「金を払わなければ・・・」:セキュリティバグを人質にとる新ビジネスモデルのトレードオフとは?

「金を払わなければ・・・」:セキュリティバグを人質にとる新ビジネスモデル:スペシャルレポート CNET Japanより

2007年4月にJared DeMott氏が設立したVulnerability Discovery and Analysis Labs(VDA)は、製品中に発見されたセキュリティバグを開発元のソフトウェアベンダーに通知する。この点は他のセキュリティ研究者と変わらない。

次にVDAは、発見したバグや同社のコンサルティングサービスに対する支払いをベンダーに要求する。さもなければ、バグを第三者に売るか、あるいはセキュリティ上の脆弱性について詳細を公表するとベンダーを脅迫する。これはすべて、VDAがビジネスモデルの一環として行っていることである。

National Security Agencyなどで働いていたDeMott氏は、自身のビジネスモデルを「先鋭的」と表現する。しかし他のセキュリティ研究者の目にはまるで「恐喝」に見える。どちらにしてもこのビジネス手法は、ソフトウェアベンダーやセキュリティ会社で働くバグハンターのこれまでの仕事の流儀からは大きく逸脱している・・・

先鋭的?恐喝?仕事の流儀?

これらは、果たして本当にそうだろうか?

このビジネスモデルを否定するつもりは全くない。むしろ彼らが言うように先鋭的だろう。

恐喝が良いとはもちろん思っていない。しかし、どの立場に立って、誰のために、何をするべきか?方法の一つとしては、有効かもしれない。

セキュリティにも、ソフトウェアにも、人間がすることにも、バグは存在する。バグのない何も間違いのないものは、何一つないと思う。

この話において、当事者は3人だ。

1.バグのあるものを作ってしまった人

2.バグのあるものを使っている人

3.バグを発見した人

通常ならば、1と2だけの話だろう。

1の立場で言えば、バグであっても認められない時もある。もちろん修正のための誠意努力はするだろうが、バグと認められない、認める訳にはいかない都合もあるだろう。

3の立場で言えば、そのバグを見つけてあげたのだから、金銭の要求をするのは当たり前って感じだろう。見つけるための努力もセンスも手間もあってこそ、バグの存在を明らかに出来るからだ。

2の立場で言えば、どうでも良いから、どっちでも良いから、バグがあるのならば早期に安全な策を講じてもらいたいもの。

物事には、誰かが得をすれば、誰かが損をするものだ。

しかし、1も3も本当に利用者のことを考えているのだろうか?

バグという瑕疵を見つけた、その状態を明らかにして作った側に提供もしている。

情報セキュリティに限らず、情報とはこんなものだ。聞くまではわからない。解っていれば作った側もバグと認めないまでも対応策は考えるだろう。事が被害が大きくなる前に・・・

その進め方において、金銭を要求するから恐喝だと言えるのだろうか?

これが単なる脅かしなだけだろうか?

ビジネスモデルはどうでもいいが、バグが見つからなければ良いのだろうか?

まったく違う話になるが見つけたって部分だけで言えば、例えば金の鉱脈を見つけたとしよう。石油でもいい。

見つけた場所は、見つけた人が金銭に変えられる情報になり、それを欲しがっている人にも貴重な情報だ。

この情報は場所になる。特定の場所が情報になる。知らなければお互いに金銭に換える事はできない。

見つけた人が自分で掘っちゃう場合は話が変わってしまうが、情報を売るのであればこうなる。

ポジティブな情報だから良いのだろうか?Win-Winになれるから良いのだろうか?

では、バグを見つけた対価は、作った側にとって見つけてくれなければ払うことも、考えることもないネガティブな事なのだろうか?

私はずーっとセキュリティはバランスさえ取れれば、成立するものだと考えてきた。

しかし、行き着いた答えは、トレードオフだった。

バランスがとれて、全員にとってハッピーな事はあり得ない。これが行き着いた答え。

情報ってものは金銭的価値がコロコロ変わるもの。コンサートなどもライブって生の音楽を提供している。これも一種の情報だ。ダフ屋が持っているチケットも開演直前が値のピークになり、次第に下がっていく。終わってしまえばただの紙。

金が動くからビジネスが成立する。ビジネスが成立するから金が動く。

このビジネスモデルは乱暴な方法かもしれないが、見つかってしまったもの、見つけてしまったものが、バグであれば直すしか選択肢はない。その時間的猶予が短いだけ。

利用者にすれば、直してくれなければセキュリティが弱い状態が続くし、そんなものセキュリティ商品としてダメである。

だから早く対応しなくてはならない事になる。そう考えるとこのビジネスモデルは痛いとこを突く、うまく考えられたものかもしれない。

見つけちゃったほうも、見つかっちゃったほうも、早く手を打ってもらいたい。

それなりの責任があるのならば、利用者にセキュリティを提供しているのだから・・・

セキュリティに携わる端くれとしても、誰に本当に必要なものを提供するのか、改めて考える機会を頂いた。

トレードオフしなければ案配のいい、都合いいバランスはない。

だから、セキュリティってなに?

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。