多くの人々が，ハードウエア/ソフトウエア製品やネットワーク・サービス，Webサイトなどで，セキュリティ問題を発見している。一部の人たちは，コンピュータを日常使っている間に問題を見つけているし，ある人たちは趣味，また別の人は仕事の一部という目的を持ってセキュリティ問題を探している。

もしもセキュリティ問題を見つけたら
　もし，セキュリティ問題を見つけた場合にやるべきことは何だろう？ はっきりした答えは，その製品を作ったベンダーに連絡することだ。だが，ある会社の製品の1つに問題があることを見つけたと，あなたが当の会社に警告することは勇気のいることかもしれない。多くの会社では，自社の製品やサービスに関する問題点の報告を受ける用意をしていない。社員たちは，人々が問題を報告しようとしたときにどう対応するべきか分かっていない。もちろん，そういう会社のWebサイトや製品に付属する文書には，セキュリティに関することでだれに連絡を取るべきかという情報を提供していない。

　読者のみなさんと同様に，私はセキュリティ関連のメーリング・リストをたくさん購読している。そうしたリストの中で，だれかが特定の会社にどうやって連絡すべきかを聞いているメッセージを何度も読んでいる。それは，大抵こんな風なものだ。「私は，XYZ製品にセキュリティの問題があることを見つけました。この会社に電子メールで連絡を取ろうとしましたが，返事がありません。だれかこの会社のセキュリティに関する窓口を知りませんか？」と。

適切に対応しないとぜい弱性が公開される危険が
　よい見本がたまたま先日，起きた。広く使われているある製品にセキュリティ上の問題があるのを見つけただれかが，電子メールと電話でそのベンダーに連絡しようとしたのだ。彼は受付担当者にきちんと対応してもらえず，その情報を扱うべき本来の部署に伝えることができなかった。この人は自分が経験したことの詳細を，よく知られたセキュリティ関連のメーリング・リストに投稿したので，今度はその会社は対応のまずさを一般に知られるという恥に耐えなければならなくなった。そして同社のユーザーは，公表されたぜい弱性を攻撃されることによって，以前よりもひどい危険にさらされることになった。

　この会社が受付担当者に対してセキュリティに関する電話を適切に扱うよう訓練していれば，この事件は恐らく起きなかっただろう。その事態が明らかになって，問題の会社は有名なメーリング・リストにあるメッセージを読み，問題の発見者に素早く連絡を取った。この会社はさらにすぐに「security@」で始まるメール・アドレスのメールボックスを開設して，今後のレポートを受けられるようにした。

すぐにセキュリティ問題の窓口を設けよ
　もちろん，別の複数のケースでは，ぜい弱性の詳細を投稿した人物が積極的にベンダーに連絡を取ろうと努力しなかったことも分かっている。ぜい弱性の情報が公表されるべきかどうかという永遠の議論には加わらないつもりだ。

　しかし現状では，製品とサービスを提供するすべての会社が，製品に添付している文書や自社のWebサイト上に，セキュリティに関する連絡先の情報を明記するべきだろう。もし，ある会社のWebサイトが電子商取引サイトではなく，広告目的のサイトとしての機能しかないとしても，その会社は上述したような連絡先の情報を掲載するべきである。

　同様に，あなたが製品を買うときは，ベンダーがセキュリティに関する連絡先の情報を掲示しているかどうかをチェックすべきだ。結局のところ，あなたは入手できる中で1番安全な製品が欲しいのではないか？ もし，ある会社がセキュリティ問題に関してすぐに分かる形で連絡先を示していないのなら，人々がその会社にセキュリティ問題を報告することを必要以上に難しくしていることになる。そして先に指摘したように，報告が難しいことは，ぜい弱性が一般に暴露されてしまうことにつながりかねない。

　人々が潜在的なセキュリティ問題を報告するために使えるように「security@」や「secure@」といった電子メール・アドレスを開設する傾向があるようだ。まだ開設していないベンダーたちは，そういうアドレスを作ることを検討すべきである。