英国の国家サイバーセキュリティセンター(NCSC)は、外部のサイバーセキュリティ専門家との関係強化を目的とした新たな「脆弱性調査イニシアチブ(VRI)」を発表しました。
同機関はすでに幅広い技術に対して内部で脆弱性調査を実施しており、今後も継続します。しかし、VRIの開始により、重要な知見の発見とコミュニティへの迅速な共有を目的とした並行プログラムが新たに設けられます。
NCSCは英国のサイバーセキュリティ当局であり、国家の重要インフラ、政府、企業、市民を標的とするサイバー脅威から守る任務を担っています。
この使命を果たすため、同機関は警告の発信、サイバーセキュリティガイダンスや脅威分析の提供、インシデント対応支援、そして官民・国際パートナーとの連携活動を行っています。
VRIは、NCSCと外部のサイバーセキュリティ研究者との構造化された協力体制であり、ソフトウェアやハードウェアの脆弱性の特定と理解における英国の能力向上を目指します。
「脆弱性調査イニシアチブ(VRI)は、NCSCが外部パートナーと連携して行う脆弱性調査(VR)の研究プログラムです」と、同機関の発表には記載されています。
「VRIの使命は、英国の脆弱性調査能力を強化することです。私たちは優れた外部脆弱性研究者と協力し、私たちが関心を持つ幅広い技術分野におけるセキュリティの深い理解を提供します。」
NCSCは、特定の注目製品における欠陥の特定、提案された緩和策の評価、そして最終的に「エクイティプロセス」手順を通じた欠陥の開示という目標を与えられた熟練の外部脆弱性研究者と提携します。
研究者はまた、脆弱性調査活動中に使用したツールや採用した手法の詳細をNCSCに提出し、効果的な実践手法のフレームワーク構築に貢献します。
NCSCは、AIを活用した脆弱性発見など、新たな専門分野においてさらに多くの専門家を巻き込む計画であると述べています。
関心のあるセキュリティ専門家は、自身のスキルや注力分野を記載してvri@ncsc.gov.ukまでメールで連絡するよう案内されています。
このメールアドレスは完全な脆弱性報告の送付には使用しないでください、と同機関は注意を促しています。NCSCは、脆弱性の報告にはこちらのポータルの利用を推奨しています。
2025年における8つの一般的な脅威
クラウド攻撃はますます高度化していますが、攻撃者は驚くほど単純な手法でも成功しています。
Wizが数千の組織から検出したデータをもとに、このレポートではクラウドに精通した脅威アクターが用いる8つの主要な手法を明らかにしています。