はじめてのほうこく
IPAたんからの返事
IPAたんからへんじこない
のつづきです!!!
返事きたよ! きてました><
Date: Thu, 01 Feb 2007 20:43:06 +0900
To: Hamachiya2
Subject: 【IPA#32334280/IPA#11631745/IPA#92669403/IPA#94436430】 届出いただいた件について
- -----------------------------------------------------------------
このメールは、以下の取扱い番号に関する連絡です。
IPA#32334280/IPA#11631745/IPA#92669403/IPA#94436430
- -----------------------------------------------------------------
はまちや2様
IPA セキュリティセンターです。
Yahoo 、ジオトラスト、IPA のウェブサイトにつきまして、情報をご提
供いただき、ありがとうございます。感謝しております。
以上、よろしくお願いいたします。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
独立行政法人 情報処理推進機構 (IPA) セキュリティセンター
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
わーありがとうIPAたんだいすき!
なにをよろしくお願いされたのか全然わかんないけど、
そんな時間まで残業させちゃってごめんね!
ところで、ぼく今回は、誰かに「それってIPAに報告したらいいよ」って教えてもらったから
ふーんよくわかんないけど、そうするもんなんだって思って報告したんだけど、
そもそも IPAの「脆弱性の報告受付」の存在意義って、なんだろうね…!
いまさらだけど、ぼくなりに想像してみますね! 難しい資料とか読めないんで想像でごめんなさい><
(IPAたん首脳会議) →「世の中の情報システムの危険を減らすためにはどうすればいいのかな」 →「みんなで教えあって未然に危険を防ぐのもひとつの手じゃない?」 →「そんな流れを実現する手段のひとつとして…」 →「窓口を作ろう」 →「窓口があれば、みつけた人が教えてくれる機会がふえる」 →「窓口があれば、みつけられた人に、ノイズの少ない良質な形で伝えてあげられる」
うん! こういうことでいいのかな!
それで、もしこの前提で正しいのなら、いちばん大事な部分って…
→「窓口があれば、みつけた人が教えてくれる機会がふえる」
きっとここだよね!
そうこれは
「窓口があれば」→「機会がふえる」
ではなくて、正しくは、
「機会がふえるような窓口があれば」→「機会がふやせる」
だよね。
だから、ただの「投稿フォームがあれば物好きが報告するかも」くらいの窓口なら
そんなの必要ないとぼく思うよ><
しかも、良質な情報を伝えるための手段として、「なるだけ良質な情報のみ受け付けよう」なんて雰囲気のあるようなものなら、なおさらいらないんじゃないかな…!
そこに税金が使われているのかいないのか、なんてのは知らないけれど。
じゃあ次に機会を逃す理由…「報告されない」理由を考えてみますね!
仮に Hちゃんが、どこかの企業のネットサービスを利用してて
「あれ? これなんかおかしいんじゃない? いわゆる脆弱性?」
って思う箇所を見つけたよ。
そのとき Hちゃんが、それを誰にも「報告しない」理由としては…
- めんどくさい
- それが脆弱性なのかよくわからない、ちゃんと伝える自信がない
- なにも得しない
- 企業が逆ギレしてくる可能性がある、なんかリスクがある。つまり損しそう
他にもあるだろうけど、ぼくが思いついたのは、だいたいこのくらいかな!
だったらどうすれば Hちゃんは報告してくれるかな。機会をふやせるかな。
1. めんどくさくなくする
専用の書式で暗号化メールが云々だとか、項目の多いフォームをやめて、
もっとシンプルなものにしちゃおうよ!
「メール」「内容」くらいでもいいよ!
あと漢字も多いよ><
「うちってホラお役所だから」と妥協しないで、もっと漢字をひらいてね!
それは、きみ(中の人)のためのものじゃなくて、みんなのためのものなんだから…!
あと暗号もやめる。暗号化をやめるんじゃないよ。暗号。難しい言葉をやめる。
だっていきなり「PGPによる…」なんて言われても、ぼくよくわかりません><
たとえば「今後のやりとりは暗号化メールを希望 (PGPという技術を使います詳しくはこちら) よくわからなければチェックしなくていいです気にしないで!」
くらいの書き方ならどうかな!
2. つたない内容でも良いから、知ってること教えてねって姿勢でいこう
前提は「報告の機会をふやすこと」だよ!
たまに、いたずらやspamやらの手間をはぶく為に敷居が高くしてあるとか言っているひとがいるよね。
でもそれって3つの理由でおかしいと思うんだ
- もしぼくの考えた「窓口の存在意義」が、それであっているのであれば、機会そのものを減らすって考え方はおかしいよね…!
- 仮にもgo.jpのフォームだよ。いたずらする子なんて、多くはないよ。そもそも報告をもらえてる数も多くないよきっと。AlexaとかみてもわかるようにIPAたんより、はてなのサイトの方がずっとよく利用されてるよね。もしそんなのでIPAがパンクするくらい、おたよりもらってるなら、はてなとかのお問い合わせ窓口はもっと大変なことになってるよ。 でも、はてなはあの少人数でふつうにまわっているよね!
- 実はその手の入力ノイズの処理にかかるコストなんて高くないよ。そこをケチっちゃうのはバランスが悪いように思えるんだけどな!
だから、「なんか気づいた? なんでもすぐIPAに教えてよ!」くらいの勢いにすればいいのに!
3. 報告者に得をさせる
多くのひとが得したなーって思えるようなご褒美っていうと、やっぱりお金ってことになるだろうけど、そんなのはさすがに難しいよね!
だったら他にご褒美は考えられないかな…!
なんらかの欲求を満たしてあげるのはどうかな。
虚栄心・名誉心あたりを、ある程度みたしてあげれば良いと思うんだけど!
うまくできそうなら、競争心も。
たとえば、それを希望するひとのみ、報告してくれた数と重要度でランキングにして目立つところに発表したりとかは安直すぎる? だめかな…!
4. 報告者に損をさせない
報告したら訴えられちゃった>< …では、だれも報告なんかしないよね!
そういうのから守ってくれる、というのも窓口の存在意義のひとつであるのなら、
「大丈夫です!守ってあげます」という口約束ではなくて、
ちゃんと報告者に「ああこれなら安心して報告できる」と思わせなくちゃ。
それにはやはり、実名を求めてはだめ。
いやそれどころか、「匿名とか超ウェルカム歓迎です!」くらい書かなくちゃだめ。
なぜなら報告者は考えるから。
「いざトラブルとなったら、IPAは平気でぼくを売るんじゃないか。 うちはただの橋渡し役でして、訴えるならコイツです!って。 馬鹿正直に実名を書くことによって 少なくともIPAはそれをすることが簡単にできる」
と。
考えすぎかな…!
でもガイドライン(PDF)にはこう書いてあるよ。
「きみが望まない限り、きみが誰なのかを、ウェブサイト運営者には教えないよ」
うん。
たしかに、相手先には教えないって書いてあるけど…
きみの報告が、うっかり不正アクセス法とかに抵触するものであったとして
そして万が一、警察機関からIPAに要請があった時にはどうなるのかな…!
とかいろいろ書いちゃったけど、IPAたん、いけてますよ! たぶん小魚足りてます!
なんだか偉いひとは天下りらしいけど、IPAの若い子たちは、めげずに超がんばっちゃってくださいね!