コンピュータソフトウェアの欠陥を発見する人がいます。そしてその人はどこかに通報するなり、公表するなりします。

そしてその情報は、いくつかのグループが情報集積します。ここまでは正確な情報が（そうでない情報も含んでいますが、）網羅的に集積されています。（これを情報群Aとしましょう）

その情報をきまぐれにCERT（世界規模）というグループがピックアップします。どの問題をとりあげるかはかなり気まぐれです。そして、そのとりあげる時期というのはさらに気まぐれです。

でもってこのCERTというグループがまとめた情報*など*を参照しつつ、JPCERT（日本ローカル）というグループが情報集積し、そのうちのいくつかを「この問題については、みなさん（日本ローカル）自分の製品がどうなってるか調べてください」と色々な会社や、ソフトウェア開発グループに「秘密裏に」言います。NDAとか結んでるそうです。

数多く知られているソフトウェアの欠陥情報から、どれがとりあられて「秘密裏の」調査対象になるのかは、情報群Aからは想像もできません。また、率直に言えば、JPCERTが扱う情報は、元情報から相当に歪曲（重要な情報がわざと欠落）されています。そして、そのJPCERTの情報はとてつもなく古いことがあります。

ところが、会社というのはこのJPCERTのお達しを金科玉条として、「社内秘密」としつつ自社製品の脆弱性を調べます。末端の調査担当までその調査指令がが来たときには、その「欠陥情報」はもう全くわけのわからないものとなっています。

注意したいことには、そもそも既に公開されている欠陥情報の何がどう秘密なのか全くわからないのです。またWebなどを利用して「調査」すれば「調査していること」自体を秘密にすることは不可能なのですが、これも「秘密にしろ」とのことなのです。

ところで、今php（というシステム）で特大の欠陥が発見され、世界中で大騒ぎになっていますが、JPCERTは現時点では（後になってどうするかは知りませんが、）どうやら何もアクションしてない模様です。でもって某会社では……というところからは、きっと後々「秘密」指定されるので秘密にしておきましょう（笑）。

アホですねー。