[Tech Thoughts] DICTのバグバウンティとエシカルハッキングの概要

情報通信技術省は1月14日、脆弱性開示および国のセーフハーバーポリシーとバグバウンティプログラムに関する改定・統合されたガイドライン、規則、規制を定めた省令HRA-002を発表しました。

DICT長官のHenry Agudaは昨年、この開発を宣伝する目的でRootconハッキングカンファレンスにまで出向き、国のハッカーは「破壊するためではなく、保護するために」そのスキルを使用すべきだと述べました。

その目的のため、セーフハーバーポリシーとバグバウンティプログラム(SHPBBP)の制度化は、適切なスキルセットを持つ人々にとって歓迎すべきものであり、政府サービスに対する責任あるサイバーセキュリティ開示を奨励しようとしています。

この開発について聞いたことがない場合は特に、これが何を意味するのか見ていきましょう。

倫理的ハッカー、バグバウンティ、およびセーフハーバーポリシー

倫理的ハッキングとは、ホワイトハットハッカーとしても知られるサイバーセキュリティの専門家が、その脆弱性が非倫理的またはブラックハットハッカーによって悪意を持って使用される前に、アプリ、システム、またはテクノロジーの脆弱性を特定し、修正を支援するプロセスです。

このように、倫理的ハッキングは実世界のサイバー攻撃をシミュレートしてシステムのリスクを評価し、与えられたシステムを改善したり、セキュリティーを強化したりできるようにします。

倫理的ハッキングをホワイトハットハッカーにとってやりがいのあるものにするために、バグバウンティプログラムは、脆弱性を発見し、ハッキングされたシステムを開発している人々に責任を持って引き渡す作業を評価し、金銭的報酬を提供するために設定された組織構造です。これは、これらのシステムのセキュリティーを改善できるようにするためです。

バグバウンティプログラムには、ハッカーが作業を行うための保護が伴うことがよくあります。

これらのセーフハーバーポリシーは、ホワイトハットハッカーやセキュリティ研究者が、特定のバグバウンティプログラムの仕様に従って研究を適切に開示する限り、バグを追い詰めるプロセスで何かを発見した場合の行政上、民事上、または刑事上の責任から保護するように設計されています。

DICTのSHPBBP通達とは何ですか?

DICTのSHPBBPは、DICTのバグバウンティプログラムに参加するために必要な保護と要件の概要を示しています。

さて、誰でもバグバウンティに参加できるのか疑問に思うかもしれません。

DICTの通達の目的上、参加するには、少なくともプロのサイバーセキュリティ研究者である必要があります。また、バグバウンティから報酬を受け取る資格を得るには、本人確認(KYC)手続きの下で自分自身を登録する必要があります。

ただし、具体的には、通達は以下に適用されると述べています:

• 行政府の下にあるすべての国家政府機関、政府所有および管理会社とその子会社、政府金融機関、および州立大学および大学を含む、*.gov.phドメインおよびDICT管理プラットフォームの下にあるもの;
• フィリピン議会、司法、独立憲法委員会、オンブズマン事務所、および地方自治体は、この通達を採用することを強く推奨されます;
• DICTの官民サイバーセキュリティパートナーシッププログラムに自発的に登録している民間事業体;
• 国家サイバーセキュリティ計画(NCSP)の下で特定された重要情報インフラストラクチャ(CII)オペレーター;および
• 組織のネットワークおよびシステムに対する潜在的な脅威を特定および分析する責任を負うサイバーセキュリティ研究者。

一方、セーフハーバー保護は、バグバウンティの範囲内で宣言されたシステムのみをテストしているセキュリティ研究者である場合、不正なデータ流出、改変、またはサービス中断を一切行わない場合、DICTまたは承認された事業体に責任を持って非公開で脆弱性を報告する場合、および発見した問題が解決されるまで、または公開で議論することが許可されるまで、発見を非公開にして開示しない場合にのみ適用されます。

どのように機能しますか?

これが実際にどのように機能するか興味があるかもしれないので、一般的にどのように展開されるかを以下に示します。

セキュリティ研究者は、上記の本人確認(KYC)手続きを通じてDICTのイニシアチブに参加するために申請します。現金報酬を受け取る資格を得るには、プロセス全体を完了し、受け入れられる必要があります。利益相反 — たとえば、DICT職員およびDICTが関与する第三者プラットフォームサービスプロバイダー — は、これらのバグバウンティへの参加から潜在的な申請者を失格にします。

バグバウンティプログラムは、参加事業体、すなわち支援を必要とする政府機関投資家、または独自のバウンティを設定したい政府パートナーによって設定されます。この通達を機能させるための資金調達は、「対象機関投資家または機関の既存予算、および予算管理省が特定する可能性のあるその他の適切な資金調達先から請求されるものとし、関連する法律、規則、規制に従うものとします。」

これらのバウンティ — どのサイトまたはサービス、およびこれらのサイトとサービスのどの側面がテストを必要としているかを含む — は、バグを追跡して報告することに特化したウェブサイトである脆弱性開示プログラムポータル(VDPP)にリストされています。これはDICTのサイバーセキュリティ局によってホストおよび維持されています。

VDPPに適切に報告されたバグと問題は、Critical、High、Medium、およびLowの4つの可能なセキュリティーシナリオに分類され、報告とその重大度に応じて業界レートに基づいて潜在的な支払いがあります。

DICTのサイバーセキュリティ局は報告を検証し、検証された報告を持つ人々に「検証された脆弱性の報告および/または
解決における研究者の貢献に対する適切な証明書/認証」を提供します。民間部門の参加事業体は、DICTサイバーセキュリティ局と調整した後、VDPPで概説されている構造化されたインセンティブメカニズムに基づいて適切な金銭的報酬またはインセンティブを提供する場合があります。

金銭的報酬以外にも、責任ある開示が政府の注目を浴びることに関わる地位もあります。報酬には、デジタルおよび印刷された証明書、VDPPでの公開謝辞、および通達に従って他のDICT引用への包含が含まれます。

待望の開発

プロセスに関与するための明確な規則を持つ国家バグバウンティプログラムは、良いニュースであり、サイバーセキュリティ空間において待望の開発です。なぜなら、長期的には倫理的ハッキングを奨励し、現在の政府システムを改善するのに役立つはずだからです。

新進のサイバーセキュリティの専門家であれば、これは業界への良い入り口になる可能性があります。自分が何をしているかを知っていて、責任ある開示に必要な作業を行う限りです。

詳細についてはここにリンクされている通達を確認し、参加してください。悪い人々から政府のセキュリティーを改善するのを手伝うことができるかもしれません。– Rappler.com