夜9時のNHKニュースに「ウィンドウズに新たな欠陥」が流れたようだ。録画してあった7時のニュースには流れていなかったが、実家の母からの電話によるとそうらしい。
報道の内容はこうだ。
マイクロソフト社製の基本ソフトWindows XPなどに、インターネットを通じて侵入される深刻な欠陥が新たに見つかり、マイクロソフト社では、先月と同じようなコンピュータウイルスによる被害がおきるおそれがあるとして、欠陥を急いで修復するよう、利用者に呼びかけています。
新たな欠陥が見つかったのは、マイクロソフト社製の基本ソフトWindows XPやWindows 2000などです。マイクロソフト社によりますと、今回見つかった欠陥をそのままにしておくと、インターネットを通じてパソコンに侵入され、重要な情報を盗まれたり消されたりするおそれがあるということです。
また、先月、ブラスターと呼ばれるコンピュータウイルスによる被害が相次ぎましたが、今回見つかった欠陥を狙って、同じようなウイルスによる被害がおきるおそれもあるということです。
マイクロソフト社では、欠陥を修復するソフトを今日からホームページで公開し、利用者に欠陥を急いで直して欲しいと呼びかけています。
すばらしい。さすがNHK、的確だ。(欠陥を「修復」というのは日本語として変だとは思うが。壊れたものを元に戻すわけではないのだから。「修理」でどうだろうか。)
ところで、ようやくこのように報道されるようになったわけだが、「欠陥」と報道することに対して、「欠陥という表現は不適切だ」といった趣旨の抗議の発言が出たことがあるらしいという情報を入手したことがある。なんでもその人物の言い分は、「コンピュータには専門の言い方があるのだから」というのだ。それ以上の詳しいことは聞いていないが、おそらく「『脆弱性』と言え」ということなのだろう。誰だか知らないが、「おまえは馬鹿か?」と言いたい。
「脆弱性」という言葉が使われるのには訳がある。セキュリティ上の問題点には、いろいろなものがあり、直ちに「欠陥」とはいえないが、あまりよろしくないこと(たとえば、別の何かと組み合わせた特定の条件下でだけ攻撃が成立するものや、十分な時間をかければ突破できるといった強度が低いという部類もの)が見つかった場合に、それをなんと呼べばよいだろうか。「欠陥」という用語でリストを作っていると、欠陥ではないものをリストに入れられなくなる。だから、より広い意味*1の言葉である「vulnerability」(日本語で、「弱点」ないし「脆弱性」)をリストの名称として使い、できるだけ多くの(危険性の低いものも含めて)リストに掲載するわけだ。
つまり「脆弱性」とは、欠陥である脆弱性と、欠陥でない脆弱性の両方を包括的に指す呼称なのだ。
自動車のいわゆる「リコール」にも、「リコール」の他に、「改善対策」と「サービスキャンペーン」という呼称がある。例えば本田技研工業の解説から引用すると、
<リコール> 自動車が道路運送車両の保安基準に適合しなくなるおそれがある状態で、その原因が設計または製作の過程にある場合、国土交通省に届け出て自動車等を無料で修理します。
<改善対策> 保安基準不適合状態ではないが、安全上または公害防止上放置できなくなるおそれがあり、その原因が設計または製作の過程にある場合、国土交通省に届け出て自動車等を無料で修理します。
<サービスキャンペーン> リコールまたは改善対策に該当しない場合であり、商品性や品質の改善のためにメーカーが行う修理・改修で、国土交通省の通達に基づく制度です。
先に述べた「欠陥でない脆弱性」へのパッチは、自動車で言う「改善対策」に相当するだろう。「サービスキャンペーン」は、セキュリティに関係しない通常のパッチといったところか。
欠陥と言える脆弱性のことを「欠陥」と呼んで何が悪いのか。一般に、特定の事象を説明するには、できるだけ狭義の言葉を使って説明するのが優れた説明である。どうして欠陥である脆弱性のことを、わざわざ「脆弱性」などという広い意味の言葉で言えというのか。 そして、MS03-026やMS03-039は、Microsoft自身が「緊急」と位置づけているのであるから、当然それは「欠陥」である。これが欠陥でないならば、欠陥は存在し得ないことになる。
もしかすると、「ソフトウェアはPL法の対象外だから『欠陥』と呼ぶべきでない」とかいう意味なのかもしれないが、「欠陥」というのは法律専用の言葉ではない。一般庶民も使う普通の日本語だ。むしろ、PL法の対象外だというのなら、欠陥と呼ばれたって問題なかろう。
同様のパターンとして、明らかに事故が起きたのに、「こういうのはインシデントと言うんですよ」などとぬかす奴もいる。
ちなみに、新聞の報道はどうか。
IT専門性の高いメディアほど、「欠陥」という言葉を使っていないようだ。それは、IT専門性の高いメディアでは、読者も専門用語を理解できるからだろう。一般の消費者に、「セキュリティホール」と言っても意味がわからないとするならば、「安全上の欠陥」と書くべきであり、それを「脆弱性と言え」などと抗議するのは愚の骨頂だ。
*1 「セキュリティ欠陥」より広い意味