュリティサイトにおいて、「脆弱性」を「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います」と定義がなされています。
IPA「脆弱性届出制度に関する説明会」について というエントリで、脆弱性をめぐるこの15年間の変遷について触れました。
ある意味で、このキャンペーンは、、「脆弱性」という言葉をめぐって、正確に理解してもらうための動きだったような気がします。
最初は、
「きじゃくせい」じゃなくて、「ぜいじゃくせい」とよびます、
から始まって
脆弱性と欠陥は、区別しましょう
あたりは、すごく長期のキャンペーンをしました。
このキャンペーンにあたって、「脆弱性と瑕疵の間に」という論考も記しました。
瑕疵といえば、法的な文脈では、「一般的には備わっているにもかかわらず本来あるべき機能・品質・性能・状態が備わっていないこと」をいうとされており、法的なセンスのある人は、瑕疵修補請求権を思い浮かべるので、それ自体、何らかの行為を求めることができるのではないか、ということになります。
また、「欠陥」といえば、法的には、「当該製造物の特性、その通常予見される使用形態、その製造業者等が当該製造物を引き渡した時期その他の当該製造物に係る事情を考慮して、当該製造物が通常有すべき安全性を欠いていること」(製造物責任法 2条2項)となります。
ともに、「あるべき」安全性(もしくは機能・品質等)を欠いている状態を指し示す用語になります。
そうだとすると、研究者等が、脆弱性を発見して、開発者に伝えても、何か、製品に「あるべきものが欠けている」、いわば、クレームをつけているのですか、という対応になってしまうことになりやすいわけです。なので、脆弱性という用語と欠陥・瑕疵という用語は、きちんと峻別して、「脆弱性」という用語を用いるばあいには、これは、別に開発者が「悪いわけではない」のですよ、というメッセージを伝えるべきであろうと考えます。そして、そのような考えに基づいて用語を選んできました。
経済産業省の「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(経済産業省告示第十九号)をみていただければ、
「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者 がアクセスできる状態を含む。)をいう。」
とされており(これは、当初の平成16年告示も同様)、早期警戒パートナーシップの取り組みにおいて、「脆弱性」の定義から、この点について留意がなされていることをわかっていただけるかとおもいます。
ある意味で、現代社会において、脆弱性をいかに取り扱うのか、というのは、もっとも繊細な配慮が必要になる分野であるような気がします。そのために国民に呼びかけるサイトにおいて、このような基本的概念について、配慮にかける表現があるのは、きわめて残念なことといわざるをえないとおもいます。