編集部からのお知らせ
新着の記事まとめPDF「NTT」
おすすめ記事まとめ「MLOps」

米国土安全保障省のバグ報奨金プログラム、脆弱性122件を発見--第1弾が完了

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2022-04-26 12:30

 米国土安全保障省(DHS)は米国時間4月22日、同省初のバグ報奨金プログラム「Hack DHS」で122件の脆弱性が発見されたと発表した。

 DHSは2021年12月に同プログラムの立ち上げを発表しており、その第1段階である今回には450人を超える、「厳しい審査によって選ばれたセキュリティ研究者」が参加した。このプログラムは確かな成果を残したようだ。DHSは、発見された122件の脆弱性のうち、27件が「critical」(重大)と見なされるものだったとしている。つまり、その割合は約22%に及ぶ。

 同プログラムの立ち上げ時にDHSは、発見された脆弱性1件につき500〜5000ドル(約6万4000〜64万円)の報奨金を支払うとしていた。DHSによると今回、脆弱性と確認され、報奨金が支払われた総額は12万5600ドル(約1600万円)に上るという。DHSは、同省が公開しているすべての情報システム資産に潜んでいる可能性がある「Apache Log4j」の脆弱性を発見するために、バグ報奨金プログラムの対象を拡大した初の政府機関だ。同省はこれにより、同プログラムでしか洗い出すことのできない脆弱性を発見、対処できたとしている。なお同省は、Log4j関連の脆弱性が何件あったのか、また発見された脆弱性のうち5000ドルを支払ったものが何件あったのかを明らかにしていない。

 プログラムの第1段階では、セキュリティ研究者らが特定のDHSシステムに対してオンラインでアセスメントを実行した。第2段階ではセキュリティ研究者らを招き、対面でライブのハッキングイベントを開催する。第3段階では、今後のバグ報奨金プログラムに役立つ教訓を明らかにする計画だという。

 Hack DHSでは、米サイバーセキュリティ・インフラセキュリティ庁(CISA)が構築したプラットフォームを利用し、関連規則の統制と監視はDHSの最高情報責任者(CIO)オフィスが担う。

 DHSのCIOであるEric Hysen氏は、「Hack DHSの第1段階ではセキュリティ研究者のコミュニティーからの前向きな参加によって、重大な脆弱性が悪用される前に発見、対処するという成果を上げることができた」と述べた。

 「われわれは、Hack DHSの進捗とともに研究者コミュニティーとの関係をさらに強化したいと考えている」(同氏)

 Hack DHSは、2016年の「Hack the Pentagon」を皮切りに実施された複数の類似プログラムに続くものだ。Hack the Pentagonでは、米国防総省のさまざまな資産に潜んでいた多数の脆弱性が発見された。同プログラムはその後拡大し、さらに空軍、陸軍のバグ報奨金プログラムも立ち上げられた。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    アンチウイルス ソフトウェア10製品の性能を徹底比較!独立機関による詳細なテスト結果が明らかに

  2. 経営

    10年先を見据えた働き方--Microsoft Teamsを軸に社員の働きやすさと経営メリットを両立

  3. セキュリティ

    6000台強のエンドポイントを保護するために、サッポログループが選定した次世代アンチウイルス

  4. セキュリティ

    ローカルブレイクアウトとセキュリティ-SaaS、Web会議があたりまえになる時代の企業インフラ構築

  5. 運用管理

    マンガでわかるスーパーマーケット改革、店長とIT部門が「AIとDXで トゥギャザー」するための秘策

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]