国防総省：「ペンタゴンをハックしてください」

連邦政府は、セキュリティを強化するためにハッカーを雇いたいと考えています。

国防総省は木曜日、プログラマーがHackerOneとの新たなパートナーシップである「Hack the Pentagon」プロジェクトに登録することができると発表した。これはDODのセキュリティニーズの一部をクラウドソーシングする。

「バグバウンティ」パイロットプログラムは4月18日から5月12日まで実行され、登録は現在行われています。ハッカーは、選択プロセスを管理しているHackerOneによる選択を申請できます。

では、なぜ政府はセキュリティを強化するためにハッカーを雇っているのでしょうか。それは新しいことではありません。多くの企業がハッカソンを主催し、ソフトウェアに穴を開けるのに十分華麗で勤勉なプログラマに賞品を提供しています。彼らのうちの何人かは彼らが十分に良ければ最終的に仕事を提供されます。

「Hack the Pentagonパイロットは、ネットワーク、製品、およびデジタルサービスのセキュリティと配信を向上させるために、国内最大手企業のいくつかが行っていたのと同様の課題をモデルにしています」とPentagon Pressの秘書、Peter Cookは述べています。 「セキュリティの脆弱性を責任を持って開示するための法的手段を提供することで、バグの報奨金はインターネットのセキュリティに貢献するためにハッカーのコミュニティに働きかけます。」

Cookが言ったように、HackerOneは特に「信頼できる」企業であり、Twitter、Yahoo！、Snapchat、Uberなど何百ものクライアントが悪意のあるユーザーよりも先に脆弱性を見つけるために信頼しています。

CTO兼HackerOneの創設者であるAlex Riceは次のように述べています。 逆 パイロットプログラムには数百人のハッカーが参加することになるでしょう - アプリケーションは4月中旬までオープンしているので、この記事の執筆時点での最終的な数はありません。 HackerOneは、DODを、DOD内の脆弱性のある領域を特定するために働く、慎重で招待されたハッカーのコミュニティに接続する予定です。

かなりのセキュリティ予算を抱えている組織でさえ、脆弱性はまだそれを通過させます、とライスは言いました。 「まだ利用可能なサイバーセキュリティの才能とツールの深刻な不足があります。 DODは、従来の「ベスト」プラクティスと人間の知性が実際にできることとの間にギャップがあるという現実を扱う他のすべての組織と同じです。ですから、これらの賞金プログラムは、これらの脆弱性に最高の人間の知性を適用することによってそのギャップを埋めることを試みる最先端にあります。

「国防総省でさえ、対抗する相手から身を守るのに十分なセキュリティ担当者を雇うことはできません。 「私たちはすでに最高のセキュリティチームを持っていますが、それだけでは不十分であることを認めています。」逃される可能性があるものを尋ね、できるだけ多くの目を持つことは単なる良い習慣です。」

開発者が自分のソフトウェアのバグや不安を見つけるようにハッカーにインセンティブを与えるバグ報奨金プログラムは、しばらく前からハイテク企業の間で広く使われてきました。そのようなプログラムが連邦政府によって利用されるのはこれが初めてとなります。

HackerOneを立ち上げる前にFacebookで製品サービスセキュリティチームを運営していたRiceは、次のように述べています。 「これは何年も前からハイテク企業でも有数の慣行となってきましたが、他の業界でも採用され始めていますが、ほとんどの民間部門では米国政府に遅れをとっています。彼らがこの分野で革新的になるのを見るのは素晴らしいことです。それがやってくる兆しであることを願っています」