インタビューマイクロソフトのバグ報奨金プログラムは今年10周年を迎え、最初の10年間でセキュリティ研究者に6,300万ドルを支払ってきた。レドモンドによれば、過去5年間だけでバグハンターに6,000万ドルが支払われたという。
今日では、脆弱性の開示と報奨金プログラムは、巨大なソフトウェア関連企業にとって当然のことのように思われるが、10年前は「バグ報奨金制度は社内からの抵抗から逃れられなかった」とマイクロソフトの副社長兼副CISOのアンチャル・グプタ氏は振り返る。
混沌からリズムへ:マイクロソフトのパッチ火曜日20周年を祝う
続きを読む
今週、このプログラム10周年を記念した記事の中で、グプタ氏は、Internet Explorer 11のプレビュー版における脆弱性とWindows 8.1のセキュリティホールを悪用した攻撃の報告から始まった経緯を振り返っています。2013年当時、プレビュー版のIEで発見された脆弱性に対する報奨金は、特に斬新なものだったと彼女は付け加えました。
「外部関係者がソフトウェアのセキュリティ脆弱性を報告した場合に金銭的なインセンティブを提供する先駆者ではありませんが、ベータ版やプレビュー版製品における問題の発見を奨励する制度を導入したのは、当社が先駆者です」とグプタ氏は記している。「顧客保護においては、バグの早期発見と解決、できれば製品の一般公開前に行うことが最も重要であると私たちは考えています。」
グプタ氏はまた、バグバウンティプログラムの爆発的な成長、特に2018年以降の成長を強調した。例えば、2019年度にはマイクロソフトは「報奨金報告数、プログラム参加者数、そして賞金総額が前年比で2倍以上に増加した」とグプタ氏は記している。1年後には、15のカテゴリーで300人以上のセキュリティ研究者に1,300万ドル以上を授与し、より深刻な問題に対してはより大きな賞金も授与した。
「2020年7月、顧客のプライバシーとセキュリティに深刻なリスクをもたらす脆弱性に対し、最高10万ドルという高額の報奨金を付与するシナリオベースのカテゴリーを導入しました」とグプタ氏は振り返ります。「研究者の協力により、ゼロクリックリモートコード実行(RCE)やクロステナント脆弱性の発見件数は前年比で50%以上増加しました。」
- バグバウンティハンターはAIを追跡し、大金を狙う
- Googleのバグ報奨金がMicrosoftの支払額に近づく
- DEF CON、LLMに数千人のハッカーを放つ
- 国防総省はセキュリティバグ報奨金制度を厳格に運用しすぎている
さらに彼女は、レドモンドの幹部らがバグに対して研究者に報酬を支払うことは決してしないと誓っていたにもかかわらず、マイクロソフトにはバグ報奨金プログラムが必要だと彼らを説得する上で重要な役割を果たしたケイティ・ムスーリス氏の功績を称えた。
2016年に自身の会社Luta Securityを設立したムスリス氏も、このプログラムの誕生日を回想で祝い、マイクロソフトの経営陣にバグ報奨金制度を推進するために費やした長年の努力と汗とデータを詳細に語った。
「当時は誰にとっても受け入れ難いものだっただろう」とムスーリス氏はThe Register紙に語った。ネットスケープは1995年に500ドルの報奨金で初期のバグ報奨金制度を発表し、それから15年後の2015年にはグーグルが脆弱性1件につき1,337ドルの報奨金を提示した。「他に誰もこれをやりたがらなかった」とムスーリス氏は説明した。
古い会社に新しいアイデアを売り込む方法
ムスーリス氏は、バグ報奨金制度のビジネスケースを証明するために長年にわたり収集したデータポイントや、その間に共同執筆および共同編集した脆弱性開示とコード処理プロセスに関する ISO 標準について詳しく説明しました。
しかし最終的に、マイクロソフトにとっての転機となったのは、独自のブラウザを持ち、Internet Explorerの市場支配に挑戦していたGoogleという新興企業に勝ちたいという思いだった。「Google Chromeによる競争の激化、あの古き良き製品競争の火ぶたが、私たちをゴールラインまで導いたのです」とムスーリス氏はThe Register紙に語った。
マイクロソフトがバグ報奨金プログラムを開始すると、国防総省も注目しました。これが、米軍史上初のバグ報奨金プログラムへと発展しました。
「2016年に起きたハック・ザ・ペンタゴンは、世界史上最大の軍隊がハッカーを招き入れてシステムをテストするという、またしても画期的な出来事だった。しかし、この出来事は、我が国の政府機関だけでなく、世界中の政府にも、こうした行為を真剣に検討するよう促すという連鎖反応をもたらした」とムスーリス氏は誇らしげに振り返った。
ソフトウェアはより安全ですか?
しかし、このような脆弱性開示の報酬によってソフトウェアはより安全になったのでしょうか?
ムスリス氏によると、そうではないという。皮肉なことに、彼女はこれを、バグ報奨金プラットフォームの台頭と、開発者が安全なソフトウェア開発という本来の業務ではなく、現金報酬や脆弱性開示プログラムに投資していることに起因すると考えている。
「どちらも投資ですから、現金の支払いだけではなく、脆弱性を実際に修正するために必要な作業が重要なのです」と彼女は説明した。
「ですから、できる限り多くのバグを予防し、できる限り多くのバグを自分で修正し、それから脆弱性開示プログラムやバグ報奨金プログラムに参加できるというのが、私の哲学です。」
フィードバックループと意味のある指標
ソフトウェアおよびハードウェア製品のセキュリティを強化するために、Moussouris 氏は、バグ報奨金プログラムで得た知識を組織の安全な開発ライフサイクルにフィードバックする「具体的なフィードバック ループ」を実現したいと考えています。
さらに、報奨金を運営する側は、単に何人の研究者にいくらの現金を支払ったかではなく、プログラムの成功を評価するための「意味のある指標」をより適切に設定する必要がある。
「脆弱性の種類を減らしたか、あるいはなくしたかといった点が重要です。これは、バグ報奨金プログラムと安全な開発ライフサイクルの関連性を示す指標です」とムスリス氏は説明した。
その他の指標としては、「最も重大な欠陥の平均修復時間は短縮されたか?」などが挙げられる。もし短縮されていない場合は、その分野にさらにリソースを割り当てるのが賢明だと彼女は付け加えた。
ムソリス氏は最後に、次のような課題を提起しました。「私たちは、実際の攻撃をリアルタイムで監視し、対応するために、インシデント対応や脅威インテリジェンスと連携するようにバグ報奨金プログラムを調整しましたか?
「攻撃は増加しています。この状況は今後も変わりません。バグバウンティプログラムを活用して、リアルタイムのインシデント対応を強化し、効率化を図っていらっしゃいますか?」®
