「金を払わなければ・・・」:セキュリティバグを人質にとる新ビジネスモデルのトレードオフとは?
「金を払わなければ・・・」:セキュリティバグを人質にとる新ビジネスモデル:スペシャルレポート :CNET Japanより
2007年4月にJared DeMott氏が設立したVulnerability Discovery and Analysis Labs(VDA)は、製品中に発見されたセキュリティバグを開発元のソフトウェアベンダーに通知する。この点は他のセキュリティ研究者と変わらない。
次にVDAは、発見したバグや同社のコンサルティングサービスに対する支払いをベンダーに要求する。さもなければ、バグを第三者に売るか、あるいはセキュリティ上の脆弱性について詳細を公表するとベンダーを脅迫する。これはすべて、VDAがビジネスモデルの一環として行っていることである。
National Security Agencyなどで働いていたDeMott氏は、自身のビジネスモデルを「先鋭的」と表現する。しかし他のセキュリティ研究者の目にはまるで「恐喝」に見える。どちらにしてもこのビジネス手法は、ソフトウェアベンダーやセキュリティ会社で働くバグハンターのこれまでの仕事の流儀からは大きく逸脱している・・・
先鋭的?恐喝?仕事の流儀?
これらは、果たして本当にそうだろうか?
このビジネスモデルを否定するつもりは全くない。むしろ彼らが言うように先鋭的だろう。
恐喝が良いとはもちろん思っていない。しかし、どの立場に立って、誰のために、何をするべきか?方法の一つとしては、有効かもしれない。
セキュリティにも、ソフトウェアにも、人間がすることにも、バグは存在する。バグのない何も間違いのないものは、何一つないと思う。
この話において、当事者は3人だ。
1.バグのあるものを作ってしまった人
2.バグのあるものを使っている人
3.バグを発見した人
通常ならば、1と2だけの話だろう。
1の立場で言えば、バグであっても認められない時もある。もちろん修正のための誠意努力はするだろうが、バグと認められない、認める訳にはいかない都合もあるだろう。
3の立場で言えば、そのバグを見つけてあげたのだから、金銭の要求をするのは当たり前って感じだろう。見つけるための努力もセンスも手間もあってこそ、バグの存在を明らかに出来るからだ。
2の立場で言えば、どうでも良いから、どっちでも良いから、バグがあるのならば早期に安全な策を講じてもらいたいもの。
物事には、誰かが得をすれば、誰かが損をするものだ。
しかし、1も3も本当に利用者のことを考えているのだろうか?
バグという瑕疵を見つけた、その状態を明らかにして作った側に提供もしている。
情報セキュリティに限らず、情報とはこんなものだ。聞くまではわからない。解っていれば作った側もバグと認めないまでも対応策は考えるだろう。事が被害が大きくなる前に・・・
その進め方において、金銭を要求するから恐喝だと言えるのだろうか?
これが単なる脅かしなだけだろうか?
ビジネスモデルはどうでもいいが、バグが見つからなければ良いのだろうか?
まったく違う話になるが見つけたって部分だけで言えば、例えば金の鉱脈を見つけたとしよう。石油でもいい。
見つけた場所は、見つけた人が金銭に変えられる情報になり、それを欲しがっている人にも貴重な情報だ。
この情報は場所になる。特定の場所が情報になる。知らなければお互いに金銭に換える事はできない。
見つけた人が自分で掘っちゃう場合は話が変わってしまうが、情報を売るのであればこうなる。
ポジティブな情報だから良いのだろうか?Win-Winになれるから良いのだろうか?
では、バグを見つけた対価は、作った側にとって見つけてくれなければ払うことも、考えることもないネガティブな事なのだろうか?
私はずーっとセキュリティはバランスさえ取れれば、成立するものだと考えてきた。
しかし、行き着いた答えは、トレードオフだった。
バランスがとれて、全員にとってハッピーな事はあり得ない。これが行き着いた答え。
情報ってものは金銭的価値がコロコロ変わるもの。コンサートなどもライブって生の音楽を提供している。これも一種の情報だ。ダフ屋が持っているチケットも開演直前が値のピークになり、次第に下がっていく。終わってしまえばただの紙。
金が動くからビジネスが成立する。ビジネスが成立するから金が動く。
このビジネスモデルは乱暴な方法かもしれないが、見つかってしまったもの、見つけてしまったものが、バグであれば直すしか選択肢はない。その時間的猶予が短いだけ。
利用者にすれば、直してくれなければセキュリティが弱い状態が続くし、そんなものセキュリティ商品としてダメである。
だから早く対応しなくてはならない事になる。そう考えるとこのビジネスモデルは痛いとこを突く、うまく考えられたものかもしれない。
見つけちゃったほうも、見つかっちゃったほうも、早く手を打ってもらいたい。
それなりの責任があるのならば、利用者にセキュリティを提供しているのだから・・・
セキュリティに携わる端くれとしても、誰に本当に必要なものを提供するのか、改めて考える機会を頂いた。
トレードオフしなければ案配のいい、都合いいバランスはない。
だから、セキュリティってなに?
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。