- 2016年7月18日
- セキュリティについて
ジープをハッキングされたフィアットがバグ報奨プログラムを導入する意味
昨年、あるセキュリティ研究者が走行している「ジープ(Jeep Cherokee)」の無線通信システムに侵入して遠隔操作する実証実験を行ったことがニュースになったことをおぼえているでしょうか?
走行中のJeepを乗っ取り操作、セキュリティ研究者が実証実験(IT media)
その際に、ジープの販売元であるフィアット(Fiat Chrysler Automobiles)はすぐさまリコールを発表し、脆弱性を修正するソフトウエアアップデートをリリースしました。
現在、インターネット接続技術と自動車産業の融合は待ったなしにすすんでいます。そして、それに伴い必然的にITセキュリティ対策も重要なものとなっています。特に、自動車の場合は人の命に関わるものですので、特に重要です。
そのような経緯もあり、今月7月13日にフィアットは「バグや脆弱性の発見者に報奨金を支払う制度を導入すると発表しました。
バグ報奨金プログラムと呼ばれる仕組みを採用した制度で、クラウドソーシングセキュリティの米Bugcrowdのプラットフォームを利用し、セキュリティ研究者から脆弱性の発見を募集することで、問題が発生する前にバグを修正あるいは沈静化して、安全性を高めることができる仕組みです。
バグ報告に対する報奨金支払いは、すべてBugcrowdが管理し、1件あたり150ドルから最高1500ドルとされています。
自動車業界だけではなく、セキュリティ対策はインターネットに関わるすべての企業に関わるものです。難しいのは、インターネットの進化によるハッキング技術と各企業のセキュリティ対策は必ずしも比例しないことです。
ハッカー側は常にセキュリティの穴をついてくるため必然的にイタチごっこになります。攻撃される企業側は対策常にあとまわしになるのです。
ですので、今後このようなバグ報奨金プログラムを利用して、自社で資金は出しつつも対策を外部に委託することで、最新のセキリティを保つ方法は、一般化するのではないでしょうか。