米サイバーセキュリティ庁CISAがハッカー向けにセキュリティバグ報告用プラットフォーム開設
今回は「米サイバーセキュリティ庁CISAがハッカー向けにセキュリティバグ報告用プラットフォーム開設」についてご紹介します。
関連ワード (Bugcrowd、アメリカ、バグ、ハッカー、米国土安全保障省等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)は、倫理的なハッカーが米国連邦機関にセキュリティ上の脆弱性を報告できる脆弱性開示プログラム(VDP、vulnerability disclosure program)を開始した。
このプラットフォームはサイバーセキュリティ企業であるBugcrowdとEndynaの協力を得て立ち上げられたもので、米国政府の民生機関が、より広範なセキュリティコミュニティからセキュリティ脆弱性の届け出を受け、トリアージし、修正することを可能にする。
CISAとして知られる連邦サイバーセキュリティ機関がその監督下にある民生部門に対し、独自の脆弱性開示ポリシーを策定・公開するよう指示してから1年弱でこのプラットフォームは立ち上げられた。これらのポリシーは、どのようなオンラインシステムをどのようにテストしてよいのか、またはしていけないのかを示し、セキュリティ研究者の活動ルールを定めることを目的としている。
民間企業では、ハッカーがバグを報告するためのVDPプログラムを運営することは珍しくない。多くの場合、ハッカーに報酬を支払うバグバウンティ(報奨金)を併用している。米国防総省は長年ハッカーとの関係を受け入れているが、米国政府の民生機関は遅れをとっていた。
関連記事:バグ報奨金プラットフォームのBugcrowdが32.5億円を調達
2020年にシリーズDで3000万ドル(約32億8500万円)を調達したBugcrowdは、このプラットフォームによって「企業のセキュリティギャップを特定するために現在使用されているのと同じ商用テクノロジー、世界レベルの専門知識、助けになる倫理的ハッカーのグローバルコミュニティへのアクセスを、政府機関に提供することができる」と述べている。Bugcrowdの創業者であるCasey Ellis(ケイシー・エリス)氏は、今回の(CISAからの)指示についてTechCrunchにこう語った。「ハッカーがインターネットの免疫システムとして果たす役割にとって、これは新たな分岐点となるでしょう。Bugcrowdのチームは、CISA、DHSと提携して米国政府とこの取り組みを進めることを非常に誇りに思っています」。
CISAが今後、他の政府機関とセキュリティ上の脆弱性に関する情報を共有するのにもこのプラットフォームは役立つ。
このプラットフォームの立ち上げは、政府機関のサイバーセキュリティがここ数カ月で何度も大きな打撃を受けた後でのことになる。その中には、ロシアのスパイ活動によって米国の大手ソフトウェア企業SolarWindsの技術にバックドアが仕込まれ、少なくとも9つの連邦政府機関にハッキングされた事件や、中国政府に支援を受けたハッカーに関連して何千ものMicrosoft Exchangeサーバーが悪用された事件などが含まれていた。
関連記事
・米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害
・中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告
画像クレジット:Bryce Durbin / TechCrunch
【原文】
The Cybersecurity and Infrastructure Security Agency has launched a vulnerability disclosure program allowing ethical hackers to report security flaws to federal agencies.
The platform, launched with the help of cybersecurity companies Bugcrowd and Endyna, will allow civilian federal agencies to receive, triage and fix security vulnerabilities from the wider security community.
The move to launch the platform comes less than a year after the federal cybersecurity agency, better known as CISA, directed the civilian federal agencies that it oversees to develop and publish their own vulnerability disclosure policies. These policies are designed to set the rules of engagement for security researchers by outlining what (and how) online systems can be tested, and which can’t be.
It’s not uncommon for private companies to run VDP programs to allow hackers to report bugs, often in conjunction with a bug bounty to pay hackers for their work. The U.S. Department of Defense has for years warmed to hackers, the civilian federal government has been slow to adopt.
