「XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会」を読んで。

IPAを通じて脆弱性の報告が来るということは、脆弱性の発見者がセキュリティ専門家だったりするため、対策が取られるまで公開されないことが予測できる。つまりIPAから脆弱性の報告が来る=緊急ではないという図式が成り立ってしまう！！

XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会より

連絡先の把握が困難

Webサイトにもよりますが、脆弱性報告のための窓口を用意しそれを明確に示しているWebサイトはあまり多くはありません。そのような連絡先をサイトごとに逐一探すくらいであれば、IPAに連絡するほうが手間が圧倒的に少なくて済みます。また、一般的な問い合わせ窓口へ脆弱性の報告を投げた場合、下手をすると、窓口となっている部門は適切に脆弱性のハンドリングができず、指摘した問題が適切な部門に報告されない可能性もあります(実際にそういう例は過去に幾度もありました)。

報告内容の書式が統一できる

2回以上同じ種類の脆弱性を報告するのであれば、書式の統一されているIPAの様式を使うほうがコピペで済みますので手間が省けます。まぁ、これはIPAを通さず直接連絡を取ってる場合でも自分用書式を持っていればコピペで済む話ではありますが、はじめて連絡する場合でも何から書けばいいのかよくわからない場合には報告内容が予め定まっているほうが書きやすいのではないかとは思います。

無駄な説明の回避

例えばXSSであれば「脆弱性により発生しうる脅威」には「XSSにより発生する脅威全般」と書いておけば、例えWebサイト運営側がXSSというものを理解していなくても、「XSSって何ですか？」という悲しい質問が報告者に直接返ってくることはありませんので、不毛な時間の消費を抑えることができます。

まぁ、もちろんWebサイトの中の人を直接知ってる場合には直接届け出るほうが楽だとは思いますけれど、IPAから連絡を受け取ったからといってそれを「専門家からの報告だ」と思われてしまうのはちょっとアレですね。

ところで、そろそろ焼肉と寿司が食べたいです！