Scribble at 2025-09-09 20:16:34 Last modified: 2025-09-10 09:37:47

これは一方、つまりフル・ディスクロージャに反対する立場だけの理屈を解説していて、非常にアンフェアだと思う。そもそも、日本では脆弱性を発見してもメーカーや開発元が海外のように報奨金もくれないわけで、たまたま見つけても、そもそも誰にも通報したり連絡しないという人だっているはずなんだよね。そのうち、本物の攻撃者に脆弱性を発見されてしまう。

もちろん報奨金制度にも限界があるし、企業としては却って自社の開発がヘボいことを自己証明してしまうようなものなので、あまり愉快なことでもないだろうが、だからといって役人に通報して情報を死蔵させるようなことは無益だ。

それに、この早期パートナーシップなんていう制度にしたって、実際には上場企業や大手企業で役人と六本木のノーパンしゃぶしゃぶに行ってるような情シスやセキュリティ部門の無能どもが作ってる茶話会にすぎないわけで、定年後に情報セキュリティ関連の監査機関や監査会社や子会社への天下りを世話しているようなところだ。僕らのような実務家ですら、この制度に関わる人々が実績を上げたのか全く知らない。せいぜい、低レベルな通俗本を書いたり、情報セキュリティ大学院大学のような「伏魔殿」で、何のアウトリーチもなく学術的な引きこもりを続けているくらいのものだ。

情報セキュリティにかかわる脆弱性情報を管理する機関として、信用に値しない。