脆弱性は、利用者もしくは攻撃者の特異な利用・攻撃の場合に生じる安全性の欠如状態をもさす点で、通常の瑕疵よりも広い概念となる。この概念の違いが、脆弱性を修正すべき義務の法的な位置づけを左右することになる。さらに脆弱性の発見行為について、不正アクセス禁止法の該当性、契約上の制限の問題があるし、脆弱性の公開については、同様に契約上の制限の問題や完全開示論と「責任ある開示」論の衝突、表現の自由のなかでの位置づけの問題がある。特にこの最後の問題に関連して、ソフトウェア等脆弱性関連情報取扱基準は、注目すべきものとなる。
言及状況
Twitter (7 users, 7 posts, 12 favorites)
脆弱性情報の「完全開示」対「責任ある開示」の考え方
https://t.co/u3m0lfK4Tw
https://t.co/NWXT8eonw2
https://t.co/m2wOhh2tSj
https://t.co/DgoxAqS2qn
https://t.co/QZvZhZwUCN
日本の事情に戻る
https://t.co/7OGd2Hh9Qq
日本では経産省の通知により発見者はIPCに報告、JPCERT/CCを通じてベンダに通達されるというスキームになっている
米国同様、この手続きは「関係者に推奨するもの」という位置づけで、直接法的に制限されるものではない
脆弱性の発見行為と法的な問題点
https://t.co/ISoTiOoK2J
一応、弁護士の方の文書なので信用できるかな。
こういうことは、学校で習わないかもしれない?
https://t.co/vncUk8uaFx
収集済み URL リスト
- https://ipsj.ixsq.nii.ac.jp/ej/?action=pages_view_main&active_action=repository_view_main_item_detail&item_id=65368&item_no=1&page_id=13&block_id=8 (1)
- https://ipsj.ixsq.nii.ac.jp/ej/index.php?action=pages_view_main&active_action=repository_action_common_download&item_id=65368&item_no=1&attribute_id=1&file_no=1&page_id=13&block_id=8 (6)