報告者に報酬 脆弱性情報を集めるためにCISAが開始したプログラムとは？：TechTarget発 世界のITニュース

米国で官民連携によって幅広く脆弱性情報を収集し、サイバー攻撃を未然に防ぐことを目指したプログラムが始動した。クラウドソーシングを使い、脆弱性の報告者に報酬を支払うこの仕組みはどのようなものか。

[Shaun Nichols，TechTarget]

　米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、セキュリティベンダーのBugcrowdとEnDynaと手を組み、新しい脆弱（ぜいじゃく）性を報告するためのプログラムを開始した。

　CISAは米国土安全保障省（DHS）傘下のセキュリティ専門機関。今回、CISAがBugcrowdとEnDynaと共に始めたプログラムは、市民のセキュリティ専門家が米国政府機関のWebサイトで発見した脆弱性をCISAに報告して報酬を得られるもの。CISAが2020年9月、行政機関に対して命じた脆弱性開示ポリシー（VPN：Vulnerability Disclosure Policy）作成に続いて、広がっているサイバー攻撃に対抗する取り組みだ。

併せて読みたいお薦め記事

米国政府機関がサイバー攻撃に対抗

• 「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは？
• FBIが警鐘を鳴らす「FortiOS」の脆弱性　“パッチ未適用”の製品が標的に
• ランサムウェアによる命の脅威に直面する医療機関　対策は「ゼロトラスト」か

システムを攻撃から守るには

• 「人の脆弱性」がセキュリティ最大のリスク　どうやって「最悪の事態」を想定する？
• クラウドの脆弱性に潜む9つの脅威、対策は？

「クラウドソーシング」を使った報酬支払いの仕組みとは