企業のデジタル化が急速に進む中、サイバーセキュリティの重要性は年々高まっています。近年では、テレワークやクラウドサービスの普及により、企業のシステムが外部と接続する機会が増え、それに伴いサイバー攻撃のリスクは多様化しています。特に、システムの脆弱性を悪用した事例が急増しています。
こうした状況に対応するための取り組みの一つとして、「脆弱性開示プログラム(Vulnerability Disclosure Program:VDP)」が注目されています。欧米を中心に、海外では大手企業や政府機関での導入が一般的になりつつあり、日本でも徐々に普及が進んでいます。
本稿では、企業のIT、サイバーセキュリティ部門のご担当者や責任者に向けて、海外におけるVDPの普及動向に加え、日本の現状や課題と対策、さらに企業が自社で導入するメリットについて解説します。
目次
脆弱性開示プログラムとは
「脆弱性開示プログラム(VDP)」とは、一般のサービス利用者や外部のホワイトハッカー(セキュリティ研究者含む)が企業や組織のシステムの脆弱性を発見、報告し、報告を受け取った企業が脆弱性の修正や改善策を講じ、適切に開示する仕組みのことを指します。
従来は、利用者が脆弱性を発見しても、「どこにどのように報告すれば良いか分からない」「報告しても適切に対応してもらえるか不安」という理由で報告をためらうケースが多くありました。また、不正アクセス禁止法などの法律の影響で、意図せず攻撃者と間違われてしまうリスクを恐れ、報告が行われにくい状況でした。
こうした課題を解決するため、VDPでは報告手順、対象となる範囲・報告者の保護などを明示し、脆弱性を発見した人が安心して報告できる環境を整えています。
これにより、企業は、多くの人の知識(集合知)を活用してセキュリティリスクを早期に発見できるようになります。利用者にとっても、企業がシステムの不備に適切に対応することで安心できるという「Win-Win」の関係が構築されます。また、脆弱性を積極的に調査・研究するホワイトハッカーにとっては、発見した脆弱性が正式に認められ、公開されることで、キャリアアップの機会につながるというメリットもあります。
脆弱性開示プログラムの基本的な流れ
VDPの基本的な流れは、以下のようになります。
脆弱性開示プログラムの基本的な流れ
こうした報告から修正までのプロセスを明確に定義することで、企業はさまざまな視点からセキュリティを強化できるようになります。また、利用者やホワイトハッカーも、安心して脆弱性の報告や調査ができる環境が整います。
海外におけるVDPの普及動向
- アメリカ合衆国
アメリカはVDPの分野で世界をリードしています。2016年にアメリカ国防総省が始めた「Hack the Pentagon」は、ホワイトハッカーたちが合法的に同省のシステムの脆弱性を発見し、報告できるプログラムとして大きな成功を収めました。
また、「Cybersecurity and Infrastructure Security Agency(CISA)」が、連邦政府機関に対してVDPの導入を推奨・義務化する方針を打ち出したことをきっかけに、公的機関だけでなく民間企業にも広がっています。
GoogleやMicrosoftといった大手IT企業はもちろん、大手金融機関(例:JP Morgan Chase*1やWells Fargo*2など)でもVDPを導入し、ホワイトハッカーの協力を積極的に受け入れる例が増えています。
例えば、JP Morgan Chaseでは、脆弱性の発見に貢献した利用者やホワイトハッカーの氏名やSNSアカウントを公開しています。*3
*1 https://www.chase.com/digital/resources/privacy-security/security/vulnerability-disclosure
*2 https://www.wellsfargo.com/privacy-security/fraud/responsible-disclosure-program/
*3 https://responsibledisclosure.jpmorganchase.com/hc/en-us/articles/360023828114-Recognition-for-Responsible-Disclosures
- 欧州
欧州では、GDPR(一般データ保護規則)を背景に個人データの保護が強化されており、その延長としてシステムのセキュリティ体制に関する透明性の確保が求められています。
フランス政府は、2019年に「バグバウンティプラットフォーム* 4 」を導入し、国の重要インフラに関する脆弱性の報告を一括して受け付ける仕組みを整備しています。こうした国主導の取り組みは、公共性の高い分野で有効ですが、実際、フランス国内ではYesWeHackなどの民間のバグバウンティプラットフォームを活用し、企業が独自のプログラムを導入する事例も多く、柔軟な運用スタイルが浸透しつつあります。
