http://www.asahi.com/national/update/0104/003.html
今更な気がするんですけど。
それはさておき、
http://slashdot.jp/article.pl?sid=04/01/04/1327206&topic=92&mode=nested
なんかを見ていると、セキュアなシステム開発＝高コストという意識が高くていやんな感じなんですが。セキュアにしたからといってそんなにびっくらするほど工数かかるかなぁ？適切なツールなどを使えばどうでもいい機能を一つ削るだけで十分お釣りがでるほどの工数ですむと思うんですが。どうしてそういう提案ができないかな？
まあ世の中にセキュリティ＝難しいという意識が広まってるからのような気がする。完璧なセキュリティ対策はどうあがいても無理なのに、それがあると信じてやろうとするから無理がでるのであって、必要最低限のことさえやっていれば普通は問題ないんだから。
リスクとコストを考えて対策をとるということをしないと。

しかしこの記事で一番問題となるのは、自分が見つけてしまった脆弱性情報の通報方法だろう。こちとら善意（相手にはこれがわからないのが困りもの）でセキュリティホールを教えてあげたにもかかわらず、いっこうに対策をとってくれないとか、相手にしてくれないとか、酷いのになるとこちらを犯罪者扱いしてくれるとかされるとセキュリティホール情報は公開されなくなってしまう。そうなると困るのは利用者だったりするのが問題なんだけど。
やはりここは第三者機関などが脆弱性情報を受け付けて関係者に「なおせや」とやってくれるようにならないといけないのかもしれない。加えて、この第三者機関が関係者に連絡を取って一定期間後に問題を解消するもしくは対策案を出さなければ、何らかのペナルティ（金銭など目に見えるものがよいかな）を与えるとしない限り難しいのかもしれない。

なんかいい方法ないかねぇ。

と思ったらこんな記事がでていた。
http://it.nikkei.co.jp/it/news/virus.cfm?i=2004010407149zv
うーん、この組織で一元して脆弱性情報を受けて、関係者に連絡、フォローしてくれないかなぁ。