2004-04-11 「情報システム等の脆弱性情報の取扱いに関する研究会」報告書の公表について IPA セキュmemoでも、Lucrezia Borgia様のRoom Cantarellaでも、IPAの報告書に突込みが入りまくりです。こんなんでいいのか?「攻撃せずに脆弱性を発見する」ためには 指摘したいサイトと全く同じテスト環境を作成し、テスト環境で脆弱性を立証する。 しかないでしょう。大規模サイトだったらどうするのでしょう? 大規模サイトこそ、社会的に影響も大きいはずです。