突然ですが、セキュリティ製品を買うときに、あちらではなくこちらの製品を選んだのはなぜですか?こちらの方が安いからこちらの方が信頼できるから、ではないでしょうか。では、セキュリティリサーチャーはなぜ、あのアプリではなくこのアプリの解析に時間をかけるのでしょう?それは、このアプリを開発した会社の方を信頼しているからです。世の中の企業は、自社製品に脆弱性が発見されることを歓迎する企業ばかりではありません。実際、法に訴えるとリサーチャーを脅す企業も存在します。
一般に、どの製品や企業を選ぶかは、信頼できるかどうかにかかっています。信頼は1度の失敗で簡単に損なわれますが、構築するのは非常に困難です。信頼とは、言ってみれば何千ものレンガでできた塔のようなもの。塔を破壊するにはレンガを1個引き抜けば十分かもしれませんが、塔を建築するにはレンガを1個ずつ丁寧に積む作業を何千回も繰り返さねばなりません。実に困難で、長い時間を要します。
リサーチャーのための「セーフハーバー」
Kasperskyは、レンガをひとつひとつ積みながら塔を建て、保守に努めています。ビジネスの透明性をご理解いただくため、2017年にはGlobal Transparency Initiativeをスタートさせました。また、バグ報奨金の増額も実施しています。そしてこのたび、Bugcrowdのプロジェクト「Disclose.io」(英語サイト)に参加し、当社製品を調査して脆弱性を発見したリサーチャーに対して法的措置をとらないことをお約束します。
Disclose.ioは、安全なプログラムの開発を支援するテストプラットフォームを運営するBugcrowdが、著名なセキュリティリサーチャーであるアミット・エラザリ(Amit Elazari)氏と共同で2018年8月に立ち上げたプロジェクトです。同プロジェクトの目的は、バグ報奨金プログラムや脆弱性開示プログラムに携わる組織やリサーチャーを守るための明確なフレームワークを提供することです。Disclose.ioに参加するすべての企業およびリサーチャーは、Disclose.ioが提示する一連の協定に従うことに同意します。法的な取り決めといえば、細かな無数の項目に分かれていて字が細かくて締結に困難を極めるものですが、この協定は実にシンプルで、読みやすく理解しやすい形で提示されています。主要な条項はGitHubに公開されています(英語サイト)。GitHubにある文書に変更を加えるとGitHubコミュニティ全体がその事実を知るところとなるので、透明性の面でも申し分ないと言うことができるでしょう。
この協定は、企業に対し、調査を行ったリサーチャーを処罰するのではなく、彼らと連携して脆弱性の理解と修正を行うこと、また製品のセキュリティに対する彼らの貢献を認識することを奨励します。一方、リサーチャーに対しては、問題が解決されるまで情報を公開しない、アクセスしたデータを乱用しない、企業から金銭を脅し取らないなど、発見した脆弱性に責任を持つことを求めています。
まとめると、Disclose.ioはこう宣言しているのです。「リサーチャーおよび企業の皆さん、お互いの立場を尊重して協力し合えば、お互いにとって利益となることでしょう」。Kasperskyはこの主張に完全に同意するものであり、当社がDisclose.ioの活動を支持し、当社製品の弱点を見つけようとするリサーチャーに「セーフハーバー」*を提供する理由は、まさにそこにあります。(*あらかじめ決められた一定のルールのもとで行動する限り、違法ないし違反にならないとされる範囲のこと)
もちろん、当社のお客様にとって有益なものでもあります。セキュリティコミュニティによる調査をより多く受けることで、製品やサービスの安全性は向上します。セキュリティソリューションにとって、可能な限り安全であることは間違いなく必須事項です。