ゼロデイ脆弱性を売買する「闇市場」に対抗するには

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 川村インターナショナル

2015-04-27 06:15

 開発者が脆弱性を探しだし、企業に報告しようと思う動機は何だろうか。そして、企業は脆弱性がブラックマーケットで売られることにどう対処できるのだろうか。HackerOneが目指したのは、その答えを探し出すことだ。

figure_1
Katie Moussouris氏

 米国時間4月14日に発表された新しい研究報告書で、セキュリティ対応とバグ発見報奨金プログラムを提供するHackerOneは、マサチューセッツ工科大学やハーバード大学の経済学や政策の専門家と協力して、ゼロデイ脆弱性市場の原動力を探っている。この研究を主導したのは、同社のチーフポリシーオフィサーであり、以前にMicrosoftのバグ発見報奨金プログラムを考案したKatie Moussouris氏だ。

 研究チームは、脆弱性の市場は単なる現金だけで動いているのではなく、セキュリティ開発ライフサイクル(企業が自社製品をできる限り安全で、バグのないものにすることを重視した周期)では、インセンティブが重要な要素であることに気付いた。

 「Windows」の最新バージョンのような新製品がリリースされる場合には、ソフトウェアの脆弱性を見つけようという競争が、攻撃側の市場と、防御側の市場の両方で始まる。攻撃側では、脆弱性はブラックマーケットにおいて高額で売られたり、システムを破るために個別に利用されたりする可能性がある。しかし、防御側の市場にいる善意のセキュリティ専門家らがセキュリティの欠陥を探すのは、それらをバグ発見報奨金プログラムに提出したり、単に企業に警告して名声を得たりするためだ。

 かつては、組織に属さない研究者は普通、自分の評判や名声を高めるためだけに、企業に製品の脆弱性について知らせていた。しかし、サイバーセキュリティが重大な問題となっている現在、こうしたスキルを収入につなげる方法は数多くある。報奨金に背を向ける人などほとんどいないだろう。さらに言えば、攻撃側と防御側の両方の市場で、脆弱性についての詳細情報が売れる機会が増えている。

 企業が直面している問題は、攻撃側市場のプレーヤーが、脆弱性に対して非常に高い代金を出してもいいと考えることが多い点だ。そこでMoussouris氏と研究チームは、市場力学がどのような状態にあれば、企業など防御側のプレーヤーにとって有利になるかを解明しようとした。

 このチームの研究の目標は、その市場を動かす要因を探るためのモデルを構築することだった。学説や経済モデル、そして現在のセキュリティ分野の状況を分析し、同時に需要と供給の力関係も調べた。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]