Hello there, ('ω')ノ
よくある報告時のすれ違い
報告者「これは重大な脆弱性です!」
開発者「そんな細かいことで…」
報告者「XSSの危険があります」
開発者「そのパラメータはテスト用だし」
👉 結果:「あの人、揚げ足取りばかり」と距離ができてしまう…
信頼を築く報告の基本姿勢
✅ 1. 「攻撃」ではなく「協力」の姿勢を明示する
NG:「これ、危険なので直してください」
OK:「念のため共有しますね。もし対策済みでしたらご容赦ください!」
報告は指摘ではなく共通の目標の確認です。
✅ 2. 「否定」ではなく「事実」をベースに伝える
NG:「この仕様おかしいですよね?」
OK:「この動作はこうなっていました。本来はこういう想定でしょうか?」
→ 感情や推測を減らして、再現性ある情報を伝えるのがコツ。
✅ 3. 開発者の目線に立った内容にする
- 修正箇所のヒントを添える(例:どのエンドポイントか)
- ログやスクショをつける
- 優先度がわかるように分類(例:「緊急対応不要ですが念のため」)
✅ 4. 事前に「相談スタイル」で話を切り出す
「こういう動作を見かけたのですが、仕様でしょうか?念のため…」
→ 「脆弱性かどうか確定してから報告しなきゃ」ではなく、途中でも一緒に確認する姿勢が信頼につながります。
報告テンプレート例(友好的なトーン)
📌 件名:お問い合わせフォームに関する挙動のご相談(CSRFの可能性)
お疲れさまです。 下記のような動作が見られたため、念のためご相談です。
発見箇所:https://test.example.co.jp/contact/send
内容:ログインなしでPOSTリクエストが成功しているようです。
想定される影響:CSRFのリスクがある可能性があります。
再現方法:添付のBurpログをご参照ください。
備考:テスト環境での確認です。本番では再現していません。
優先度:中(緊急ではありません)
対応方針についてご判断いただければ幸いです。
よくあるNGパターン
| NGパターン | なぜまずいか? |
|---|---|
| 上から目線の断定口調 | 「怒られた」と感じられてしまう |
| 結論だけで説明不足 | 再現できず放置される |
| 技術用語の羅列 | 誤解される or スルーされる |
チーム内の信頼が育つと…
- 報告しやすくなる
- 開発側も「ありがとう」と言いやすくなる
- 指摘=改善のチャンスという文化が根付く
セキュリティは“関係づくり”から始まります。
まとめ
- 報告は「攻撃」ではなく「協力」
- 感情ではなく事実ベースで、わかりやすく
- 優先度や再現性、開発者の手間を考慮した伝え方を意識する
- 良好な関係が、セキュリティレベルの底上げにつながる
Best regards, (^^ゞ