またオランダでは、政府が策定した「Coordinated Vulnerability Disclosure: the Guideline」によって、利用者やホワイトハッカーが法的リスクを恐れずに脆弱性を報告できるよう環境が整備されています。これにより、企業や公共機関が同ガイドラインを参照したVDPを導入する流れが広がっています。
*4 企業や組織が、ホワイトハッカーなどから脆弱性の報告を受け付けて、発見者に報酬を支払う仕組み、サービス
- アジア太平洋地域
アジア太平洋地域でもVDPの導入は活発です。日本では、IPA(情報処理推進機構)が脆弱性届出制度を運営するほか、大手IT企業や通信事業者の一部が独自に脆弱性報告窓口を設けています。
シンガポール政府もサイバーセキュリティエージェンシー(CSA)を通じて、国家規模のVDPを展開し、行政サービスやインフラストラクチャーのセキュリティを強化しています。
日本のVDP導入における課題と対策
上述の通り、日本国内ではIPAの脆弱性届出制度があります。しかし、欧米に比べるとVDPを独自に導入する企業は限られています。なぜ日本企業でVDPの導入が進まないのでしょうか。その主な課題と対策は次の通りです。
VDP導入の主な課題と対策
こうした課題を解決し、VDPを導入することで、セキュリティリスクの軽減、企業の透明性向上と顧客からの信頼獲得、海外の優秀なホワイトハッカーとの連携強化といったメリットを得られます。近年のサイバー攻撃や情報漏洩の事件が相次ぐ中、日本企業においてもVDP導入のニーズは高まりつつあり、大手通信事業者やECサイト運営企業など、一部の企業はこれらの課題を解決し、VDPの導入に成功しています。
企業独自のVDPを導入するメリット
最後に、企業が独自にVDPを構築・運営することで得られる具体的なメリットを紹介します。
- 運用の柔軟性
VDPの対象範囲や報告方法などを自由に設計できるため、企業のビジネスモデルやリスク許容度に合わせたプログラムを構築できます。さらに、無理なく段階的に導入範囲を広げることができます。
- 迅速な対応
第三者機関を介さず、報告の受付から修正、そして報告者へのフィードバックまでを企業が自分たちで管理できます。これにより対応速度が向上し、重大なインシデントに発展する前に問題を解決できる確率が高まります。特に脆弱性の修正パッチが用意されていない、いわゆる”ゼロデイ”に、利用者やホワイトハッカーが攻撃者よりも先に脆弱性を報告してくれることが期待できます。
- ブランド価値の向上
独自のVDPを運用することで、セキュリティに対する高い意識を対外的に示すことができます。特に、海外展開を視野に入れている企業にとっては、多言語対応の窓口を設置することで、国際的な信用を得る効果も期待できます。
- セキュリティ意識と品質の改善
外部からの脆弱性の報告を受け付けることで、企業は新たな“気付き”を得る機会が増えます。自社が見落としていた問題点や潜在的な脅威が発見でき、それに対応する過程で社内の開発部門や運用部門のセキュリティ意識が高まり、事業全体の品質向上につながることも大きなメリットです。
まとめ
脆弱性開示プログラム(VDP)は、企業がサイバー攻撃のリスクを低減し、ユーザーや顧客に対して誠実な姿勢を示すための効果的な手段です。海外では、政府機関や大手企業を中心に広く導入が進み、成果も確認されています。一方、日本ではIPAの脆弱性届出制度があるものの、運用ガイドラインが日本語のみで提供されているため、海外の利用者やホワイトハッカーにとっては参加の敷居が高いのが現状です。
この課題を解決するために、企業ごとにVDPを導入することで、運用方針や報奨金制度を柔軟に設計でき、報告から修正までの対応速度も高められます。
VDPは「企業の持続的な成長」と「顧客保護」の両立を実現するだけでなく、集合知と善意を生かす仕組みでもあります。実際、日本国内の利用者やセキュリティ研究者の多くは、日本の企業を守りたいという思いを持っています。しかし、適切な報告手順が整っていない場合、その善意を生かせず、大きな機会損失につながる恐れがあります。逆に、適切な環境を整えれば、国内外の利用者やホワイトハッカーが安心して脆弱性を報告でき、善意を企業の力に変えることが可能です。
自社に適したプログラムを設計し、人材不足などの課題を外部の専門家やコンサルティング企業と連携しながら運用することで、サイバー攻撃を受ける前に脆弱性を特定し、迅速に対応する体制を確立できるでしょう。
なお、TCSではVDP導入に関して豊富な知見を持つコンサルタントが在籍しており、企業規模や業種に応じた柔軟な支援が可能です。VDP導入をご検討の際は、ぜひお気軽にお問い合わせください。
関連情報
お問合せ
お問合せ