米サイバーセキュリティ・インフラセキュリティ庁(CISA)のJen Easterly長官と米国土安全保障省(DHS)のAlejandro Mayorkas長官は、先日発表したバグ報奨金プログラム「Hack DHS」を拡大し、「Apache Log4j」の脆弱性発見を奨励するためのインセンティブを追加すると発表した。
Easterly氏は、「私たちは、DHSのシステム内に存在するLog4j関連の脆弱性を発見して修正するための、Hack DHSのバグ報奨金プログラムを開始した」と述べている。「研究者コミュニティがこのプログラムに参加してくれることに感謝する。Log4jは世界的な脅威であり、さまざまな組織の安全性を保つために、世界の優秀な人材の支援を受けられるのは素晴らしいことだ」
DHSは米国時間12月14日、同省のシステムが抱えているサイバーセキュリティの穴や脆弱性を発見する手段として、バグ報奨金プログラムを立ち上げると発表した。同省は、「事前に選出された」サイバーセキュリティ研究者に「特定の外部DHSシステム」へのアクセス権を与え、バグの発見を依頼する。
Mayorkas氏は、DHSは「米連邦政府のセキュリティに関するクォーターバック(チームの要になるポジション)」であるとし、このプログラムは「高度な能力を持ったハッカーたちに、DHSのシステムに存在するサイバーセキュリティ上の脆弱性を、悪質なアクターによって悪用される前に発見するインセンティブを提供する」ものだと述べている。
同氏は、「このプログラムは、コミュニティと協力して国土安全保障省がわが国のサイバーセキュリティを守る取り組みの一例だ」と述べた。
14日に発表された概要によれば、このバグ報奨金プログラムは2022年に3段階のフェーズに分けて実施される。第1段階ではDHSの外部システムに対してオンライン評価を実施し、その後に行う第2段階では、対面の場に専門家を集めてライブのハッキングイベントを開催する。
第3段階では、DHSが学んだことを見直し、今後のバグ報奨金プログラムの計画を立案する。DHSは、あらゆる政府機関で実施できるバグ報奨金プログラムを作ることを目指している。
報奨金の支払額は、発見された特定の脆弱性の深刻度に応じて決定される。このバグ報奨金プログラムは、民間セクターの取り組みや、米国防総省(DoD)の「Hack the Pentagon」といった連邦政府の取り組みから学んだベストプラクティスに基づいている。
DHSがバグ報奨金プログラムを実施するのはこれが初めてではない。超党派議員の働きによって米国で「SECURE Technology Act」の一環として法案が成立したあと、2019年に試験的なプログラムが1度実施されている。DHSは、この法律が成立したことによって、事前に選ばれた専門家がハッカーの行動を模倣してDHSのシステムを評価することに対して、報酬を支払えるようになったと説明している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
