米司法省の副長官は、すべての企業が第三者研究者にバグを発見して報告させるための独自のプログラムを持つべきだと述べている。
ロッド・ローゼンスタイン司法副長官は本日ボストンで行われたケンブリッジ・サイバー・サミットで、バグ報奨金制度やホワイトハット研究プログラムが、企業が大規模なネットワーク侵害やデータ盗難を回避するのに役立つだろうと述べた。
「ソフトウェアとハードウェアの脆弱性は、ネットワークが侵害される手段の一つです。こうした脆弱性を発見し、排除することは、サイバーセキュリティの重要な側面です」とローゼンスタイン氏は出席者に語った。「すべての企業は、脆弱性開示ポリシーの策定、つまりホワイトハットセキュリティ研究者に対し、システム上で発見された脆弱性を報告するための公開呼びかけを検討すべきです。」
ローゼンスタイン氏は、聴衆の中の幹部やその他の上級スタッフに対し、社内および第三者のセキュリティ担当者がセキュリティ上の欠陥をテストし、会社とその技術サプライヤーに報告して、ハッカーに悪用される前にセキュリティ上の欠陥を塞ぐことができる独自のプログラムの構築を検討するよう会社に働きかけることを推奨した。
ローゼンスタイン副司法長官、暗号化バックドアを義務付ける法律の制定を求める
続きを読む
ローゼンスタイン氏は、司法省が既に組織向けにバグ報告プラットフォームの設置方法に関する独自のガイドを作成していると指摘した。ローゼンスタイン氏によると、民間企業が自社および使用するハードウェアとソフトウェアのセキュリティを強化し、連邦政府が調査しなければならないような侵害を回避することが期待されているという。
「多くの組織は、脆弱性の探索を制御された方法で『クラウドソーシング』することで得られる知識の量は、十分に価値があると気づいている」とローゼンスタイン氏は述べた。
「国防総省はそのようなプログラムを運営しています。危機に発展する前に問題を発見し、解決することに非常に成功しています。」
同時に、ローゼンスタイン氏は、多くの開発者がソフトウェアおよびハードウェアプラットフォームのセキュリティを大幅に低下させると主張する政策、すなわち解読可能な暗号化の必要性についても強調した。ローゼンスタイン副司法長官は、捜査官がデータ伝送や保存情報を解読するためのバックドアを設けるよう、以前の主張を改めて強調した。
「法執行機関である我々は、暗号化を弱体化させる意図はありません。しかし、『令状不使用』の暗号化の出現は深刻な問題です。2世紀以上にわたって維持されてきたプライバシーとセキュリティの憲法上のバランスを揺るがす恐れがあります」とローゼンスタイン氏は述べた。
「たとえ警察官が裁判所の許可を得た令状を取得しても、犯罪行為の証拠が全く発見されないようなシステムは、私たちの社会にはかつて存在しなかった。しかし、それがテクノロジー企業が作り出している世界なのだ。」
ハッカーが侵入方法を見つける前に、ホワイトハットに門戸を開きましょう。そして、ブラックハットが見つけられるように、とにかくバックドアを設置しましょう。まさに理にかなっています。®
