米国土安全保障省、バグ報奨金プログラム「Hack DHS」立ち上げ

Michael Gariffo (ZDNet.com) 翻訳校正: 編集部

2021-12-16 13:11

 米国土安全保障省(DHS)は米国時間12月14日、同省のシステムに潜む脆弱性の発見とその対応に向け、独自のバグ報奨金プログラム「Hack DHS」の立ち上げを発表した。

 このプログラムは、最近開催された「Bloomberg Technology Summit」で明らかにされ、The Record by Recorded Futureが報じていた。今回、DHSのAlejandro Mayorkas長官が同省のウェブサイトで公式に発表した。同プログラムは、「事前に選出したサイバーセキュリティ研究者らに特定の外部DHSシステムへのアクセスを試みてもらい」、脆弱性の発見者に対して500~5000ドル(約5万7000~57万円)の報奨金を支払うというものだ。実際の支払額は、発見された特定の脆弱性の深刻度に応じて決定される。

 DHSが述べているように、この新たなバグ報奨金プログラムは、民間セクターの取り組みや、米国防総省(DoD)の「Hack the Pentagon」といった連邦政府の取り組みから学んだベストプラクティスに基づいている。Hack the Pentagonは2016年に実施された、連邦政府としての初のプログラムであり、最終的に防衛関係省庁のさまざまな資産で複数の脆弱性を洗い出した。DHSは2019年に超党派による法案を受け、最初のバグ報奨金パイロットプログラムを立ち上げている。

 Mayorkas氏は、「Hack DHSプログラムは、われわれのシステムに存在するサイバーセキュリティ上の弱点を、悪意を持ったアクターが攻撃する前に、極めて高いスキルを有したハッカーらに洗い出してもらうためのインセンティブを与えるものとなっている」と述べた。

 この取り組みは2022会計年度を通して実施される3つの段階で構成されている。第1段階では、ハッカーが特定のDHSの外部システムに対する「仮想アセスメント」を実施する。第2段階では、「ライブでの対面ハッキングイベント」が実施され、ハッカーが参加する。第3段階では、DHSが識別及びレビューのプロセスを実施し、将来のバグ報奨金について計画する。

 DHSは、このプロセスで収集したデータは、将来におけるバグ報奨金制度の計画や、「政府内のあらゆるレベルで他の組織が自らのサイバーセキュリティ上のレジリエンスを強化するために利用できるモデル」の開発に用いられるとしている。

 Hack DHSは、米サイバーセキュリティインフラセキュリティ庁(CISA)が構築したプラットフォームを活用し、CISAらがまとめた複数の規則で管理される。ハッカーは発見した脆弱性を軽減し、修正する上で有用となりうる情報をすべてDHSのシステム所有者に開示する。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 経営

    ヒヤリハット管理--トラブル防止のデジタル化でもたらされるメリットとは?具体的なイメージを紹介

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]