debiruはてなメモ

はてなブログの HTML が Invalid なの、わたし、気になります

【25日目】ウェブ届出フォームは終了しました

最後の質問

「ウェブ届出フォームはいつ再公開されますか?」

ウェブ届出フォームを振り返る

  • 2004年7月:IPA経済産業省の「ソフトウエア等脆弱性関連情報取扱基準」の告示に基づき、脆弱性届出受付を開始
  • 2005年2月:ウェブ届出フォームを公開
  • 2008年3月:ウェブ届出フォームをリニューアル
  • 2011年3月頃:ウェブ届出フォームを停止
  • 2016年4月:「停止」から「公開に向けて準備中」と表記が変更
  • 2017年6月:「準備中」から「再公開は2017年12月頃を予定」と表記が変更

2011年に停止されてから5年以上もウェブ届出フォームを待っているのに、2017年12月25日になっても公開されない。

IPA がダメなところ

ウェブ届出フォームが公開されなかったのでディスっていく。

押せないボタン

  • 「届出の際には、以下の2つの方法のどちらかをご利用ください。」
  • 「(1)電子メール、(2)ウェブ届出フォーム」
  • 「ウェブ届出フォームは停止中です」

いつまでそのボタン置いてるの。

メールの届出様式がクソ

ウェブアプリケーション脆弱性関連情報届出様式

  • 「四角記号(□)」と「黒四角記号(■)」で表現されるチェックボックス
  • 見逃しそうな「脆弱性関連情報の取扱いプロセス」への同意チェックボックスの存在(2015年4月以降)
  • 1行あたり70文字程度で改行を求められる
  • 空白文字(和字間隔)によるインデント表現

「神エクセル問題に匹敵するクソフォーマットである」と1日目の記事でも書いたが、この様式を決めたのは誰だ。

再公開する気あるの?

「近く稼動の再開を予定しております。」と言ったきり1年放置。

いつ再公開するつもりなのかという情報すら開示していない。

2017年6月に問い合わせたら、2017年12月頃の公開と言ってきた。

届出後に放置されるケース

届出が捌ききれてないって、捌ききれないこと自体は仕方ないけれど報告者を不安にさせるような運用はどうかと思う。取り扱いステータスを開示する仕組みぐらい用意したらどうか。

IPA からのメールが不達になるケースがあるらしいが、そういう情報を届出受付のページ上で公開しないのは何故なのだろう。

届出の取扱い順序がバカなの?

「情報セキュリティ早期警戒パートナーシップガイドライン-2017年版」の改訂に伴う運用変更についてにもあるけど、

  • これまでの運用:「一律、届出を受付した順序等で取扱う」
  • 変更後の運用:「受付の順序に関わらず、届出された脆弱性による影響が大きい場合は優先的に取扱う」
  • 期待する効果:「社会への影響が大きい脆弱性の迅速な対策促進」「脆弱性による社会的被害の低減」

むしろなんで今まで優先度付けなかったの。

届出制度の説明会の実施日が平日の昼

脆弱性届出制度に関する説明会の実施、参加者募集について

会社休んで行けばよかったのかな?

説明会のまとめを読むと、報告者に対してCVSSの算出をさせて届出の負担が増えたり、報告のモチベーションが下がったという話がされているが、届出制度の在り方はこれで大丈夫なのか。

IPA の問い合わせフォームがクソ

お問い合わせのページだが、

本お問い合わせでは、お問い合わせ完了に伴う「完了メール(確認メール)」は送付されません。あらかじめご了承ください。

なんでやねん。問い合わせフォームでメールアドレスを間違えた場合に気付くことができないではないか。間違える方が悪い?いやいや、仕組みで解決できる問題を取り組もうとしないのはただの怠慢ではないか。

お問い合わせ本文が「全角400文字以内」と制限がある意味も分からないし、その理由を聞いてみるとこの回答である。

一般に原稿用紙1枚相当である400文字が適切な文字数であると判断しました上で、設定をさせていただいております。

弊機構の事業に無関係な内容や、広告宣伝等のスパム行為などを誘発する恐れなど、業務に支障が生じるリスクを考慮しまして、400文字以内にて、弊機構の事業に関するご意見やご質問等のお問い合わせを頂戴させていただくこととしております。

現在は長文のお問い合わせについては、複数通に分けてのお問合せをお願いしております。

IPA がこのような運用をしていてよいのだろうか。

ウェブ上のフォーム送信に対して、ユーザに完了メール(確認メール)を送信しない理由(特にセキュリティ的な観点からの理由)があるのであれば、是非ともそれを公開してほしい。

フォームから送信された内容を全て含める形で確認メールを送信することは、メールアドレスの入力を間違えた際にフォームに入力した住所情報やセンシティブな内容が、第三者(入力した誤ったメールアドレス)に送信されてしまうケースを考慮すると必ずしもよいことではない。しかし、そうした情報を除外した上で完了メールくらいは送るべきだろうと思う。受理されたかどうかすら分からないのでは返信を待つのも苦痛である。

返信が来ない

お問い合わせのページから「最後の質問」を送信してから3営業日が過ぎている。

本画面で受け付けたお問い合わせ等への回答は、問い合わせ後の翌営業日から起算して3営業日以内に回答をいたします(土日・祝日を除く)。

問い合わせ後の翌営業日から起算して3営業日を過ぎても回答が無い場合には、お手数ですが、再度お問い合わせください。なお、内容により回答まで数日かかる場合もございますので、あらかじめご了承ください。

私は「回答まで数日かかる」ような質問をしてしまったのだろうか。その答えは分からない。

しかし12月25日を迎えても再公開される気配はないし、それに関する質問にすら返答がない時点で「察し」なのである。

最後のステータス

https://www.ipa.go.jp/security/vuln/report/index.html

改修中

今日を以てウェブ届出フォームの動向を追うのは終了しよう。ウェブ届出フォームは終わったのだ。

こんなウェブ届出フォーム Advent Calendar 2017 なんてものが期待する結末を迎えるはずがない。THE END

Next debiru's HINT 「ホームページいうな