アドバイザリのUI設計ミス（JVN編）

JVNを真似して設計すると、ほとんど絶望的な品質のアドバイザリ公開サイトができあがるよシリーズ第一弾。

JVNというIPAが運用する脆弱性アドバイザリを流すサイトがあります。
が、ここに出てくるアドバイザリや推奨行動の品質が大変にヒドく、どうも組織論レベルのエラーを起こしているであろう、ということで真面目にケーススタディしてみようと思います。

　　　つーか、フィードバックかけても根本的な改善しないのだよ彼らは。

まず一発目として。アドバイザリに書かれている情報項目の取捨選択バランスがよろしくない点。UI設計とか文章論とかのレベルで問題外なのですが、なんでこんなものが出てくるのでしょうか。

よっぽど組織（権限持ってる人のなかにおばかが混じってる？）に問題があるのではなかろうかと思われる次第。

http://jvn.jp/nav/jvnhelp.htmlに「脆弱性レポートの読み方」なる項目があります。ここには、以下のように技術者や科学者なら目を疑う内容の記述が存在します。

> 公開日：YYYY/MM/DD
>
> 脆弱性情報を JVN において公開した日付(日本時間)です。同じ脆弱性について、
> ベンダ(製品開発者)や US-CERT、CPNI などから情報が公開されていても、公開日は
> 一致しないことがあります。必要に応じてベンダ情報などを確認してください。
>
> 最終更新日：YYYY/MM/DD
>
> 最後に脆弱性情報に関する更新が行われた日付(日本時間)です。それまでの
> 更新については更新履歴に記載しています。

オリジナルの日付ではなく、JVNのレポートの公開日と最終更新日だけ。なにそれ。ていうかそれは「レポート公開日」と「レポート最終更新日」だよね？　まぁこれだけなら極悪ではないのですが、JVNのレポートは一次情報が公開されてから半年後に公開、なんていう遅延が発生することも珍しくありません。1～2週間遅れならしょっちゅう。

このような形で公開日・更新日を入れることそのものは悪ではありませんが、一次情報からあきらかに遅れたタイミングで公開する「後出し」レポートの分際で『公開日』を名乗るのは、かなり恥ずかしいところです。

この手のアドバイザリでは「公開日」のような「Published date」のように読めるものを書く場合、セオリーとして、

・一次情報の公開日を記載する
・一次情報からほとんど遅れない体制が組めている場合に限り、レポートの公開日を記載する（一次情報の公開日と誤認されても問題がない状態にする）
・遅れがある場合、「レポートの公開日」であることが明示的に分かるようにする

あたりが必須になります。何が問題かっつーと、Publishedになったタイミングからどれだけ経過しているか、というのが重要なインパクトファクターなのに、アドバイザリのUI設計ミスで、それを誤認させうる点。

たぶん、
・お役所的なお約束として、レポートの提出日を明記する必要がある
・それを「公開日」とする謎の文化圏に属している
・現場に正しく権限が委譲されておらず、実務上必要な内容が上位者の阿呆な判断によってねじ曲げられている
というあたりが敗因でしょうか。真面目に調査してケーススタディすると、経営論の良質な論文が一本書けそうです。

組織論レベルの敗北なので、改善はあまり期待できないかなー。