近年、セキュリティ課題の意識が高まっているおかげか、ハッキングコンテストの活動が盛んです。なかなか高額な賞金も出ますし、協賛の脆弱性は潰れるわけだから……
どちらもwin-winやん?
とあるハッキングコンテストの優勝賞金は650万円超
先日話題になったのはこちらのニュース。
「Pwn2Own」というハッキングコンテストは、セキュリティ研究機関ZDI(Zero Day Initiative)が主催するコンテストです。ちなみに親はTrend Micro。次回開催は2020年1月に、フロリダ州マイアミで開催予定。その対象は産業機械らしい。AIロボが反乱して研磨放棄したら大変だしね。
コンテストのやり方は、大まかに2通りあります。
ひとつは攻撃側に立つこと。──システム防衛が居る状態で、ネットワークを通じセキュリティホールをこじ開け、目当てのファイルを獲得できるとか改ざんできたら勝ちとか、そんな感じ。
ふたつに防御側に立つこと。──侵入する攻撃者から、いかにシステムの根幹を守り切るかの勝負になります。
ハッキングコンテストは他の名称も数多くありますが、これらの勝負は『キャプチャー・ザ・フラッグ(Capture The Flag)』とも呼ばれます。ようは”陣地取り”ですね。
企業がセキュリティホールに賞金をかけるケースも増えてきた
実のところ、外部から完全遮断できるネットワークセキュリティは存在しません。
人間が考えた物だからこそ、システムの穴(セキュリティホール)は必ず存在するし、組んだ人より高度なテクを持つ人なら抜けることも容易い。いくら頑丈なセキュリティを持つタワマンでも、ターミネーターがロケランぶっ放したり、液状化してきたらどうしようもないでしょ? 詐欺の注意喚起をしても、新しい詐欺に引っかかる人がいるのも同じこと。
ファイアウォールなどの防護策は、あくまで”入りにくくするだけ”の対策です。
量子コンピュータの登場で暗号通貨がヤバイと、資産価値がガクッと落ちたこともありました。
あれは計算能力こそ高いけど、暗号の断定は別の話なので、あまり関係ないんですよね。だから一時的に相場がガクッと下がったけど、もういつもの腐れ相場に戻っているでしょう?
総当りならミスでロックすりゃいいし、桁数が増えればそれだけトライ&エラーが増えるわけで、なおさらタイーホ率があがります。それよりも大本に侵入してかっさらうほうが簡単ですよね。
──それはさておき。
近年は企業が「ウチの門を破ってみろ!」と、セキュリティホール見つけたら○万円をやっていたりします。代表的なのはAppleの1億円ですね。
ITテック企業はこの懸賞金制度を大抵導入しています。なぜなら、自社要員でチームを組んでやらせるよりも効率的だからです。
小説やマンガに編集がいるように、第三者の目で推敲すると、意外と簡単に間違いが見つかりやすい。プログラムは人が思いつかない行動を取らせるほどバグが起きやすいし、善人に悪人の心理は読みきれません。ならそういう考えを持つ人にやらせようぜってこと。
日本だと大手SaaSのサイボウズが脆弱性報奨金制度を設けています。チャレンジしてみてはいかが?
セキュリティの専門家でメシが食える時代に
「ハッカー」という言葉はイメージが悪く、システム管理者にとっては敵以外の何者でもありません。
でもセキュリティ面では専門家以上の存在です。それよりも高度な知識を必要とするし、野放しにしてしまうと、機密ファイルが抜き取られて損害に増えるだけ。なら報奨をかけて集中してもらおうって魂胆もあるでしょう。
穴が見つかって修正すれば、信用もあがっていく。同時に、詳しい人材も手に入れれるのだから、1億で済むなら安くね? と思います。また、国が主導するコンテストもありますよ。
「SECOON」は国内外から参加者が集まるセキュリティコンテスト。ハッキングよりも、セキュリティのエキスパート達がワークショップの過程でバトルしあっていくような、そんな感じですかね。大会よりも人材探しの色が強すぎるだろコレ。優勝した経歴書いても、大半の企業が価値を知らなそう。
……まあサーバーレスが進むと、自社内に機密データを残しておく理由は特にないですからね。ネットワークに強い人が居ない企業なら尚更です。
でも提供側はそうもいかないので、こういう所から人を集めないと、情報漏洩で損害賠償がパないことになるし、信用を失って廃業もあるから、人材を整備するのは当然の働きであります。情報の取り扱いは注意しようね!
コメント