Microsoftは、新しいラボの立ち上げとバグ報奨金の増額により、「Azure」クラウドコンピューティングサービスのセキュリティ強化に取り組んでいる。
Microsoftは米国時間8月5日、ネバダ州ラスベガスで開催されている「Black Hat USA」カンファレンスで、「Azure Security Lab」について発表した。Azure Security Labは、「Azureを確信をもってアグレッシブにテストしてもらう」ための専用のクラウドホスト群であり、Microsoftはテストを行うセキュリティ専門家を招待しているという。
ハッキングの試みやテストが通常の機能を混乱させるのを防ぐため、このラボはメインのAzureフレームワークから隔離されている。Microsoftの社内セキュリティチームが、テスト結果について研究者らと直接連携できるようにする。
Microsoftは参加者に対し、「最悪なことをして」犯罪者となるハッカーがするようなことを試してほしいとしている。
Microsoftは、「Azure Security Labを分離することで、われわれは新しいものを提供できる。つまり、研究者はAzureの脆弱性を調査するだけでなく、脆弱性を悪用しようと試みることも可能だ」と説明し、「承認された応募者は、ターゲットを絞ったシナリオが設定され、追加のインセンティブも提供される四半期ごとのキャンペーンにアクセスできる。定期的な表彰や限定品もある」と述べている。
Azure Security Labの課題では、賞金の最高額が30万ドル(約3200万円)に設定されている。プログラム参加者の募集はすでに開始されている。
またMicrosoftは、これまでのAzureバグ報奨金プログラムの変更も発表した。同社はこの12カ月で440万ドル(4億6000万円)以上のバグ報奨金を授与した。同社はAzureの脆弱性に関する最高報奨を倍にするとしており、Azureの深刻な脆弱性を報告したセキュリティ研究者は、最大4万ドル(約420万円)の報奨金を得られるようになった。
バグ報奨金は、規模に関わらずどのような企業にとっても、企業の資産のほか、ユーザーとデータを危険にさらす可能性のあるバグをつぶすために外部の助けを借りる貴重な手段だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
