明日の催しに参加するので、ポジションペーパーを書いてちょ、と言われてたのを思い出して書いてみたです。

「セキュリティ系コミュニティから情報公開を行う場合の指針」という議論におけるポジションペーパーby sonodam

（１）なぜコミュニティがトレセン方式に移行しているのか？
そりゃもうお互いのリスクヘッジのため。
どうもインターネットでは、
・面白そうな情報はネタとして迂闊にほいほい公開してしまう
・虚言ではありませんが、脚色しちゃう
・公開したり喋るだけならまだしも、ほいほい試しちゃう
という傾向があるように思えます。匿名になって身が軽く感じられたり、簡単に有名になれる（ように思える）のでちょっと調子に乗る、そういうことが背景にあるようです。
で、そういう人がひとり出てくると、そのコミュニティの活動自体が否定されてしまう（と受け取る）傾向もあるようです（この点については異論がありますけど）。だから、リアルに知り合うことでリスクヘッジしようと思うわけで、ぶっちゃけて言えばそういう人をフィルターしたいわけですね。あと互いにどういう行動をすべきか、言動をとるべきか、という判断基準を共有しあうとか。いずれにしてもリスクヘッジ。被害の局所化、という意味もありますが。

（２）人のリスクヘッジが済めば、妥当な判断基準があればいい
とはいえこれが難しいのですが（笑）。
情報の流通と発信などに関する妥当な判断基準とは何か。
現在、世の中が必要とするセキュリティ情報なんて実はそれほど多くないんじゃないか、という気がします。パッチ情報、セキュリティホールの情報があればよい。攻撃コードは必要ない。ツールも存在と機能くらいは知っていていいかも。いや、それも知る必要は特に無いなあ。そもそも使う必要が無いのだし。リスクと裏返しの機能さえわかっていれば、具体的なものは何も知らなくても防御はできますね。
という考え方、概念、ロジックは、日本では比較的受け入れられやすいと思うし、それを判断基準のベースにして、世の中に広く出していく情報、研究しなければならない狭いコミュニティの中だけで知っていればいい情報というのに分けて考えるのかな。
セキュリティ界が勃興したころは、そういう区別をしていたような気がするが。いつからボーダーが無くなったんだろう？

（３）各コミュニティの活動がステイタスを獲得していけば、情報発信基準に対するステイタスも獲得できる
コミュニティが立ち上がると、だんだんといろいろな判断基準が醸造されていきますよね。ちゃんとリスクヘッジしておけば、その判断基準はそれほど奇矯なものにはならないでしょう。

ところでこれ、何枚印刷してけばいいのかなあ（笑）？