セキュリティ チーム
セキュリティ チームは VDP の最も重要なステークホルダーです。VDP の立ち上げと実施の準備に必要な作業に加え、セキュリティ チームがオンボーディングされなければ、セキュリティ チーム外の関係者の賛同を得ることがより困難になります。
VDP の導入に関して、誇りや守りの感覚があることもあります。セキュリティ チームは、外部のセキュリティ研究者が見逃した脆弱性を特定することで、自身の欠陥が明らかになると感じる場合があります。企業には大規模で複雑な攻撃対象領域があり、セキュリティ チームによる完全なカバレッジは期待できません。誰かを指摘したり 非難したりしてはいけません研究者が脆弱性を発見した場合、このデータを実用的なフィードバックとして使用し、チームが組織のセキュリティ体制を改善する必要があります。外部のハッカーを攻撃者ではなくチームの延長とみなすようにセキュリティ チームの考え方を変えることが重要です。前述のように、VDP に関連する検出と対応のメカニズムの処理方法について、セキュリティ チームが積極的に会話できるようにする必要があります。
IT
情報技術の意味は組織によって異なり、企業ごとに IT 関連の役割があります。このガイドでは、ビジネスで使用されるシステムやサービスの設定、維持、サポートを担う個人やチームを IT というものとしています。IT チームは一般的に、物事の稼働を維持したいと考えています。多くの場合、これは成功指標に直接関係します(中断のない稼働時間など)。ハッカーに、自分たちで管理するシステムやサービスのテストを誘うという考えは不安に思えるかもしれませんが、実は IT には大きなメリットがあります。犯罪者はルールを遵守せず、組織を攻撃しようとする可能性があります。優れたハッカーが組織と連携するための標準化されたチャネルを作成することで、犯罪に悪用される前にセキュリティの問題を特定して修正する可能性を高めることができます。侵害が発生すると、IT などが費やす時間など、多大なコストが発生します。また、侵害の結果としてアセットを停止またはセグメント化する必要がある場合、ダウンタイムが発生する可能性があります。VDP の設置は 侵害のリスクの低減に役立ちますまた、ハッカーによる調査は、アセットの検出や、IT チームの関与なしに起動された不正なシステムやサービスの特定にも役立ちます。
エンジニアリング
セキュリティ チームがエンジニアリング チームに代わって脆弱性の修正作業を引き受ける場合を除き、エンジニアリング部門には VDP に参加してもらう必要があります。予期しない作業を好み、VDP はエンジニアリング チームが対処する必要がある新しい脆弱性のストリームを導入します。エンジニアリング組織のリーダーと協力して、VDP の開始に関連するタイムラインを把握し、バグの修正にリソースを集中できるようにチームから賛同を得ることが重要です。VDP がリリースされると、通常は最初にバグが急増し、その後中程度のレベルにまで改ざんされます。プログラムの最初の数週間で、エンジニアリング チーム、セキュリティ チーム、VDP に参加するハッカーの作業を効率化します。エンジニアリング チームに追加の作業を依頼することになるため、VDP のメリットを説明することは有益です。
法務
法務チームはリスクを軽減することを重視しています。コンテキストを追加することなく、積極的にハッカーに組織をハッキングするよう依頼するという考え方は、非常に危険と思われがちですが、法務チームと協力して、VDP の導入により、セキュリティ リスクだけでなく法的リスクも軽減できるか確認することが重要です。VDP の有無にかかわらず、脆弱性は存在します。VDP がなければ、正しいことを行い、問題をユーザーに知らせるハッカーが、ユーザーに連絡する標準的な方法はありません。VDP を整備することにより、セキュリティ研究者は法的な問題になる前に脆弱性を見つけて修正できるようになります。脆弱性レポートを受け入れるチャネルがなければ、脆弱性を発見した個人が、報告をあきらめるか、注意を喚起して修正するために問題を公表する可能性があります。
広報
広報(PR)チームの情報セキュリティの経験に応じて、VDP の開始の提案に対する PR チームからの反応は、「いつ開始するのか」から衝撃を受け、そのアイデアが完全に却下されるなどさまざまです。ハッキングに対する世間の認識は以前から変化し始めていますが、「ハッカー」という言葉は、依然として多くの人々にとって否定的な意味合いを持っています。次の表に、PR からよく寄せられる質問と懸念、およびこれらの否定的意見への対処方法を示します。
| 質問/否定的意見 | 解答例 |
|---|---|
| ハッカーは悪くないの?ハッキングを依頼するのは困ったことなのでしょうか? | いいえ。犯罪者は常に存在し、Google をハッキングして悪用しようとしますが、VDP は、正しいことを行い、Google が脆弱性を発見して修正することを望むハッカーと連携する手段を提供します。悪意に満ちた人を VDP で阻止することはできません。 |
