脆弱性発見から対処法公開までのルールを明確化〜IPA、研究会報告提言

http://internet.watch.impress.co.jp/cda/news/2004/04/06/2689.html

「脆弱性情報を受け付けます」，IPAが窓口を設置へ

http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040406/142498/

報告書の本体はここ

http://www.ipa.go.jp/security/fy15/reports/vuln_handling/documents/vuln_handling_2004.pdf

高木さんのコメント

http://d.hatena.ne.jp/HiromitsuTakagi/20040407

Lucreziaさんのすごく鋭いつっこみ

http://d.hatena.ne.jp/Lucrezia/20040406

私見からの結論を言うと、「（善意ある人は）だれも通報できません」
このままでは日本は、セキュリティホールを見つけても表ざたにならず裏のアングラサイトなどだけで情報が伝達され、悪意ある攻撃者にやられ放題になるのではないの？
不正アクセスを助長するのはいけないことだけど、開発者や当事者の試験では見つけられないから、第3者の善意の通報がセキュリティホール発見の重要な情報源なのに。
いままで、当事者ら自らセキュリティホールってどれくらい見つけられたでしょうか？
高木氏いわく「今の段階で可能な現実的な落とし所に落ち着いていると思う」とのことだけど、過去のセキュリティ発見のプロセスをすべて無視して、法の中しか議論されていないのかな？
善意ある発見者・通報者は通報することによって犯罪者にはなりたくないので通報しない。しかし、悪意ある発見者・攻撃者は法律を気にすることなく攻撃してくるのだと思うけど。
つまり法律を守りすぎるために、悪意あるものから守れなくなるという典型的な悪循環ではないでしょうか？