米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)は、倫理的なハッカーが米国連邦機関にセキュリティ上の脆弱性を報告できる脆弱性開示プログラム(VDP、vulnerability disclosure program)を開始した。
このプラットフォームはサイバーセキュリティ企業であるBugcrowdとEndynaの協力を得て立ち上げられたもので、米国政府の民生機関が、より広範なセキュリティコミュニティからセキュリティ脆弱性の届け出を受け、トリアージし、修正することを可能にする。
CISAとして知られる連邦サイバーセキュリティ機関がその監督下にある民生部門に対し、独自の脆弱性開示ポリシーを策定・公開するよう指示してから1年弱でこのプラットフォームは立ち上げられた。これらのポリシーは、どのようなオンラインシステムをどのようにテストしてよいのか、またはしていけないのかを示し、セキュリティ研究者の活動ルールを定めることを目的としている。
民間企業では、ハッカーがバグを報告するためのVDPプログラムを運営することは珍しくない。多くの場合、ハッカーに報酬を支払うバグバウンティ(報奨金)を併用している。米国防総省は長年ハッカーとの関係を受け入れているが、米国政府の民生機関は遅れをとっていた。
関連記事:バグ報奨金プラットフォームのBugcrowdが32.5億円を調達
2020年にシリーズDで3000万ドル(約32億8500万円)を調達したBugcrowdは、このプラットフォームによって「企業のセキュリティギャップを特定するために現在使用されているのと同じ商用テクノロジー、世界レベルの専門知識、助けになる倫理的ハッカーのグローバルコミュニティへのアクセスを、政府機関に提供することができる」と述べている。Bugcrowdの創業者であるCasey Ellis(ケイシー・エリス)氏は、今回の(CISAからの)指示についてTechCrunchにこう語った。「ハッカーがインターネットの免疫システムとして果たす役割にとって、これは新たな分岐点となるでしょう。Bugcrowdのチームは、CISA、DHSと提携して米国政府とこの取り組みを進めることを非常に誇りに思っています」。
CISAが今後、他の政府機関とセキュリティ上の脆弱性に関する情報を共有するのにもこのプラットフォームは役立つ。
このプラットフォームの立ち上げは、政府機関のサイバーセキュリティがここ数カ月で何度も大きな打撃を受けた後でのことになる。その中には、ロシアのスパイ活動によって米国の大手ソフトウェア企業SolarWindsの技術にバックドアが仕込まれ、少なくとも9つの連邦政府機関にハッキングされた事件や、中国政府に支援を受けたハッカーに関連して何千ものMicrosoft Exchangeサーバーが悪用された事件などが含まれていた。
関連記事
・米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害
・中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告
カテゴリー:セキュリティ
タグ:米国土安全保障省、ハッカー、アメリカ、バグ、Bugcrowd
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)