TOPNetwork > 脆弱性情報の報奨金制度を一般企業にも、元NSA職員が会社設立...

Network

脆弱性情報の報奨金制度を一般企業にも、元NSA職員が会社設立

2013/08/05

Ellen Messmer Network World

 米国家安全保障局(NSA)に勤務していたネットワークアナリスト2人が、Synackという会社を設立した。企業のWebサイトに潜むゼロデイ脆弱性を世界中のセキュリティ技術者が報奨金制で発見するサービスを提供する企業だ。技術者の中には、NSAからフリーランスの立場で参加している人もいる。

 同社CEOのJay Kaplan氏とCTOのMark Kuhr氏によると、脆弱性の発見に長けた世界中のセキュリティ研究者の頭脳を結集して、顧客企業のWebサイトやアプリケーションの脆弱性調査に生かす、というのが同社のコンセプトだ。両氏は米カリフォルニア州で1月に同社を設立した。ゼロデイ脆弱性とは、ソフトウエアやサービスに潜む脆弱性のうちで、その存在がまだ広く知られていないものを言う。パッチなどの対策手段が講じられていないため、危険なセキュリティホールとして攻撃に利用されやすい。

 「研究者には、実際に発見した脆弱性に対して報酬を支払っている」とKaplan氏。報酬の額は脆弱性の重大性に応じて変わる。通常は、最低ラインが500ドルで、データベース関連などの深刻な脆弱性では数千ドルに及ぶこともある。顧客企業はサブスクリプション制で定期的に料金を支払う。当面は、企業がネット上で公開しているWebアプリケーションとWebサイトが調査の中心となる。両氏は、顧客企業の具体名については言及を避けた。

↑ページ先頭へ