編集部からのお知らせ
新着の記事まとめPDF「NTT」
おすすめ記事まとめ「MLOps」

米国土安全保障省のバグ報奨金プログラム「Hack DHS」拡大、「Log4j」の脆弱性も対象に

Jonathan Greig (Special to ZDNet.com) 翻訳校正: 編集部

2021-12-27 12:00

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)のJen Easterly長官と米国土安全保障省(DHS)のAlejandro Mayorkas長官は、先日発表したバグ報奨金プログラム「Hack DHS」を拡大し、「Apache Log4j」の脆弱性発見を奨励するためのインセンティブを追加すると発表した。

 Easterly氏は、「私たちは、DHSのシステム内に存在するLog4j関連の脆弱性を発見して修正するための、Hack DHSのバグ報奨金プログラムを開始した」と述べている。「研究者コミュニティがこのプログラムに参加してくれることに感謝する。Log4jは世界的な脅威であり、さまざまな組織の安全性を保つために、世界の優秀な人材の支援を受けられるのは素晴らしいことだ」

 DHSは米国時間12月14日、同省のシステムが抱えているサイバーセキュリティの穴や脆弱性を発見する手段として、バグ報奨金プログラムを立ち上げると発表した。同省は、「事前に選出された」サイバーセキュリティ研究者に「特定の外部DHSシステム」へのアクセス権を与え、バグの発見を依頼する

 Mayorkas氏は、DHSは「米連邦政府のセキュリティに関するクォーターバック(チームの要になるポジション)」であるとし、このプログラムは「高度な能力を持ったハッカーたちに、DHSのシステムに存在するサイバーセキュリティ上の脆弱性を、悪質なアクターによって悪用される前に発見するインセンティブを提供する」ものだと述べている。

 同氏は、「このプログラムは、コミュニティと協力して国土安全保障省がわが国のサイバーセキュリティを守る取り組みの一例だ」と述べた。

 14日に発表された概要によれば、このバグ報奨金プログラムは2022年に3段階のフェーズに分けて実施される。第1段階ではDHSの外部システムに対してオンライン評価を実施し、その後に行う第2段階では、対面の場に専門家を集めてライブのハッキングイベントを開催する。

 第3段階では、DHSが学んだことを見直し、今後のバグ報奨金プログラムの計画を立案する。DHSは、あらゆる政府機関で実施できるバグ報奨金プログラムを作ることを目指している。

 報奨金の支払額は、発見された特定の脆弱性の深刻度に応じて決定される。このバグ報奨金プログラムは、民間セクターの取り組みや、米国防総省(DoD)の「Hack the Pentagon」といった連邦政府の取り組みから学んだベストプラクティスに基づいている。

 DHSがバグ報奨金プログラムを実施するのはこれが初めてではない。超党派議員の働きによって米国で「SECURE Technology Act」の一環として法案が成立したあと、2019年に試験的なプログラムが1度実施されている。DHSは、この法律が成立したことによって、事前に選ばれた専門家がハッカーの行動を模倣してDHSのシステムを評価することに対して、報酬を支払えるようになったと説明している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    アンチウイルス ソフトウェア10製品の性能を徹底比較!独立機関による詳細なテスト結果が明らかに

  2. 経営

    10年先を見据えた働き方--Microsoft Teamsを軸に社員の働きやすさと経営メリットを両立

  3. セキュリティ

    6000台強のエンドポイントを保護するために、サッポログループが選定した次世代アンチウイルス

  4. セキュリティ

    ローカルブレイクアウトとセキュリティ-SaaS、Web会議があたりまえになる時代の企業インフラ構築

  5. 運用管理

    マンガでわかるスーパーマーケット改革、店長とIT部門が「AIとDXで トゥギャザー」するための秘策

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]