国防省(MoD)は、倫理的ハッキングと侵入テストの専門家であるHackerOneとの既存の防衛セキュリティイニシアチブを、主要サプライヤーの一部を含めて拡大したことを明らかにした。
国防省の防御的セキュリティ プログラムの当初の範囲には、HackerOne を通じてバグ報奨金を支払う脆弱性開示プログラム (VDP) が含まれており、ハッキング コミュニティの創造性と専門知識を活用して英国政府の最も重要なデジタル資産の一部を保護していました。
2021年の発足以来、100人以上の倫理的ハッカーが国防総省のシステムを「攻撃」し、サイバーセキュリティ体制を強化するために脆弱性を特定して修正することに忙しい。
「HackerOneと提携し、その倫理的ハッカーのコミュニティを活用するという決定は、国家安全保障を向上させるための透明性と協力の文化を構築するという組織全体の取り組みの一環でした」と国防省の脆弱性研究プロジェクトマネージャーのポール・ジョイス氏は述べた。 「当社のハッカーパートナーは、防御を強化し、重要なデジタル資産を悪意のある脅威から保護する必要がある領域を特定するのに役立ちます。」
国防省 CISO の Christine Maxwell 氏は次のように付け加えました。「倫理的ハッキング コミュニティと協力することで、資産を保護し防御するためにより多様な視点をもたらすことができます。 私たちの脆弱性がどこにあるのかを理解し、より広範な倫理的ハッキング コミュニティと協力して脆弱性を特定し修正することは、サイバー リスクを軽減し、回復力を向上させる上で不可欠なステップです。」
国防省は、主要サプライヤーをVDPに含めることで、サプライチェーン全体でベストプラクティスのトリクルダウンを促進し、独自のプログラムを導入できる可能性があることを期待している。 長期的な目標は、提携するすべての企業が独自のVDPを運営することだと同社は述べた。
すでにこの拡張プログラムに参加しているサプライヤーの中には、クラウド型 Software-as-a-Service コラボレーション プラットフォーム サービスを公共および第三セクター組織に供給している Kahootz があります。
「Kahootz の VDP は、ユーザーにとって最高のセキュリティ基準を維持するために、潜在的なセキュリティの弱点を迅速に特定して対処するという当社の積極的な取り組みを示しています」と同組織の CTO ピーター ジャクソンは述べています。
「VDP のおかげで、悪意を持って悪用される前に脆弱性を特定して対処できるようになりました。 国防省および HackerOne との協力により、サイバーセキュリティにおける知識の共有とベストプラクティスが促進され、継続的な改善とクライアントからの信頼の向上に貢献しています。
「私たちはプログラム上でハッカーと協力して修正を加速し、信頼を育み、セキュリティを強化するアプローチを開発しました。 Kahootz は、透明性とセキュリティ コミュニティとの継続的な関与を通じて、プラットフォームのセキュリティを強化することに引き続き取り組んでいます」とジャクソン氏は付け加えました。
HackerOne の CEO、マーテン・ミコス氏は次のように述べています。「国防省はサイバーセキュリティ実践の先駆者です。 国防省は、セキュリティ問題を解決し、脅威アクターを出し抜くために、最も手ごわい防御者である倫理的ハッカーの協力を求めています。 脆弱性公開プログラムからライブバグ報奨金チャレンジに至るまで、ハッカーは国防省が敵対者に脆弱性を発見され悪用される前に脆弱性を発見し、修正できるよう支援してきました。」
防衛大学校への挑戦
拡張されたプログラムには、スウィンドンにある国防省の国防アカデミーで開催される対面でのバグ報奨金チャレンジも含まれていました。 この計画に取り組んでいる優秀なハッカーの一部、合計 15 名が、国防大学のセキュリティ体制を評価し、強化するために招待されました。
このイベントでは、ハッカーたちは、インターネットおよびインターネットに接続していないシステムの幅広い攻撃対象領域に対してスキルセットと水平思考を実証するとともに、古い考え方に挑戦し、障壁を打ち破ることに焦点を当てました。
このイベントでは、ここでは公開できない多くの脆弱性を明らかにし、アドバイスを行ったほか、ハッカーが試したアプローチの詳細を記したストーリーボード レポートを通じて、国防省に既存のサイバー対策に対するさらなる確信を与えました。 国防省によれば、これらの多くは既存の防御策のおかげで最終的には成功しなかったという。
「国防省でのテストは魅力的な挑戦であり、決して飽きることはありません」とプログラムに参加したハッカーは語った。 「国防省はサイバーセキュリティへのアプローチにおいて先進的であり、国防大学のチームと時間を過ごすことができたことは、国防省がシステムをどのように保護しているかについてさらに学ぶまたとない機会でした。
「政府のプログラムでバグを見つけたとき、私は市民に直接影響を及ぼし、彼らのデジタル ライフを少しでも安全にすることができるとわかっています。それは良いことだと思います。」と彼らは言いました。