いますぐ「ホワイトハッカー」活用策を
ホワイトハッカーを活用せよ
サイバーセキュリティにおける「蟻の一穴」の脅威については前述した。では、公共機関や企業が防衛のために張り巡らせた「千丈の堤」から、その一穴を探し出すにはどうすればよいか。筆者は「レッドチームテスト」という手法が有効だと考える。要するに「サイバー攻撃演習」である。そのためにも、攻撃する側の「悪意あるハッカー」とは異なる、守る側の「ホワイトハッカー」の育成が急務なのだ。
そして、筆者が人材育成と、公共機関や企業のセキュリティ向上を兼ねた仕組みとして考えているのが、ホワイトハッカーを活用した「バグ報奨金」制度の普及である。
聞きなれない言葉かもしれないが、「バグ」とはシステムにおける脆弱性、悪意あるハッカーの侵入を許すかもしれない穴のことだ。報奨金制度というのは、その穴を見つけて通報したホワイトハッカーに、お礼を支払う仕組みのことである。もう少し具体的に記せば、公共機関や企業が持つウェブサービスやアプリケーション、IoT機器などに脆弱性が存在しないかどうかの調査を外部のホワイトハッカーたちに依頼し、もし問題が見つかった場合は報告を受け、その対価として金銭を支払うことを制度化したものである。西部劇に喩えれば、企業が腕に覚えのある「賞金稼ぎ」を雇うということだ。
報奨金制度のメリット
まだ日本では馴染みの薄い制度だが、米国では2000年代中盤からグーグルやフェイスブックといった、シリコンバレーの企業を中心に広まりはじめ、現在では米国防総省やゼネラル・モーターズといった固いイメージの組織でも導入が進んでいる。
国防総省が実施した「Hack the Pentagon(ペンタゴンをハックせよ)」という取り組みには、約1400人のホワイトハッカーが参加。138件の報告が有効とみなされ、総額で1000万円近くが支払われた。
このバグ報奨金制度が普及することによるメリットは大きく二つある。ひとつは繰り返しになるが、悪意あるハッカーよりも先にホワイトハッカーがバグを見つけ出すことができれば、その組織は潜在リスクを大きく低下させることができることだ。これはその組織が提供するサービスの利用者保護になるだけでなく、延いては社会の安定にも繋がる。
もうひとつは、ホワイトハッカーに活躍の場を与えることにある。いくらホワイトハッカーの必要性が声高に叫ばれ、そのための資格制度などが整えられたとしても、社会全体が認識できるような活躍の場がなければ、その分野にチャレンジしたいと思う若者は増えないだろう。日本のサッカー界が本気でワールドカップ出場を目指すために、その土壌となるJリーグを必要としたことと同じだ。企業経営者には、ハッカーは恐れるものでなく、Win-Winの関係を築く相手だと認識していただきたい。その一歩が、日本のサイバーセキュリティを大きく前進させるはずだ。
「新潮45」8月号ではより詳細なレポートを掲載している。
[2/2ページ]
