悪用される可能性のあるIT上の脆弱性があなたの企業にも存在するというのは純然たる事実であり、これは私の勤務する大学でも同じだ。英国の大学を対象とした最近の研究では、ハッカー集団が2時間足らずで全大学に致命的な脆弱性を発見した。完全なセキュリティーなどというものは存在し得ない。セキュリティー分野の権威ジーン・スパフォードはこう述べている。
「真に安全なシステムとは、電源を落とし、コンクリートのブロックで囲み、鉛の壁の部屋に封印し、武装警備員を配置したものだ。それでも私は十分かどうか疑問だ」
そこまでする必要はないとしても、あなたが会社や組織の運営者なら、セキュリティーシステムがたった2時間で突破されてしまうような状況を防ぐべく、あらゆる対策を講じてできるだけ多くの問題点を特定・修正するべきだ。少なくとも、初歩的なミスなど極端にあからさまな脆弱性を悪用されないために人の頭で考え得る対策は全て取られている必要がある。完全なセキュリティーなど存在しないことは認めたとしても、さじを投げてしまうのではなく、努力はすべきだ。
バグバウンティープログラムは、優れたセキュリティー対策となる。厳選された外部のプロに依頼し、自社システムの脆弱性を全て洗い出してもらい、報酬を支払おう。どんなものでもそうであるように、セキュリティーは金がかかるものだ。脆弱性は、自分で発見できなかったとしても、他人が見つける。ただし、発見者が虚弱性を探す理由は、単なる善意によるものではないだろう。自社システムの脆弱性発見に懸賞金をかけることについて、費用に見合う価値がないとか、興味を持つ人がいないだろうと思っている人は、現代のセキュリティーが何たるかを理解できていない。
