カジノサイト 最もお尋ね者: コンピューターのバグ
電信業界を掌握することに成功し、19 世紀の技術革新の屋台骨であるウエスタン ユニオンは、この春、21 世紀に向けて大胆な動きをとりました。同社は、セキュリティ研究者がサイバーセキュリティの脆弱性を会社に直接報告するよう奨励するために、公的脆弱性報奨プログラム (一般的にはバグ報奨金プログラムとして知られています) を創設しました。
フォーチュン 500 の金融会社として、ウェスタン ユニオンはバグ報奨金プログラムの構築について議論したことはありませんでした。しかし、グレーハットハッカーが同社に脆弱性を報告しようとし、電子メール、電話、ソーシャルメディアでの呼びかけを通じて適切な人物に連絡するのに数週間を費やしたことが何度かあった後、同社は変化が必要であると認識した、とウエスタンユニオンの情報セキュリティディレクター、デビッド・レビン氏は述べています。
この変更により、クラウドソーシングのセキュリティ テスト会社である Bugcrowd の協力を得て、2013 年末に非公開のバグ報奨金プログラムが作成され、報告されたバグに対応し、「息抜き」ができるようになったと Levin 氏は付け加えました。
バグレポートが続々と寄せられ、ウエスタンユニオンはデューデリジェンスを完了した後、この春にプログラムを公開することを決定しました。研究者は現在、Bugcrowd を通じて登録して、発見したウエスタンユニオンの脆弱性を報告することができ、100 ドルから 5,000 ドルの報酬が支払われます。
このプログラムを作成することにより、ウェスタン ユニオンの社内チームは解放されて脆弱性の解決策を見つけることに集中できるようになり、同時に Bugcrowd の研究コミュニティを活用して脆弱性を最初に報告できるようになりました。
「これまでセキュリティを無視していたわけではありません…しかし、別のレベルの専門知識を活用したかったのです」とレビン氏はプログラム作成の決定について説明しており、公開以来、着実に提出が続いている。
バグ報奨金プログラムは 2000 年代初頭に初めて登場しましたが、Google や Facebook などの大手テクノロジー企業が導入し、ここ数年で注目を集めてきました。
すべてのプログラムが同じというわけではありませんが、通常、各企業は参加を希望する研究者向けの要件を概説し、世界のインターネット コミュニティに自社のシステムをハッキングしてプロセスを文書化し、それを企業と共有して報酬、つまり報奨金を得るように依頼します。インセンティブは、無料の T シャツから殿堂入り、金銭的報酬まで多岐にわたります。
この取り組みをサポートするインフラストラクチャを備えた一部の企業は、バグ報奨金プログラムを独自に運営しています。小規模な企業やテクノロジー分野に属さない企業などは、Bugcrowd や GitHub などの別の企業にバグ報奨金プログラムの作成と管理を依頼することができ、社内スタッフは脆弱性を見つけるのではなく、脆弱性の修正とパッチ適用に時間を費やすことができます。
これらのプログラムは非公開にすることができるため、精査された研究者のみがバグを報告し、報奨金が利用可能であることを知ることができます。つまり、プログラムは誰にでも公開されており、秘密にされることはありません。
プログラムが公開か非公開かに関係なく、成功の鍵となるのは、企業がプログラムを通じて脆弱性を報告する際に研究者とどのような関係を期待するかを詳しく説明することです。これは研究者が、企業が脆弱性を報告するためにどのようなプロセスを使用することを望んでいるのか(ソーシャル メディア ページに投稿するのではなく Web ポータルを通じて提出する、会社の担当者に直接連絡するなど)、および企業がどのような脆弱性に対してインセンティブを提供するつもりなのか(すでに報告されているバグに対して研究者に報酬を与えないなど)を理解するのに役立ちます。
プログラム マネージャーは、会社が「あなたの期待が何であるか、関係がどのようなものであることを期待しているかを明確に伝えている」ことを確認する必要があると、Bugcrowd の CEO 兼共同創設者の Casey Ellis は言います。 「そして、それを世に出して、誰かが実際にこの種の活動に参加する前に、何が期待されるかを知ってもらい、その期待に確実に応えられるようにすることが重要になります。」
管理者は、研究者の多くが英語を母国語としないことも考慮する必要があります。たとえば、Facebook の年次バグ報奨金ハイライトによると、2014 年に Facebook のバグ報奨金プログラムに有効なバグを提供したのはインドが 196 件で最も多く、次いでエジプトが 81 件、米国が 61 件でした。
このため、企業にとって、バグ報奨金のガイドラインと研究者の期待が第二言語として英語を話す人にとって容易に理解できるものであることを保証することがますます重要になっています。 「最終的に重要なのは、対立が存在し、それを乗り越える必要があることを認識し、その結果、コミュニケーションを可能な限りシンプルかつ明確にすることです」とエリスは説明します。
