debiruはてなメモ

はてなブログの HTML が Invalid なの、わたし、気になります

【1日目】ウェブ届出フォームってなに

IPA のことから話そう

私は友達と渋谷にあるクラフトビール飲める店に行くことがあるのだけれど、そこで友達はいつも IPA (インディア・ペール・エール)を頼んでいる。IPA は美味しいのだろうか。私はそもそもビールを飲まない。

この記事で話したい IPA はビールとは関係がない。話したいのは過去の記事でも書いた「情報処理推進機構(Information-technology Promotion Agency)通称 IPA のことである。IPA と書くと勝手にリンクが張られるが、このはてなのキーワードリンク先では下の方に出てくる説明の方である。

それで IPA がどうした

ここからは、はてなのキーワードリンクがうざいので []IPA[] のように管理画面から文字を打って文章を書いていくことにする。この方法はヘルプに書いてある。

IPA には「脆弱性関連情報の届出受付」というものがある。インターネット上には色々なWebサービス(Webアプリケーション)があるわけだけれど、ある脆弱性を見つけた人が「こんな脆弱性があったよ!」と IPA に通報することができるのである。Webサービスに限らずソフトウェア製品についてもその窓口がある。

ちなみに脆弱性とは「セキュリティ上の問題」のことであり「ぜいじゃくせい」と読む。

あなたが脆弱性を見つけた時、そのWebサービス事業者に直接連絡することもできる。しかしWebサービス事業者側にセキュリティ担当部署がなく、そうした通報を適切に処理できないことも少なくない。「あなた」からの連絡ではサービス事業者は(適切に)問題に対処しないということである。

Webサービス事業者だけが困るなら構わないが、脆弱性が放置されたときに困るのはそのサービスの利用者である。脆弱性の放置による被害を抑えるため(事業者に対して)脆弱性対策を促進したり、関連情報を公表・共有するために IPA とか JPCERT/CC といった機関がそうした窓口を設けている。詳細は IPA脆弱性関連情報の届出受付のページから参照できる。

ウェブ届出フォームとは

脆弱性関連情報の届出」を受け付けている IPA だが、その届出方法は2つあり、ブラウザ上で届出をするための「ウェブ届出フォーム」と、メールで届出をする方法が用意されている。しかし2011年5月時点の届出ページは次のようになっている。

(赤文字で)ウェブ届出フォームが停止されており、メールでしか届出ができないと書かれている。

「現在、ウェブ届出フォームは停止しております。ご不便をお掛けして申し訳ありませんが、届出については電子メールで届出頂けますよう、よろしくお願い致します。」

とのことである。脆弱性の届出方法が「メール」しか用意されていないのである。しかも、そのメールの様式はこのようになっている

  • 「四角記号(□)」と「黒四角記号(■)」で表現されるチェックボックス
  • 見逃しそうな「脆弱性関連情報の取扱いプロセス」への同意チェックボックスの存在(2015年4月以降)
  • 1行あたり70文字程度で改行を求められる
  • 空白文字(和字間隔)によるインデント表現

神エクセル問題に匹敵するクソフォーマットである。IPA脆弱性情報を届け出ようと思ってもこのメール様式に苦しめられるのである。なぜこの様式が求められるのか。なぜメールでしか届出方法がないのか。

この問題は「ウェブ届出フォーム」が復活することで解決されるはずだった。しかし、上記の「赤文字のメッセージ」は2017年になっても続いている。

このアドベントカレンダーでは、この「ウェブ届出フォーム」の動向を追っていこうと思う。そう思った理由は次の記事に記す。To be continued.

Next debiru's HINT 「ホームページいうな