提言:脆弱性通報者報償金制度

これは、社会全体のセキュリティ向上のためのまじめな提言です。

脆弱性をルール通りに通報して被害を未然に防いだ場合、第三者がそれによって回避された被害金額を見積り、その一定割合を通報者に還元するという制度です。

その被害金額の見積りに意図的にバイアスをかけることで、社会全体のセキュリティ向上を実現することができます。

この記事は完全にパブリックドメインとして公開しますので、部分的でもよいと思ったら自由に引用して広めて、賛同される方がもし可能であれば実現させる方向に持っていってください。

制度の概略

この制度を運用する為の公的な機関を作ります。この機関の機能は以下の通りです。

  • 「通報事例」を受けつけ評価する(自薦と他薦両方可)
  • 「通報事例」について、通報者、サービス運用者から事情を聞き、情報を集める
  • 調査結果を「脆弱性通報事例」として公開する。
  • 脆弱性通報事例」の重要な項目として、これによって回避された被害金額を一定のルールの元で計算して発表する

そして、その「回避された被害金額」の一定割合(例えば1%)を、サービス運用者が通報者に謝礼として支払います。これは、財布を拾ったら一割の謝礼を払うのと同様に、最終的には法律でこのルールが規定されることが望ましいのですが、それはまでは慣例として、この機関がサービス運用者に働きかけていきます。「脆弱性通報事例」の項目として、謝礼金が支払われたかどうかを公表してもいいと思います。

通報者が謝礼を望まない場合は、この機関の運営の費用として使うことにします。また、通報者の名前は原則匿名として通報しやすいようにします。

それと、通報者が望む場合は、この人が通報した事例を機関の名前で報告書として発行します。通報者は、この事例報告書を就職等の場面において、自分の技術力のアピールの材料として使用することができます。

通報事例受けつけルール、被害金額見積りルール

この機関は、望ましい脆弱性通報のあり方をガイドラインとして発表し、これにもとづいて、事例受けつけ、被害金額の見積りを行ないます。

例えば、サービス運用者を必要以上の危険にさらすような通報の場合、つまり脆弱性を対策以前に公表してしまったり、必要以上の個人情報を手にしたような場合は、そのガイドラインに反しているとして受付を拒否します。

ですから、このシステムにのっかって報償金を受けとったり、自分の実績として使用したい場合には、厳格なガイドラインにきっちり添った通報を行なう必要があるわけです。

また、被害金額の見積りにおいては、個人情報の流出など社会的に問題の大きい情報流出の被害を高く見つもります。

この制度の効果

  • 通報への動機づけ
  • セキュリティ対策への動機づけ
  • セキュリティのあり方の間接コントロール

まず、第一に通報者への動機づけです。金銭的な報酬と、一種の技術力(+モラル)の証明である「通報事例報告書」によって、技術者に両面からの動機を与えます。

これを目当てにセキュリティやネットワークについて勉強して、「通報事例」をゲットしよう、と考える人も出てくるでしょうが、それが厳格なガイドラインでリードされている限りは、それは社会全体にとって望ましいことだと思います。

また、新しい技術にからんだ最新の脆弱性などにも、こういう人たちは積極的に取りくむと思います。事後の審査ということで、そういう危険性を未然に防ぐことが評価される可能性も高く、組織として啓蒙活動を行なうような方法より、個人の力をうまく活用できると思います。

また、場合によっては犯罪者になる可能性があるような、利己的な動機や功名心が強い者も、この制度の中でそれを満たそうとすれば、自然と犯罪者から善意の通報者に転向します。社会全体としての得失で見ると、敵が減って味方が増えるわけですから、望ましいことだと思います。極端に言えば、「通報」の報償金だけで食っていく「プロの通報屋」が出てきてもいいと思います。

穴を探される運用者の側から見ると、これまで以上に脆弱性を狙われる要素が増えるわけで、ある意味負担が増えて望ましくない所もあります。

しかし、本物の犯罪者に狙われるよりは「通報屋」に狙われた方がまだましです。金額的な被害も少ないし、イメージダウンも少ない。むしろ、この制度に賛意を示し協力的な姿勢を取ることで、セキュリティ対策への取組をアピールできるでしょう。

それとこれによって、安全性を量的に評価する指標になります。つまり、軽微な脆弱性が通報されるのは避けがたいと思うのですが、その件数の増減によって、セキュリティ対策をしている人の客観的な評価ができるようになります。そのことによって、守る側の人間にも動機を与えることができます。

さらに、この被害金額の見積りにおいて、例えば個人情報の流出を高く見積ることで、そういう問題への意識を高めることができます。そうなると、不要な個人情報を取ることをやめたり、個人情報の無いサービスと比較して相対的に力点を置いて守ろうとするようになります。

そのようなバイアスを意図的に与えることで、政策的にセキュリティ対策の重点項目をコントロールできます。

他の案と比較して

公的な機関を設立するのであれば、その機関が通報を受けつけ代わりに調査したり、対策を促す等の方法も考えられますが、そのように脆弱性に関するデータを集中させることで、別の問題が生じる可能性があります。

一番単純な話は、その機関のサーバがクラックされたらどうなるかです。あるいは、その機関の人間が買収されたり、恣意的な運用をしたりしたらどうなるか。

要するに、脆弱性情報を集中管理することは、別のリスクを生じさせるわけです。

また、ネット関連の技術は常に進歩しているので、公的な機関では動きが鈍く、新しい技術の進歩に追随していくのが難しいという懸念もあります。上記の案でも、同様に新しい技術にからむリスクを評価できるかという懸念がありますが、「評価」ということなら、間違っても事後的に修正ができます。しかし、機関自体が対策や通報などの緊急性の高い業務を行なう場合は、そういう保守性が致命傷になる懸念があります。

ですから、調査や通報は民間にまかせた方がいいと思います。

代案: 脆弱性アカデミー賞

代案としては、単に表彰だけする方法もあります。

  • 通報者賞(上記のような望ましい通報をした人を表彰)
  • 被通報者賞(通報された側が素早く対策した場合)
  • 通報事例賞(両方が強力して重大な危機を乗りきった)
  • 技能賞(リスクのレベルと関係なく、よく見つけたなあ、すごいなあ)
  • 敢闘賞(被害は出ちゃったけど、よくがんばった)
  • 大賞(とにかくセキュリティ関係で今年一番偉かった人)