<前の日記(2003年09月10日) 次の日記(2003年09月14日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 602   昨日: 3852

2003年09月11日

「欠陥」なのか「脆弱性」なのか

夜9時のNHKニュースに「ウィンドウズに新たな欠陥」が流れたようだ。録画してあった7時のニュースには流れていなかったが、実家の母からの電話によるとそうらしい。

報道の内容はこうだ。

マイクロソフト社製の基本ソフトWindows XPなどに、インターネットを通じて侵入される深刻な欠陥が新たに見つかり、マイクロソフト社では、先月と同じようなコンピュータウイルスによる被害がおきるおそれがあるとして、欠陥を急いで修復するよう、利用者に呼びかけています。

新たな欠陥が見つかったのは、マイクロソフト社製の基本ソフトWindows XPやWindows 2000などです。マイクロソフト社によりますと、今回見つかった欠陥をそのままにしておくと、インターネットを通じてパソコンに侵入され、重要な情報を盗まれたり消されたりするおそれがあるということです。

また、先月、ブラスターと呼ばれるコンピュータウイルスによる被害が相次ぎましたが、今回見つかった欠陥を狙って、同じようなウイルスによる被害がおきるおそれもあるということです。

マイクロソフト社では、欠陥を修復するソフトを今日からホームページで公開し、利用者に欠陥を急いで直して欲しいと呼びかけています。

NHKニュース, ウィンドウズに新たな欠陥, 2003年9月11日

すばらしい。さすがNHK、的確だ。(欠陥を「修復」というのは日本語として変だとは思うが。壊れたものを元に戻すわけではないのだから。「修理」でどうだろうか。)

ところで、ようやくこのように報道されるようになったわけだが、「欠陥」と報道することに対して、「欠陥という表現は不適切だ」といった趣旨の抗議の発言が出たことがあるらしいという情報を入手したことがある。なんでもその人物の言い分は、「コンピュータには専門の言い方があるのだから」というのだ。それ以上の詳しいことは聞いていないが、おそらく「『脆弱性』と言え」ということなのだろう。誰だか知らないが、「おまえは馬鹿か?」と言いたい。

「脆弱性」という言葉が使われるのには訳がある。セキュリティ上の問題点には、いろいろなものがあり、直ちに「欠陥」とはいえないが、あまりよろしくないこと(たとえば、別の何かと組み合わせた特定の条件下でだけ攻撃が成立するものや、十分な時間をかければ突破できるといった強度が低いという部類もの)が見つかった場合に、それをなんと呼べばよいだろうか。「欠陥」という用語でリストを作っていると、欠陥ではないものをリストに入れられなくなる。だから、より広い意味*1の言葉である「vulnerability」(日本語で、「弱点」ないし「脆弱性」)をリストの名称として使い、できるだけ多くの(危険性の低いものも含めて)リストに掲載するわけだ。

つまり「脆弱性」とは、欠陥である脆弱性と、欠陥でない脆弱性の両方を包括的に指す呼称なのだ。

自動車のいわゆる「リコール」にも、「リコール」の他に、「改善対策」と「サービスキャンペーン」という呼称がある。例えば本田技研工業の解説から引用すると、

<リコール> 自動車が道路運送車両の保安基準に適合しなくなるおそれがある状態で、その原因が設計または製作の過程にある場合、国土交通省に届け出て自動車等を無料で修理します。

<改善対策> 保安基準不適合状態ではないが、安全上または公害防止上放置できなくなるおそれがあり、その原因が設計または製作の過程にある場合、国土交通省に届け出て自動車等を無料で修理します。

<サービスキャンペーン> リコールまたは改善対策に該当しない場合であり、商品性や品質の改善のためにメーカーが行う修理・改修で、国土交通省の通達に基づく制度です。

リコール制度・改善対策制度とは

先に述べた「欠陥でない脆弱性」へのパッチは、自動車で言う「改善対策」に相当するだろう。「サービスキャンペーン」は、セキュリティに関係しない通常のパッチといったところか。

欠陥と言える脆弱性のことを「欠陥」と呼んで何が悪いのか。一般に、特定の事象を説明するには、できるだけ狭義の言葉を使って説明するのが優れた説明である。どうして欠陥である脆弱性のことを、わざわざ「脆弱性」などという広い意味の言葉で言えというのか。
 そして、MS03-026やMS03-039は、Microsoft自身が「緊急」と位置づけているのであるから、当然それは「欠陥」である。これが欠陥でないならば、欠陥は存在し得ないことになる。

もしかすると、「ソフトウェアはPL法の対象外だから『欠陥』と呼ぶべきでない」とかいう意味なのかもしれないが、「欠陥」というのは法律専用の言葉ではない。一般庶民も使う普通の日本語だ。むしろ、PL法の対象外だというのなら、欠陥と呼ばれたって問題なかろう。

同様のパターンとして、明らかに事故が起きたのに、「こういうのはインシデントと言うんですよ」などとぬかす奴もいる。

ちなみに、新聞の報道はどうか。

IT専門性の高いメディアほど、「欠陥」という言葉を使っていないようだ。それは、IT専門性の高いメディアでは、読者も専門用語を理解できるからだろう。一般の消費者に、「セキュリティホール」と言っても意味がわからないとするならば、「安全上の欠陥」と書くべきであり、それを「脆弱性と言え」などと抗議するのは愚の骨頂だ。

*1 「セキュリティ欠陥」より広い意味

検索

<前の日記(2003年09月10日) 次の日記(2003年09月14日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2003年09月10日) 次の日記(2003年09月14日)> 最新 編集