開発者が脆弱性を探しだし、企業に報告しようと思う動機は何だろうか。そして、企業は脆弱性がブラックマーケットで売られることにどう対処できるのだろうか。HackerOneが目指したのは、その答えを探し出すことだ。
Katie Moussouris氏
米国時間4月14日に発表された新しい研究報告書で、セキュリティ対応とバグ発見報奨金プログラムを提供するHackerOneは、マサチューセッツ工科大学やハーバード大学の経済学や政策の専門家と協力して、ゼロデイ脆弱性市場の原動力を探っている。この研究を主導したのは、同社のチーフポリシーオフィサーであり、以前にMicrosoftのバグ発見報奨金プログラムを考案したKatie Moussouris氏だ。
研究チームは、脆弱性の市場は単なる現金だけで動いているのではなく、セキュリティ開発ライフサイクル(企業が自社製品をできる限り安全で、バグのないものにすることを重視した周期)では、インセンティブが重要な要素であることに気付いた。
「Windows」の最新バージョンのような新製品がリリースされる場合には、ソフトウェアの脆弱性を見つけようという競争が、攻撃側の市場と、防御側の市場の両方で始まる。攻撃側では、脆弱性はブラックマーケットにおいて高額で売られたり、システムを破るために個別に利用されたりする可能性がある。しかし、防御側の市場にいる善意のセキュリティ専門家らがセキュリティの欠陥を探すのは、それらをバグ発見報奨金プログラムに提出したり、単に企業に警告して名声を得たりするためだ。
かつては、組織に属さない研究者は普通、自分の評判や名声を高めるためだけに、企業に製品の脆弱性について知らせていた。しかし、サイバーセキュリティが重大な問題となっている現在、こうしたスキルを収入につなげる方法は数多くある。報奨金に背を向ける人などほとんどいないだろう。さらに言えば、攻撃側と防御側の両方の市場で、脆弱性についての詳細情報が売れる機会が増えている。
企業が直面している問題は、攻撃側市場のプレーヤーが、脆弱性に対して非常に高い代金を出してもいいと考えることが多い点だ。そこでMoussouris氏と研究チームは、市場力学がどのような状態にあれば、企業など防御側のプレーヤーにとって有利になるかを解明しようとした。
このチームの研究の目標は、その市場を動かす要因を探るためのモデルを構築することだった。学説や経済モデル、そして現在のセキュリティ分野の状況を分析し、同時に需要と供給の力関係も調べた。