#脆弱性 #Bugcrowd #クラウドソーシング

クラウドソーシングによるセキュリティプログラムで重大な脆弱性を多数発見―Bugcrowd社の衝撃レポート

世界的なクラウドソーシング型セキュリティプラットフォームを提供するBugcrowd社が発表した最新の脆弱性トレンドレポート「Inside the Platform」によると、同社のクラウドソース・セキュリティ・プログラムにおいて、2023年に発見された重大な脆弱性が、2022年と比較して10倍以上に増加したことが明らかになりました。この結果は、サイバーセキュリティの現状に対する深刻な警鐘を鳴らしています。

政府機関や金融機関での増加が顕著

特に、政府機関と金融機関では脆弱性の報告件数が大幅に増加しました。政府機関では前年比151％増、重要な脆弱性への報酬も58％増加しており、セキュリティ対策への投資が強化されていることがうかがえます。その他の業界でも、小売業（34％増）、企業向けサービス（20％増）、コンピュータソフトウェア（12％増）など、複数のセクターで報告件数の増加が確認されました。

ハッカーコミュニティの活発化と新たな脅威

レポートでは、ハッカーコミュニティの活発化も指摘されています。バグクラウド・プラットフォーム上でのWeb投稿は30％増、API投稿は18％増、Android投稿は21％増、iOS投稿は17％増と、多様なプラットフォームで脆弱性報告が増加しています。

Bugcrowd社の最高情報セキュリティ責任者であるニック・マッケンジー氏は、2024年には敵対的AIを使った攻撃が加速する可能性を指摘。サプライチェーンセキュリティやサードパーティリスクへの対策強化の必要性を訴えています。また、人的ミスや内部関係者によるセキュリティ侵害のリスクも高まっているとして、クラウドソーシングによるセキュリティ対策の重要性を強調しています。

オープンスコーププログラムの有効性

レポートによると、スコープが限定されていない「オープンスコープ」のバグ報奨金プログラムでは、スコープが限定されたプログラムと比較して、10倍もの重大な脆弱性が発見されました。これは、オープンスコーププログラムが、より広範囲かつ徹底的なセキュリティテストを実現することを示しています。重大な脆弱性の発見に対する報酬は、一般的に1万ドル以上と高額で、特に金融サービスと政府部門では報酬額が高くなっています。

クラウドソーシングによるセキュリティ対策の重要性

Bugcrowd社は、クラウドソーシングによるセキュリティ対策として、ペネトレーションテスト、マネージドバグバウンティ、脆弱性開示プログラムなどを提供しています。これらのサービスは、企業がハッカーコミュニティの知恵を活用し、自社のシステムにおける脆弱性を早期に発見、修正することを可能にします。

まとめ

Bugcrowd社のレポートは、急速に進化するサイバーセキュリティ環境において、クラウドソーシングによるセキュリティ対策の重要性を改めて示しています。企業は、最新の脅威への対応と、自社のセキュリティ体制強化のために、クラウドソーシングを活用した対策を積極的に検討すべきです。レポートの詳細は、Bugcrowd社のウェブサイトで公開されています。

関連リンク

サードペディア百科事典: 脆弱性 Bugcrowd クラウドソーシング

Wiki3: 脆弱性 Bugcrowd クラウドソーシング