残念ながら、セキュリティ対策のソフトウェアにも修正を必要とする問題がある場合があり、このため4年前、エフセキュアでは当社の製品の脆弱性を発見するため、セキュリティの研究者を招聘しました。そしてその成果は、我々の顧客や、脆弱性を発見し報告するバグハンターたちに効果をもたらしています。
エフセキュアの脆弱性報酬(バグバウンティ)プログラムでは、100件を超える脆弱性について報告者に報奨金が支払われました。
エフセキュアのセキュリティ脆弱性アナリスト、Kiran Krishnappa(キラン・クリシュナッパ)によると、「このプログラムは2015年に当社のごく一部の製品から始まり、2019年の現在では製品ラインの拡充に伴って20製品がプログラムの対象となっています。」
このプログラムはより優れた製品につながります
プログラムの重要性、目的を再検証した結果、エフセキュアはこのプログラムの期間をもう1年延長しました。
「私たちはプログラムの継続に注力しています」、エフセキュアの情報セキュリティ最高責任者、Erka Koivunen(エルカ・コイヴネン)はこう述べています。「私たちにとってこのプログラムは、優れた人材プールを活用し、バグを発見した人に報酬を提供するための制度化された方法です。ただし、プログラムの必要性とメリットについては毎年検証しています。」
Erkaによると、プログラムの延長について社内で議論することで、チームは一時的な盛り上がりや業界のトレンドに基づかないプログラムの見直しを行うことができます。 バグバウンティを主催するどの組織と協力するのか、経営トップを含む会社全体のプログラムに対するコミットメントはどうか、また、戦略的ゴールが達成されていることが明らかであるかなどについて協議しています。
Erkaはまた、次のように述べています。「このプログラムの実施が、当社のソフトウェアセキュリティへの取り組みに確実にプラスとなる必要があります。 これまでのところ結果には非常に満足しており、この状態を維持したいと考えています。」
Erkaはさらに次のように述べています。「当社は、世界的レベルのハッカーを有している(英語)ため、社内でのバグバウンティの手法が外部でのやり方をうまく補完しています。 これによって、より優れた製品が作り出されるだけでなく、我々の仲間による社外の活動に報酬が与えられ、彼らが自社の技術にさらに精通することにもなります。」
バグは誰かが発見します
脆弱性報告を真剣に受け止めない会社は、顧客を危険にさらすことになります。
どのような対策を講じても、犯罪者はセキュリティの弱点を探し続けます。セキュリティに対する考え方が何十年も遅れている(英語)ことが多いとされている業界でIoT保護の問題が非常に大きな話題となっているものの、実情は何年も前から分かっているバグが、修正されずに放置されています。
エフセキュアでは、セキュリティ業界の専門家を招聘して当社の製品を徹底的に調査してもらうだけでなく、エフセキュアの社員も、責任ある開示を通じて他社の製品やソフトウェアを改善するという役割を遂行しています。
この数か月間にエフセキュアのコンサルタントからは、自動車や航空機、家電製品、工業部品に使用されている特定のシステム・オン・チップのブートスキームの欠陥および、大手銀行や政府その他の組織から信頼されているBIG-IPロードバランサーを攻撃者が悪用できるようにするコーディングバグについての警告が発せられています。
ユーザーを保護するのはあなた方です
脆弱性報酬プログラムの優秀な報告者には、賞金を授与しエフセキュアの「HALL OF FAME」(英語)というページで紹介されます。
Kiranは次のように述べています。「当社の脆弱性報酬プログラムに参加した研究者への感謝の気持ちを表すために私たちができることをやりたいと思っていますし、引き続き研究に参加して頂きたいと思います。ユーザーを保護するのはあなた方です。」
プログラムの構成や申し込みについての詳細は、こちらのページをご覧ください(英語)。
カテゴリ