クラウドソーシングセキュリティとは何ですか?

新しいソフトウェア製品が市場にリリースされる前に、脆弱性がテストされます。責任あるすべての企業は、顧客と自社の両方をサイバー脅威から守るためにこれらのテストを実行します。

近年、開発者はセキュリティ テストを実施するためにクラウドソーシングに依存することが増えています。しかし、クラウドソーシング セキュリティとは正確には何でしょうか?これはどのように機能するのでしょうか?また、他の一般的なリスク評価方法との違いは何ですか?

クラウドソーシングセキュリティの仕組み

あらゆる規模の組織は従来、システムを保護するために侵入テストを使用してきました。侵入テストは本質的に、実際の攻撃と同様に、セキュリティ上の欠陥を明らかにするシミュレートされたサイバー攻撃です。ただし、実際の攻撃とは異なり、これらの脆弱性は検出されるとパッチが適用されます。これにより、問題の組織の全体的なセキュリティ プロファイルが強化されます。簡単そうに聞こえますよね？

しかし、侵入テストにはいくつかの問題があります。通常、これは毎年のみ行われますが、すべてのソフトウェアは定期的に更新されるため、それだけでは十分ではありません。第 2 に、サイバーセキュリティ市場はかなり飽和しているため、侵入テストを行う企業は、自社のサービスへの課金を正当化し、競合他社から目立つために、実際には存在しない脆弱性を「発見」することがあります。予算の問題もあります。これらのサービスは非常に高価になる可能性があります。

クラウドソーシング セキュリティは、まったく異なるモデルで動作します。これは、ソフトウェアのセキュリティ問題をテストするために個人のグループを招待することを中心に展開されます。クラウドソーシング セキュリティを使用している企業は、自社の製品をテストするために人々のグループや一般の人々を招待します。これは、直接行うことも、サードパーティのクラウドソーシング プラットフォームを通じて行うこともできます。

これらのプログラムには誰でも参加できますが、主な対象者はホワイト ハッカーまたは研究者です。多くの場合、セキュリティの脆弱性を発見すると、多額の金銭的報酬が得られます。もちろん、その量を決定するのは個々の企業次第ですが、クラウドソーシングは従来の侵入テストよりも安価で、長期的にはより効果的です。

ペネトレーションテストや他の形式のリスク評価と比較して、クラウドソーシングにはさまざまな利点があります。まず、どれだけ優れた侵入テスト会社を雇っても、常にセキュリティの脆弱性を探している大勢の人が脆弱性を発見する可能性が高くなります。クラウドソーシングのもう 1 つの明らかな利点は、そのようなプログラムがオープンエンドであること、つまり継続的に実行できるため、脆弱性を検出 (およびパッチ適用) できることを年間を通じて可能であることです。

3 種類のクラウドソーシング セキュリティ プログラム

ほとんどのクラウドソーシング セキュリティ プログラムは、脆弱性発見者に金銭的な報酬を与えるという同じ基本概念に焦点を当てていますが、それらは 3 つの主要なカテゴリに分類できます。

1. バグ発見時にボーナスを受け取る

Facebook から Apple、Google に至るまで、ほぼすべてのテクノロジー大手は、積極的なバグ報奨金プログラムを実施しています。その仕組みは非常にシンプルです。バグを発見すると報酬が得られます。これらの報酬は数百ドルから数百万ドルに及ぶため、ソフトウェアの脆弱性の発見によってフルタイムの収入を得ているホワイト ハッカーがいるのも不思議ではありません。

2. 脆弱性開示プログラム

脆弱性開示プログラムは上記のグループと非常に似ていますが、重要な違いが 1 つあります。それは、これらのプログラムは公開されているということです。言い換えれば、ホワイトハットハッカーがソフトウェア製品のセキュリティ上の欠陥を発見すると、その欠陥は誰もが知ることができるよう公開されることになります。サイバーセキュリティ企業は、脆弱性を発見し、それに関するレポートを作成し、開発者やエンドユーザーに推奨事項を作成するなどの活動に従事することがよくあります。

3. マルウェアのクラウドソーシング

ファイルをダウンロードしたが、実行しても安全かどうかわからない場合はどうなりますか?マルウェアかどうかはどうやって確認するのですか?ウイルス対策スイートがそれを悪意のあるものとして認識しない可能性があるため、できることは、VirusTotal または同様のオンライン ウイルス スキャナーにアクセスし、そこにファイルをアップロードすることです。これらのツールは、数十のウイルス対策製品を統合して、問題のファイルが有害かどうかをチェックします。これもクラウドソーシング セキュリティの一種です。

サイバー犯罪はクラウドソーシング セキュリティの一形態であると信じている人もいます。この議論は理にかなっています。なぜなら、金銭と名声のためにシステムの脆弱性を悪用しようとする攻撃者ほど、システムの脆弱性を発見することに意欲的な人はいないからです。結局のところ、サイバーセキュリティ業界に意図せず適応、革新、改善を強いているのは犯罪者なのです。

クラウドソーシングセキュリティの未来

分析会社Future Market Insightsによると、世界のセキュリティ市場は今後数年間成長し続けるだろう。実際、2032 年までにその価値は約 2 億 4,300 万ドルになるとの試算もあります。これは民間部門の取り組みのおかげだけでなく、世界中の政府がクラウドソーシングによるセキュリティ対策を採用していることによるものでもあります。

これらの予測は、サイバーセキュリティ業界がどの方向に向かっているのかを判断したい場合には確かに役立ちますが、企業組織がセキュリティ目的でクラウドソーシングというアプローチを採用している理由を理解するのに経済学者は必要ありません。どう見ても数字が大事です。さらに、責任感があり信頼できる人々からなるチームが資産の脆弱性を年中無休で監視することにどんな害があるでしょうか?

つまり、ソフトウェアが脅威アクターによって侵害される方法に何か劇的な変化がない限り、クラウドソースのセキュリティ プログラムが両方の側に登場する可能性が高くなります。これは開発者、ホワイトハッカー、消費者にとっては良いニュースですが、サイバー犯罪者にとっては悪いニュースです。