テクノロジー

2019.04.26 10:30

ハッカーに報酬支払う「バグバウンティー」制度 企業は導入を

Sergey Nivens / Shutterstock.com

郵便公社スイスポストが実施した電子投票システムへの公開侵入テストの結果、いくつかの重大な弱点が明らかとなり、同社は5月19日の国民投票での同システム使用見送りを強いられた。多額の報奨金と引き換えに脆弱性の特定を呼び掛けるこのテストについては、私も2カ月前の記事で紹介している。

私たちは今、デジタル手段を使った選挙介入行為の規模を認識し始めており、スイスポストが世界中のハッカーにシステムの安全性確認を呼びかける今回のテストを実施していなかったらどうなっていたかは想像に難しくないだろう。

自社のコンピューターシステムに試練を与えることの戦略的重要性を認識し始める企業は増えている。マイクロソフトは最近、セキュリティー研究者らによるシステム脆弱性発見サービスを提供する企業ハッカーワン(HackerOne)と提携し、自社のバグバウンティー(不具合報奨金)プログラムを刷新すると発表した。マイクロソフトはこれにより、自社のプログラムの魅力を高め、その結果として自社製品のセキュリティーに対する信頼性を高めることを狙っている。

またゼネラル・モーターズ(GM)をはじめとする他の大企業も、3年以上前から同様の取り組みを続けている。同じくハッカーワンと提携するドロップボックスも、最近シンガポールで開催した1日限定のバグ特定イベントにより264件の脆弱性を発見し、31万9300ドル(約3600万円)の報奨金を支払った。

昔から言われているように、“脆弱性の中で最悪なのは、まだ発見されていないもの”だ。最近はあらゆる企業が危険にさらされ、開発チームが全てのセキュリティー上の弱点をカバーするのが以前にもまして難しくなっている。

Linuxの生みの親であるリーナス・トーバルズの名を冠した「リーナスの法則」では、「十分な目があれば、全てのバグは浮き彫りになる」とされる。つまり、十分な数のベータテスターや共同開発者を揃えることで、ほとんど全ての問題点は直ちに特定され、修正法も明らかになるということだ。
次ページ > 完全なセキュリティーなど存在しない

編集=遠藤宗生

ForbesBrandVoice

人気記事