Google は、バグ報奨金 Web サイトを通じて、バグの種類や報告された場合に予想される価格帯など、プログラムの要件と期待事項を概説することでこれに対処しています。また、優れたバグ レポートとみなされるものの例や、質問がある研究者向けの連絡先情報も含まれています。
「特定のバグごとにどれくらいの金額を支払う可能性があるかを、できる限り詳細に研究者に伝えるべきだと考えています」と、Google のトラブルメーカーである Chris Evans 氏は 4 月の RSA パネル ディスカッションで説明しました。 「研究者に詳細を提供するほど、提供する内容に固執するほど、研究者はより満足することがわかりました。」
バグ報奨金プログラムは、時間の対価として人々にお金を払うのではなく、正当な結果を奨励することで機能するため、研究者を満足させることが重要であると、エヴァンス氏とのパネルディスカッションで Facebook のテクニカル プログラム マネージャーのネイト ジョーンズ氏は述べました。
「そして、特にこのような大規模なプログラムの場合、それは私たちにとって非常に費用対効果が高いことがわかりました。」と彼は説明しました。 「報奨金で支払うほうが、従来型の侵入テスト会社に多額のお金を支払うよりも、脆弱性ごとにはるかに安価です。」
エヴァンス氏もこれに同意し、次のように説明しました。「たとえ、私たちの多くがそうしているような、非常に優秀で強力な社内セキュリティ チームがあったとしても…数十人の社内研究者が、数千人の外部研究者の潜在的なプールと競争するのは難しい。」
そして研究は彼らの立場を裏付けています。 2013 年にバークレーの研究者 3 名が発表した報告書「脆弱性報奨プログラムに関する実証研究」によると、バグ報奨金プログラムはセキュリティの脆弱性を発見するための費用対効果の高いメカニズムとなり得るとのことです。
このレポートでは、Google Chrome と Mozilla Firefox が提供するバグ報奨金プログラムを調査しました。その結果、両社のプログラムのコストは、ブラウザ セキュリティ チームのメンバーを 1 名だけ雇った場合のコストに匹敵することがわかりました (給与が 10 万ドル、諸経費が 50% であると仮定)。
「[バグ報奨金プログラム]の利益は、1人のセキュリティ研究者による利益をはるかに上回ります。なぜなら、これらのプログラムのそれぞれが、1人の研究者が発見できるよりも多くの脆弱性を発見するからです。」と報告書は述べています。さらに、レポートでは、脆弱性を探す研究者の数が増えると、発見されるバグの多様性も高まることがわかりました。
さらに、脆弱性を報告した研究者に報酬を与えることで、参加を促進することができます。 「これは、宝くじのインセンティブを理解する上で理にかなっています。潜在的な賞金額が大きければ大きいほど、参加者はより低い期待利益を受け入れる意欲が高くなります。これは、脆弱性報奨プログラムの場合、プログラムがより多くの参加者を期待できることを意味します。」と報告書は述べています。
一部の企業では報奨金として記念品やポイントを配っているが、レビン氏は報酬として「金銭的なオプション以外のものを提供するのはばかげている」と考えているという。 「無料の車と無料のドーナツのようなものです。どちらがより魅力的ですか?」さらに、多額の金銭的報酬により、研究者はバグを悪用したり、ダークウェブで販売したりするのではなく、会社に直接報告するよう奨励されています。
報酬は、企業がバグに対応するリズムを確立できるように、常に報告されるバグの数を制御することもできる、とエバンス氏は述べた。 「低価格から始めると、おそらくいくつかの良いバグが入ってくるでしょう。そして、それが徐々に減り、それが制御されていると思ったら、ダイヤルを上げて、ノブを回すだけで、さらに多くのバグが入ってくるでしょう。」と彼は説明した。 「Google ではそれを非常に成功させました。」
しかし、研究者がバグ報奨金プログラムに参加する理由は金銭的な報酬だけではありません。エリス氏によると、もう 1 つの主要な動機は、何かがどのように機能するかを理解したいという学術的な動機です。
「私は、物事がどのように機能するかを理解し、何かがどのように機能するかを理解するための課題を自分で作成し、おそらく制限を創造的に克服して、本来すべきではないことを実行できるようにするのが好きです。」とエリスは言い、これが多くの研究者にとって共通の原動力であると付け加えました。
さらに、研究者はバグ報奨金プログラムに参加して個人ブランドを構築し、自分のスキル レベルを証明する第三者からの評価を受けることにも意欲を持っています。これは参加を強化する「良い気分」であるだけでなく、研究者の仕事につながり、企業が人材を発掘するのにも役立ちます。
バグクラウドでは、テスラに雇用された元トップ研究員も含め、多くの研究者がこれらのプログラムへの参加を一部の理由として企業から内定を得ているのを見てきたとエリス氏は言う。
最終的には、バグ報奨金プログラムはサイバースペースでの競争条件を平準化するため、研究者とそれを運営する企業の両方にとって有益です。
「インターネットに接続していると、誰でもあなたをハッキングできます」とエリスは言います。 「それでは、なぜ手を挙げて助けようとする人の種類を制限するのでしょうか?」