大規模接種センター予約サイトの問題は脆弱性か?
昨日の記事に引き続き、大規模接種センターの予約サイトで話題になっている問題について記事を書きたいと思う。
Twitterを眺めていると、「システムの脆弱性はいきなり公にされるのではなく、IPA(情報処理推進機構)などを通じてサービスの管理者と調整のうえ攻撃を誘発しないように処理されるべきである、今回の朝日新聞出版と毎日新聞の対応は不適切だった。」という主張を目にした。
私としては今回の問題は情報漏えいやシステムの停止を招くものではないので、脆弱性と呼ぶのに違和感を覚えたので詳しく調べてみた。
脆弱性とは
IPAが公開しているWebページを参照すると次のように定義されている。
脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。
脆弱性とは情報セキュリティ上の欠陥であるとされているが、それでは情報セキュリティとは何であろう?
情報セキュリティとは
改めて調べてみると情報セキュリティは、JIS Q 27000(すなわちISO/IEC 27000)によって、情報の機密性、完全性、可用性を維持することと定義されていた。JISやISOで定義されていたとは驚きだった。それぞれの要素は次のとおりである。
機密性 (Confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
完全性 (Integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること
可用性 (Availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること
これらの機密性、完全性および可用性を脅かす欠陥が脆弱性ということになる。
総括
予約サイトで問題となっている不具合は情報が漏えいしたり、情報がシステムの機能以外から改ざん、消去されるものではない。さらに情報および関連資産へのアクセスが中断されるものでもない。そのため脆弱性には当たらない。
そもそも問題の予約サイトはユーザーが任意の接種券番号、市町村コード、生年月日で予約を取れるシステムという仕様になっている。初めから接種券番号による本人確認機能は搭載されていないので、接種会場に訪れた人がシステム上に登録された人物と一致しなかったり、架空の予約であるため希望者が予約に来なかったりする課題を業務上の工夫で解決しなければいけない。