| もしハッカーに手助けされずに、実際にハッキングされたらどうなるでしょうか? | 悪意を持ったユーザーは、VDP に参加しない可能性が高くなります。それどころか、Google を攻撃するときにできるだけ匿名にすることを試みる可能性があります。 VDP の確立により、Google は支援を必要とするセキュリティ研究者と連携できます。 |
| ハッカーに助けを求めることで、自社のセキュリティが悪いことを認めるでしょうか? | 完璧なセキュリティは存在しません。さまざまな業界の有名な組織の多くは、公開されている脆弱性の開示やバグ報奨金プログラムを実施して、既存のセキュリティ プロセスを強化しています。グローバルなハッキング コミュニティを活用することは、突破口を見つけて修正するためのセーフティ ネットです。VDP を設けることで、セキュリティ PR を実施できます。 |
| ハッカーがハッキングの手法を公表したらどうするの?悪く見えるかな? | これは開示の内容と性質によって異なります。Google はハッカーと協力して、開示の仕組みについて合意できる条件を定義する必要があります。ほとんどの組織は、特定された問題が修正されるまで公開せず、通常はハッカーと協力して記事やブログを作成します。脆弱性報告を受け入れ、このようなハッカーとの対話を行うという体系的な手段がなければ、Google に連絡できなかったために不満を感じ、報道機関に直接向かうリスクが高まります。多くの組織は、VDP の成功を強調するために、セキュリティ研究者に自社との関わり方を説明するよう積極的に促しています。これにより、コミュニティ内の熟練したハッカーの参加が促進されます。 |
| VDP の有用性をどのように確認するか?もし公開で何か悪いことが 起こったら? | ほとんどの VDP は「非公開」モードで開始されます。このモードではプログラムは公表されず、少数のハッカーのみが参加に招待されます。やがて、より多くのハッカーが招待されるようになり、このプログラムは「一般公開」のリリースと発表に向けて徐々にスケールアップされます。時期については引き続き追求し、プログラムの一般公開の時期については最新情報をお伝えいたします。その場合、組織が外部のセキュリティ研究者のコミュニティと連携して、セキュリティを向上させ、ユーザーの安全を維持する方法に関する肯定的なストーリーとして強調できます。 |
セールス
セールスチームには、自社が競合他社よりも優れていることを示す証拠が必要です。販売プロセスの一環として、組織は顧客の信頼を確保するためにベンダーのセキュリティ審査または監査を受けることがよくあります。VDP を導入すると、成熟したセキュリティ プログラムが導入されていることをお客様に示し、外部のセキュリティ研究者と協力してさらに強化できます。また、近い競合他社に VDP がない場合は、見込み顧客にアピールする際に有利な選択肢となります。販売チームと協力してナラティブを作成し、組織のセキュリティについて不明な点が発生したときに見込み顧客と共有します。
たとえば
| Google では、既存の堅牢なセキュリティ プロセスを強化するために脆弱性開示プログラムを採用しています。これは、セーフティ ネットや近隣の監視ツールのように機能し、本番環境におけるセキュリティ問題をほぼリアルタイムで特定するのに役立ちます。これにより、データ侵害の可能性が低減し、データの安全性を確保できます。この点で、脆弱性開示プログラムがない競合他社よりも確固たる優位性を得られます。 |
金融
VDP から脆弱性報奨金プログラム(VRP)に移行すると、財務部門はより関与すると考えられますが、サードパーティのプラットフォームからサービスを購入する場合は、財務部門に参加する必要があります。サードパーティ ベンダーを利用して VDP の設定を行う場合、こうしたサービスの予算が必要になります。些細なことのように思えるかもしれませんが、早い段階で財務チームと話し合い、プロセスを理解することをおすすめします。
コミュニケーションのアプローチ
関係者の賛同を得るには、組織に最適なコミュニケーション方法を決定する必要があります。組織のほとんどの人が同意できると予想される場合は、多くの場合、単一の提案に取り組み、フィードバックを求め、1 回のミーティングで質問や懸念について話し合ってください。このアプローチが組織でうまくいかない場合は、関係者と個別に面談して個人的な疑問や懸念について話し合うことをおすすめします。VDP の開始に伴うリスクに関する反論や質問に対応できるよう準備してください。組織全体に VDP のアイデアを提案する場合、VDP のメリットを売り込み、現実かつ認識されているリスクに自信を持って対処する必要があります。