TOPNetwork > 脆弱性報告制度、企業への義務づけは近い?(後)

Network

脆弱性報告制度、企業への義務づけは近い?(後)

2018/09/06

J.M. Porup CSO

 企業が善意のセキュリティ研究者からバグの報告を受けて対処するための仕組みである脆弱性報告制度は、米連邦取引委員会(FTC)と米司法省の様子からすると、将来的にあらゆる企業が何らかの形で設けるよう義務づけられることになりそうだ。現状では、この手の制度を一切設けていない企業がほとんどである。米HackerOneが2017年6月に示した調査結果によると、Forbes Global 2000企業の94%は、セキュリティ問題について研究者から報告を受け付ける手段を用意していない。

前回から続く)

 バグ報奨金制度の先駆者であるKatie Moussouris氏は、今年のインタビューで、脆弱性報告制度とバグ報奨金制度を混同している企業が多いと指摘し、「バグ報奨金と脆弱性報告は同じだと人々が考えるようになると危険だ」と述べていた。

 バグ報奨金制度では、セキュリティ上の欠陥発見を促す金銭的報酬をハッカーに与える。だが企業は、バグ報奨金制度を始める前に済ませておくべきことがある。1つは社内検査。もう1つは、報告された脆弱性に対処する社内プロセスの確立だ。特に重要なのは後者である。「脆弱性報告制度の実施にあたって司法省が推奨しているのは、単なるポリシーだけでなく、トリアージの能力、報告に対処する能力、指摘された問題を修正する能力を整備することだ」とElazari氏は言う。

 善意のセキュリティ報告を受け取るだけなら簡単だが、報告されたバグへの対処はずっと厄介だ。バグ報告に対処する手段がないのに、報告受け取りの門戸を開くのは、その企業の法的責任につながる恐れがある。

↑ページ先頭へ