脆弱性届出制度に関する説明会のつぶやきまとめ

ykame @YuhoKameda

IPAの脆弱性診断届出制度の説明会に来ている

Yosuke HASEGAWA @hasegawayosuke

脆弱性の届け出時に、報告者が自分でCVSSまで計算とか、カジュアルに報告する気完全に失せるよｗ

ykame @YuhoKameda

脆弱性届出制度の変更が微妙すぎる…、詳細の報告させてハードルあげて報告数を減らすのは分かるけど、善意の報告すら大幅に減りそう

yousukezan @yousukezan

Webサイトの脆弱性に関してはIPAは転送しかしないっぽいので直接連絡が取れない時以外は報告する意味はなさげ

yousukezan @yousukezan

Webサイトの脆弱性の届出が減ってるのはIPAに届出してもメリットがないと思われるんじゃないのかあ

ykame @YuhoKameda

脆弱性報告制度をベースにWebサイト/製品から脆弱性を減らす世の中ではなくて、脆弱性診断を行う取り組みをもっと普及させて脆弱性を生み出さない取り組みに力を入れたいと思えてくる

yousukezan @yousukezan

交流の場は設けないけどこれから昼食だから下のレストランでも使って勝手に交流すればいいんじゃね？ってご提案がw

ykame @YuhoKameda

Web系の脆弱性報告については、報告者として表彰されたい人以外は報告するメリットが少ないと考える人が今まで以上に増えるのかな。 謝辞の意味は大きかったと思う。

Yosuke HASEGAWA @hasegawayosuke

IPAによる脆弱性届け出のWebフォーム、今年中には再開の予定とのこと。

Yosuke HASEGAWA @hasegawayosuke

DLLの脆弱性についてのIPA回答→「大量届け出によって手詰まりになった。現在は落ち着いてきている」

Yosuke HASEGAWA @hasegawayosuke

質問：影響の大きな脆弱性について不正アクセス禁止法に抵触する可能性を排除しつつ脅威を正解に見積もるの無理ゲー感　→　回答：気をつけてとしか。

Yosuke HASEGAWA @hasegawayosuke

yousukezan さんがブッコミ過ぎてて面白い

ykame @YuhoKameda

JVNに掲載される脆弱性情報が減っていく(掲載される保証がない)ことによって、JVN情報をベースに配信しているVuls等の精度が落ちていくことは懸念かもしれない

Yosuke HASEGAWA @hasegawayosuke

「僕はしないですけど、しそうな人いるじゃないですか。ドバイの人とか。」

ykame @YuhoKameda

@tomoki0sanaki 設計や開発レベルから脆弱性作り込みの意識やチェック機構が必要なことは間違いない気がしますね！

Yosuke HASEGAWA @hasegawayosuke

「今日の説明会で報告者のモチベーションが下がったということはヒシヒシと伝わっております」

ykame @YuhoKameda

IPAからあがってくる脆弱性届出状況の報告内容(傾向や件数)に真実味がなくなる可能性

yousukezan @yousukezan

IPA後にごはん instagram.com/p/Baalc3ejH4C/

拡大