ゼロデイ脆弱性を売買する「闇市場」に対抗するには - (page 2)

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 川村インターナショナル 2015年04月27日 06時15分

  • このエントリーをはてなブックマークに追加
  • 印刷

The Wolves of Vuln Street - The first system dynamics model of the 0-day market」というタイトルの研究報告書で、研究チームは、脆弱性市場をコントロールしているのは価格だけではないことを明らかにした。さらにバグ発見の報奨金は、脆弱性発見のためには依然として有効であること、そして脆弱性発見を支援するツールや手法に対してインセンティブを設けることは、防御側によって、攻撃側のゼロデイ脆弱性の蓄えをなくすのに有効な方法であることが分かった。

 価格は、脆弱性市場をコントロールする重要な要素だとされているが、Moussouris氏は、政府や企業がブラックマーケットと張り合って、バグ発見に数十万ドル台の報奨金を支払おうとすれば、こうした巨額の支払いは悪影響を及ぼす可能性があると主張する。年に数回脆弱性を報告するとして、給料に相当する金額の報奨金を受け取るようになれば、開発者やテスト担当者の人材流出が起こって、テクノロジ企業には、実際にそのバグを修正する熟練したスタッフがほとんどいなくなってしまう。

 「個々の脆弱性へのインセンティブを設ければ、防御側の人々は確かにバグを早く見つけられるようになるが、ここで認識しなければならない重要な限界点は、ゆがんだ動機や望ましくない結果を生み出さずに提示できる価格には上限があるということだ」(Moussouris氏)

 研究チームは、脆弱性発見において「探す人数を増やしても、成果を上げられる範囲は限られている」と述べている。人数や報奨金を増やすのも役に立つが、個々のバグやソフトウェアに対して報奨金を設ける方が有効な手法だ。特に、あまり成熟していないソフトウェアについてはそれが言える。さらに、セキュリティプロフェッショナルがより優れたツールを利用できるようにすれば、たとえ対応する研究者が少なくても、脆弱性の発見は効率的になるので、脆弱性のブラックマーケットをより短期間で弱体化させることができる。

 こうした結果に対して、業界にできる対応方法は数多くあると、Moussouris氏は述べている。企業は、自社のセキュリティ開発ライフサイクルに十分な投資を行い、自社製品のセキュリティを向上させてくれる開発者に向けて、バグ発見報奨金やインセンティブを提供するべきだ。そうなれば、今度はハッカーが、セキュリティ専門家としての自らの市場性を高めるために、より優れたツールや手法を研究するようになるはずだ。Moussouris氏は次のようにコメントしている。

 「結局、攻撃者と防御側の勢力争いというのは、いつまでも存在するだろう。問題は、攻撃者にとっては攻撃することが高くつくようにし、防御側を増大してさらに防御側にとってはメリットが大きくなるようなインセンティブを構築するにはどうすればよいのか、ということだ。金銭面以外にも、いずれか一方に有利な状況へと決定づけるような要因は数多く存在する。そして防御側はそれらを活用し始める必要がある。

 「The Wolves of Vuln Street(脆弱性市場のオオカミ)」は身近なところにいるが、われわれはその群れの力学を調べることで、インターネットの防衛陣による防御の効果をもっと高めようとしている」

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]