最近はソフトウェアやインターネットサービスの脆弱性に起因する問題があとを絶ちません。
2015年5月の日本年金機構による情報漏えい事件、2014年のベネッセコーポレーションによる個人情報漏えい事件など、多くの情報漏えい事件はソフトウェアやOSの脆弱性を悪用して感染するウィルスや不正アクセスによって引き起こされるケースが多くなっています。

企業の脆弱性への対応における最新事情

これまで脆弱性についての情報はソフトウェアベンダーやOSベンダー自体が自ら見つけ出すケースや、セキュリティ対策ベンダーが見つけ出すケース、CERTなどのセキュリティ機関が見つけ出すケースなど、様々なソースから提供されてきました。

現状でソフトウェアベンダーやOSベンダーなどのサービス提供側にとっては、こういった脆弱性を自ら調査し、見つけ出し、対応を行っていくことは非常な労力を伴うこととなっています。

また、提供側にとっては自らの製品やサービスの脆弱性に起因する問題により訴訟、巨額の損害賠償と発展、信頼の失墜となる場合を想定すると、脆弱性を発見し、確実に対応を行うことは企業の存続にもかかわる重要な課題です。

そういった中、最近では脆弱性情報について発見者に報奨金を支払う企業も出てきています。

企業にとってはお金を払わないといけないという責務はありますが、それにも増して第三者によって隠れた脆弱性を発見してもらい、適切な対応を行って、漏えい事件等の対応を行えるというメリットの方が大きいのです。

各企業にみる具体例

具体的に報奨金制度を持つベンダーとしては、ソフトウェアベンダーとしてはグループウェアで知られたサイボウズやAdobe、コミュニケーションツールのFacebookなど、OSベンダーではMicrosoftが知られています。
その他にもGoogle等も報奨金制度を持っています。

サイボウズの例

例えばサイボウズの報奨金制度では、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)を評価の指標として用いています。
CVSSは米国家インフラストラクチャ諮問委員会(NIAC)によって作成されたシステムの脆弱性についての包括的かつ汎用的な評価手法です。

サイボウズではこれに基づいて、危険性や影響度の高い脆弱性であればあるほど高い報奨金が支払われる制度となっています。

具体的な金額は1件あたり1,000円から最大300,000円(1件の報告から複数の脆弱性が検出された場合の金額上限は1,000,000円)です。
また、サイボウズでは発見者が安全に検証を行えるように脆弱性の検証環境を準備、提供しています。

その他の企業

他の企業では、例えばGoogleではアカウントページのクロスサイトスクリプティング(XSS)の脆弱性には7500ドル、Gmail等のサービスの脆弱性には5000ドル。
また情報流出などに繋がる重大な脆弱性には7500ドルなど、サービスごとなどで報奨金を規定しています。

Microsoftの報奨金プログラム「Microsoft Bounty Program」では、不正な攻撃に対応するための新しい技術や手法を提案した研究者に最高で10万ドルを支払うことになっています。

Facebookでは、報告された脆弱性の深刻度や報告の独創性に基づいて報奨金の額が決められると定めています。

報奨金の最低額は500ドルですが、上限については特に定めはありません。
過去にはインフラに関する重大な脆弱性に対する報奨金として3万5千ドルが支払われたことがあります。

大手企業ほど高額の奨励金を支払う傾向あり

このように見ていくと、やはりMicrosoftやFacebookといった海外の大手ITベンダーは高額の報奨金を支払うケースがあるようです。

Microsoftの場合Windows OSやMicrosoft Officeなど非常に多くの利用者に幅広く使われるソフトウェアを扱っており、脆弱性の問題が発生した場合に影響範囲が非常に大きくなります。

またFacebookにしても2015年9月現在で15億5千万人が利用するなど非常に利用者が多く、それゆえに一旦重大な脆弱性の問題が発生すると、影響範囲は非常に大きなものとなります。

それは当然Googleについても同様のことが言えます。
したがって、このように高額な報奨金が設定されているベンダーは、特に利用者が多く、脆弱性に起因する問題が発生した場合に非常に影響範囲が広がることが想定される製品やサービスを提供しているケースが多くなっています。

おわりに

ITベンダー側にとってはもちろん脆弱性の存在しない製品を提供し、報奨金も支払うことなく、というのが最も良いのですが、もちろん現実には想定外の脆弱性は必ず存在します。

重要なことはその脆弱性をいかにいち早く見つけ、対処するか。
これにより起きる可能性のある被害を未然に防ぐことが出来ます。
報奨金制度を設けることによって、多くの脆弱性に関する情報を集め、ベンダーはいち早く問題発生前に対応することが可能となります。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

この記事が気に入ったら
フォローしよう

最新情報をお届けします

Twitterでフォローしよう

おすすめの記事