2017年10月31日

2018年は透明性の年。バグ報奨金は20倍に

ニュース 特別プロジェクト

Global Transparency Initiativeの立ち上げが近づいている。すでにご案内してはいるが、今回は、少しばかり詳しくご説明しよう。

なお、サイバーセキュリティのエキスパートの皆さんへのお知らせもある。ぜひ、最後までお読みいただきたい。

Global Transparency Initiativeとは、具体的に何か

その名にあるとおり、Transparency(透明性)に関する取り組みだ。ごく近い将来、具体的には来年の初め頃に、我々は当社製品のソースコードを、解析と監査のために第三者機関へ開示する。この種の内部監査を長きにわたり定期的に行ってきたが、もはやそれで十分とはいかなくなったのだから、さらにもう一歩踏み出しても一向に差し支えない。いずれにせよ、隠すものなどないのだから。

2018年の早い段階で、計画された3か所のTransparency Centerのうち一つがお目見えするだろう。Transparency Centerは、欧州、アジア、米国の3か所に、2020年までに設置され稼働を開始することになる。

要点を申し上げる。我々は製品のソースコードだけでなく、定義データベースのアップデートとソフトウェア自体のアップデートのソースコードも開示する。したがって、我々の気付かない脆弱性が、あるいは、決してあってほしくないことだがバックドアが、どこかにあったならば、それらの存在は明らかになり、隠しておくことはできない。

しかし、いずれにせよ隠すことなどしたくない。

なぜこのようなことをするのか

実に単純な話だ。サイバーセキュリティは信頼の上に成り立っている。透明性なくして信頼はあり得ない。まさに不可欠だ。

メスを手にする執刀医を信頼できなければ、手術を受けようとは思わないだろう。自分を中に入れてくれない幼稚園に、信頼して子供を預ける気にはなれないだろう。賞味期限が記載されていない食材は、買わないだろう。いま挙げたのは、実際の不具合ではなく、単なる可能性についての話だ。最も大切なものに関しては、トレードオフがあってはならない。

我々以上にそう信じる者はない。

お客様は、当社にとって最も大切な存在だ。それに尽きる。したがって、我々はデジタル的な意味合いで、裸になる覚悟だ。当社製品をX線調査し、IT世界を取り巻く不可思議な「もや」を打ち払っていく。その秘訣は正直なところ、クリーンなコード、そして不正行為の不在という、かなり最小限なものだ。

もう一つ。おそらく皆さんもお気づきだろうが、我々は乱流と革命寸前な変化の時代を生きている。事実より感情のほうが重要な、ポスト真実の時代だ。このような世界では、信頼性と安心の島を見つけたら、錨を下ろして岸に上がらねばならない。

Kaspersky Labがそのような島の一つであることを、進んで証明したく思う。

これは20年にわたる最先端の発展の当然の帰結であるという、強い確信がある。この取り組みを「今」立ち上げなかったとしても、どのみち数年後にはそうしていたはずだ。「我々」が立ち上げなくても、別の誰かがそうしただろう。したがって、なおいっそうの感謝を米国の政治家諸氏に捧げたい。彼らのおかげで、再び世界の先を行くことになった。この種の透明性の取り組みは、数年もすれば新たな業界標準になる。パイオニアであることは、いつでもよいものだ。

重要:ソースコードを誰にでも公開するつもりではないか、という心配はご無用だ。当社の主な目的は、お客様を保護することにある。したがって、ソースコードは監視官および公認の法執行機関のみに対して公開される。検証は、Sensitive Compartmented Information Facility(SCIF)内で、当社の立ち会いの下で行われることになる。この独立した施設内で監査官を招いて実施されるのであって、コードがどこかの外部機関に物理的な方法で提供されることは決してない。

繰り返し申し上げるが、要望のあった人にソースコードをUSBメモリで渡すようなことはない。第三者機関が提供するSCIFの内部にて、厳格に規制されながらも透明性の高い手続きが取られることになる。

さて、先にお約束したもう一つの件だ。

Global Transparency Initiativeの枠組みにおいて、バグ報奨金プログラムがアップグレードされた。詳細は今年中にお知らせするが、さわりの部分だけご紹介しよう。報酬の最大額は10万ドルになる。現行の最大額の20倍だ。

世界各地のサイバーセキュリティのエキスパート諸氏よ、来たれ!不信を払拭し、世界中の人々を共に守っていこうではないか。