Bugcrowd, which last year raised $30 million at Series D, said the platform will “give agencies access to the same commercial technologies, world-class expertise, and global community of helpful ethical hackers currently used to identify security gaps for enterprise businesses.” Bugcrowd founder Casey Ellis told TechCrunch that the directive is “another watershed moment for the role that hackers play as the Internet’s Immune System. Bugcrowd team is incredibly proud to partner with CISA/DHS on taking this initiative forward with the US government.”
The platform will also help CISA share information about security flaws between other agencies.
The platform launches after a bruising few months for government cybersecurity, including a Russian-led espionage campaign against at least nine U.S. federal government agencies by hacking software house SolarWinds, and a China-linked cyberattack that backdoored thousands of Microsoft Exchange servers, including in the federal government.
(文:Zack Whittaker、翻訳:Aya Nakazato)
ハッカー - Wikipedia
ハッカー (hacker) またはクラッカーとは主にコンピュータや電気回路一般について常人より深い技術的知識を持ち、その知識を利用して技術的な課題を
ハッカーとは - コトバンク
ブリタニカ国際大百科事典 小項目事典 - ハッカーの用語解説 - コンピュータとネットワークに関する卓越した技術と強い関心をもつ人。インターネットの技術コミュニティ IETF; Internet Engineering Task Forceは「システム,コンピュータ,特にコンピュータ・ネットワークの内部動作を細かく理解すること...
一般社団法人日本ハッカー協会
一般社団法人日本ハッカー協会. 『日本のハッカーがもっと活躍できる社会を作る』. それが、一般社団法人日本ハッカー協会を設立した目的です。. 情報セキュリティ、システム開発、IoTなどさまざまな分野で活躍されるハッカーの皆様が安心して新しい取り組みに挑戦でき、活動に邁進できる社会を目指し、ハッカーの地位向上とハッカーの活躍によるネット社会の ...
ハッカーになるには何を学ぶ?ハッキングのための ...
ハッカーになるためのプログラミング言語や心構えや何を学べばいいのかを、ハッカーの種類や資格、仕事を含めて紹介します。
ハッキングってどうやるの?現役ハッカーに聞いてみた - LIG inc
現役ハッカーにハッキングのあれこれを質問してみました。どうやってハッキングをするのか、血の気が引くような本当にあった怖い話を聞いてみたのち、実際にハッキングをしてもらいます。
時代とともに変わるハッカーの定義 ― すでにクラッカーと区 …
Photo by Vidar Nordli-Mathisen21世紀になってかなり経過し、ハッカーをクラッカーと区別できる時代はもう終焉を迎えたのかもしれません。ハッカーとクラッカーの違いWikipediaを見るとハッカーは以下のように書い
現役ハッカーに直撃! ハッカーが本気になったらできること ...
私たちの生活を脅かす悪いハッカー。彼らはどのような手段で情報を狙っているのか? 現役ハッカーにその恐ろしい手口を教えてもらった。
ホワイトハッカーとは?仕事内容や資格、今後の需要など徹底 …
皆さんは、「ハッカー」にどういうイメージを抱いていますか。「コンピュータに不正侵入する」「データを破壊する」といった悪いイメージがあると同時に、「すごくコンピュータに詳しい」といったイメージもあるのではないでしょうか。 ハッカーの中に
世界的に有名なハッカー集団4組を徹底解説:それぞれの成立 ...
· 世界的に有名なハッカー集団4組を徹底解説:それぞれの成立経緯と活動目標. ハリウッド映画でハッキングが美化された ために、ハッカー集団は理想のために暗躍する革命家のようなものと捉えられがちです。. しかし、ハッカーとはどういう人間で、何を目指しているのでしょうか?. 過去にはどのような攻撃を行ってきたのでしょうか?. 毎週のように ...
Hacker Typer
The original HackerTyper. Turning all your hacker dreams into pseudo reality since 2011.
