組織の製品にセキュリティバグ報奨金制度を設けているなら、弁護士に必ず確認してもらいましょう。ただし、キーボードから手を離さないでください。欠陥発見者が面倒だと感じ、防御の穴を見つけるのをためらう理由の一つが法律用語です。彼らは、リバースエンジニアリングしたコードの誤字脱字を一日中調べているような人です。
この点は、今週、米国政府のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が主催したサミットのパネルディスカッションでも取り上げられた。
情報セキュリティ研修会社Point3の戦略担当副社長、クロエ・メスダギ氏は、セキュリティコミュニティよりも法務チームを対象としているように見える報奨金プログラムに遭遇したことがあると語った。
「できるだけ明確で、簡潔で、短くまとめることが大切です」とメスダギ氏は述べた。「バグ報奨金プログラムによく遭遇しますが、弁護士が弁護士向けに作成している場合もあります」
法律用語は誰もが理解できるわけではありません。特に外国語で書かれている場合はなおさらです。メスダギ氏は、バグハンター全員が英語を話せるわけではないと指摘しました。そのため、ルールや制限事項が誤解され、議論や意見の相違、さらにはより深刻な事態につながる可能性があります。また、プログラムが導入されたら、脆弱性報告に対応する担当者は、製品チームやセキュリティチームの誰に報告を送ればよいかを正確に把握しておく必要があるとも述べています。一見単純なことのように思えますが、企業はこれを誤解しています。
マイクロソフトはバグ報奨金として1370万ドルを支払った。この報奨金プログラムの設計者は、この資金はもっと有効に活用できたはずだと考えている。
続きを読む
他のパネリストは、企業がバグ報奨金プログラムを開始する際に、必ずしも全力を尽くす必要はないと指摘しました。CISAのジャック・ケーブル氏は、まずは自社のオンラインフットプリントや製品ベースのごく一部についてのみ報告を求め、そこから規模を拡大していくことを提案しました。
「できることは、小さなことから始めることです」と、政府機関の選挙セキュリティ技術アドバイザーであるケーブル氏は助言した。「ですから、すべてを自分の組織で管理する必要はありません。」
パネルディスカッションでは、選挙におけるコンピュータセキュリティ、そして情報セキュリティ関係者と投票機メーカーの間で建設的な形でより緊密に連携していく上での進展についても触れられました。米国選挙支援委員会のCTOであるジョシュア・フランクリン氏は、最新の投票システムや投票用紙処理システムの多くについて、研究が不足していることを嘆きました。
「コンピューター不正使用防止法に抵触することなく、あらゆる投票システムについて善意に基づいた調査を実施できる明確な道筋があることを願っています」と、彼はアメリカの問題を抱えるハッキング対策法に言及して述べた。「ここ10年のシステムは、過去の世代ほど綿密な調査を受けていません。」
最近の10年間の投票制度は、過去の世代が受けてきたような精査を受けていない。
しかし、一方では進展が見られると見ている者もいる。投票機メーカー、エレクション・システムズ・アンド・ソフトウェアのシステムセキュリティ担当副社長、クリス・ウラシン氏は、投票機メーカーとホワイトハットハッカーの関係が「改善」しつつあると述べた。
「セキュリティ研究者と選挙テクノロジープロバイダーの関係は以前少し冷え込んでいましたが、徐々に改善しつつあります」と彼は述べた。おそらくこの件を指しているのだろう。「関係は改善しつつあり、これは正しい方向への大きな前進だと考えています」
いずれにせよ、選挙当局は両陣営が意見の相違を脇に置き、選挙関連システムの潜在的なセキュリティ上の脆弱性を早急に根絶する取り組みを開始することを望んでいるようだ。
「人々が理解する必要がある大きな現実は、悪意のある人物が毎日、こうした脆弱性を探しているということです」とオハイオ州務長官の CIO であるスペンサー・ウッド氏は語りました。®
