サイバーセキュリティ・インフラストラクチャセキュリティ庁は、倫理的なハッカーが連邦政府機関にセキュリティ上の欠陥を報告できるようにする脆弱性開示プログラムを開始した。
サイバーセキュリティ企業 Bugcrowd と Endyna の協力を得て立ち上げられたこのプラットフォームにより、民間の連邦機関は、セキュリティコミュニティ全体からセキュリティの脆弱性を受け取り、優先順位を決定し、修正できるようになります。
このプラットフォームの立ち上げは、連邦サイバーセキュリティ機関(CISA)が、監督下にある民間連邦機関に対し、独自の脆弱性開示ポリシーを策定・公開するよう指示してから1年も経たないうちに行われた。これらのポリシーは、オンラインシステムのどの部分(および方法)をテストできるか、またどの部分がテストできないかを概説することで、セキュリティ研究者の行動規範を定めることを目的としている。
民間企業がハッカーにバグ報告の機会を提供するVDPプログラムを運用することは珍しくなく、多くの場合、ハッカーの作業に対する報奨金制度と組み合わせて実施されます。米国国防総省は長年にわたりハッカーに好意的な姿勢を示してきましたが、連邦政府の文民部門はなかなか対応してきませんでした。
昨年シリーズDで3,000万ドルを調達したBugcrowdは、このプラットフォームについて「現在、企業のセキュリティギャップを特定するために活用されているのと同じ商用技術、世界クラスの専門知識、そして倫理的なハッカーのグローバルコミュニティへのアクセスを政府機関に提供する」と述べています。Bugcrowdの創設者であるCasey Ellis氏は、TechCrunchに対し、この指令は「ハッカーがインターネットの免疫システムとして果たす役割にとって、新たな転換点となるでしょう。Bugcrowdチームは、CISA/DHSと提携し、米国政府と共にこの取り組みを前進させられることを大変誇りに思います」と述べています。
このプラットフォームは、CISA が他の機関との間でセキュリティ上の欠陥に関する情報を共有するのにも役立ちます。
このプラットフォームは、ロシアが主導し、ソフトウェア会社のソーラーウィンズをハッキングして少なくとも9つの米国連邦政府機関に対して行ったスパイ活動や、連邦政府を含む数千のマイクロソフト・エクスチェンジ・サーバーにバックドアを仕掛けた中国とつながりのあるサイバー攻撃など、政府のサイバーセキュリティにとって厳しい数か月を経て開始された。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
バグ報奨金だけではスタートアップを救えない - その理由はここにある
トピック
Bugcrowd 、 CISA 、コンピュータセキュリティ、コンピューティング、サイバー攻撃、サイバー犯罪、サイバー戦争、連邦政府、政府、情報技術、インターネットセキュリティ、セキュリティ、 SolarWinds 、米国
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
