米国土安全保障省(DHS)は米国時間12月14日、同省のシステムに潜む脆弱性の発見とその対応に向け、独自のバグ報奨金プログラム「Hack DHS」の立ち上げを発表した。
このプログラムは、最近開催された「Bloomberg Technology Summit」で明らかにされ、The Record by Recorded Futureが報じていた。今回、DHSのAlejandro Mayorkas長官が同省のウェブサイトで公式に発表した。同プログラムは、「事前に選出したサイバーセキュリティ研究者らに特定の外部DHSシステムへのアクセスを試みてもらい」、脆弱性の発見者に対して500~5000ドル(約5万7000~57万円)の報奨金を支払うというものだ。実際の支払額は、発見された特定の脆弱性の深刻度に応じて決定される。
DHSが述べているように、この新たなバグ報奨金プログラムは、民間セクターの取り組みや、米国防総省(DoD)の「Hack the Pentagon」といった連邦政府の取り組みから学んだベストプラクティスに基づいている。Hack the Pentagonは2016年に実施された、連邦政府としての初のプログラムであり、最終的に防衛関係省庁のさまざまな資産で複数の脆弱性を洗い出した。DHSは2019年に超党派による法案を受け、最初のバグ報奨金パイロットプログラムを立ち上げている。
Mayorkas氏は、「Hack DHSプログラムは、われわれのシステムに存在するサイバーセキュリティ上の弱点を、悪意を持ったアクターが攻撃する前に、極めて高いスキルを有したハッカーらに洗い出してもらうためのインセンティブを与えるものとなっている」と述べた。
この取り組みは2022会計年度を通して実施される3つの段階で構成されている。第1段階では、ハッカーが特定のDHSの外部システムに対する「仮想アセスメント」を実施する。第2段階では、「ライブでの対面ハッキングイベント」が実施され、ハッカーが参加する。第3段階では、DHSが識別及びレビューのプロセスを実施し、将来のバグ報奨金について計画する。
DHSは、このプロセスで収集したデータは、将来におけるバグ報奨金制度の計画や、「政府内のあらゆるレベルで他の組織が自らのサイバーセキュリティ上のレジリエンスを強化するために利用できるモデル」の開発に用いられるとしている。
Hack DHSは、米サイバーセキュリティインフラセキュリティ庁(CISA)が構築したプラットフォームを活用し、CISAらがまとめた複数の規則で管理される。ハッカーは発見した脆弱性を軽減し、修正する上で有用となりうる情報をすべてDHSのシステム所有者に開示する。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
