広がるホワイトハッカーの高額報酬 Googleは1.6億円
コメント
注目のコメント
日本ではハッカーというと、コンピューターを使って悪いことをする人というイメージがありますが、wikiには‘’ハッカー とは主にコンピュータや電気回路一般について常人より深い技術的知識を持ち、その知識を利用して技術的な課題をクリアする人々のこと‘’ともあり、バグを改善する人のことも言います。日本では映画か何かの悪いイメージが先行したのでしょうか。
日本では、ホワイトハッカーへの報酬を支払って対策をしている、という話題を見聞きしません。まずは成功事例を作って、良いハッカーがいるというリテラシーをあげることが必要です。
‘’IT(情報技術)システムの脆弱性を見つけた外部ハッカーに企業が報奨金を払う動きが世界で広がっている‘’最後の章の取材先で察し、というか御社が言うんですか?みたいな感じ、そしておそらくこの取材やった人は業界の歴史を勉強してないなと思う限りですが
それを差し引いたとしてもバグバウンティ制度についてもう少し勉強された方がよいでしょう
今何が問題かと言うとサードパーティのゼロデイ買取業者が増えていることと、もう一つはPSIRT体制の強化です
前者に対抗するために後者に資金を投下したとしても値の吊り上げあいになります
それであればオープンバグバウンティではなくトラステッドな研究者向けにコードと仕様ををある程度公開するクローズドコンテストの方が幾分か割りがいいと言うのが欧米の企業が出している解でしょう
まぁ日本企業はそれ以前の問題で、そもそも設計開発思想がむちゃくちゃな上、報告されても正しくハンドリングする組織も知識もない
この記事におけるメッセージングの根本が揺らぎます
今仮に主要メーカーがバグバウンティを開始したとしても混乱するだけ
まずやるべきはもっと初歩的なところです
そこまで書かないと理想論で完でしょう金額の多寡はおいておき、こういう発想は必要ですね。
情報セキュリティ、サイバーセキュリティは企業のリスク管理において最重要のこととなってきました。
企業規模や事業内容に応じてしっかりとリソースを張らないといけません。
「不具合を認めたくない」文化から脱却し、「不具合はあるもの」という前提で常に様々な方法で監視しておくという体制にしていかなければ。