TokyoBlackHatNews

csoonline.com 5分で読了

Microsoft、新たなセキュリティ戦略を発表

Microsoftは今後、すべての重大なセキュリティ脆弱性をバグバウンティ・プログラムに組み込む方針だ。

Image
Microsoftは、同社のバグバウンティ・プログラムを拡大する方針を発表した。

bluestork – shutterstock.com

サイバー攻撃は今日、特定の企業・製品・サービスに限定されるものではなく、脆弱性があるところで起きる。さらに、AIツールの助けにより攻撃はますます高度化している。こうした背景のもと、MicrosoftはBlack Hat Europeで新たなセキュリティ・アプローチ「In Scope by Default」を発表した。

これによれば、今後はMicrosoftのオンラインサービスに「実証可能な影響」を与えるあらゆる「重大な脆弱性」が報奨金の対象となる。これはMicrosoftが管理するコードだけでなく、第三者が提供するものやオープンソースで提供されるものすべてにも適用される。

「攻撃者は、悪用しようとしているコードが誰のものかなど気にしません」と、Microsoft Security Response Centerのエンジニアリング担当バイスプレジデントであるTom Gallagherはブログ投稿で述べている。「同じ考え方は、顧客を守るための重要な知見を提供するべく私たちと協力するセキュリティ・コミュニティにも当てはまるべきです。」

目的は「研究へのインセンティブを生み出すこと」

Gallagherは、発生した問題を修正するためにMicrosoftが「必要なことはすべて行う」と強調する。また同氏は、同社がすでに2024年にバグバウンティ・プログラムおよびライブハッキング・イベントを通じて1,700万ドル超を支払ったことを指摘する。戦略の変更により、報奨の対象範囲はさらに広がるという。

「私たちの目標は、最もリスクの高い領域、特に攻撃者に悪用されやすい領域における研究へのインセンティブを生み出すことです」と、このMicrosoftの専門家は説明する。

バグバウンティ・プログラムの対象は、現在次のとおりである。

  • Microsoftが所有するドメインおよびクラウドサービス:Microsoft内部の知識を持たないセキュリティ研究者が、合意されたルールに従って同社のインフラに焦点を当てることが奨励される。
  • オープンソースを含む第三者コード:この領域にまだバグバウンティ・プログラムが存在しない場合、Microsoftが新たに提供する。第三者コードの脆弱性を特定することは、「そのコードに依存するすべての人」にとっての基準を引き上げるのに役立つ、とGallagherは述べる。

研究者は、評価および協調的な情報公開のために、Microsoftのオンラインプラットフォームから結果を提出できる。これにより、脆弱性は機密として報告され、公表前に問題の診断と修正が行われる。

Gallagherによれば、Microsoftとそのパートナーは、多様なレッドチーミング活動を促進する責任あるセキュリティ研究のルールに従っている。これには次が含まれる。

  • 仮想Azureマシン(VM)に対する脆弱性評価、
  • ピーク容量のテスト、
  • システム境界や共有サービスコンテナからの脱出の試行、
  • セキュリティ監視・検知システムのテスト、ならびに
  • 条件付きアクセスの評価。

ただしこのルールでは、レッドチームが認証情報を使用またはアクセスすること、Microsoft従業員に対してフィッシング攻撃を仕掛けること、過剰なトラフィックを発生させるサービス拒否(DoS)テストを実施することは禁止されている。さらに、ユーザーのサブスクリプションに含まれないストレージアカウントとやり取りすることも許可されていない。

このアプローチの利点と欠点

Info-TechのAvakianは、適用範囲の拡大自体は必ずしも新しいものではないと指摘する。「ただし、クラウドサービスプロバイダー(CSP)、金融機関、SaaS企業はより狭い文言を公表し、多くのケースを水面下の交渉で処理している。」しかし同氏によれば、多くの点はいまだ研究者の善意と社内の裁量判断に大きく依存している。

「Microsoftの拡大されたスコープは少し異なり、時間を要し研究者との摩擦を生み得る議論を減らす可能性があります」とAvakianは述べる。「また、より良いシグナルにもなります。失格を恐れなければ、人々は初期段階の結果を提出しやすくなります。これは防御側にとって素晴らしく、研究コミュニティへの信頼を強化し得ます。」

ただしアナリストは、バグレポートの[MB1] については難しくなる可能性があることを認める。結果として、低品質な報告が増えたり、推測的または「曖昧な」結果が増えたりする可能性がある、とInfo-Techの専門家は警告する。

「このモデルが機能するのは、問題の深刻度が一貫して評価される場合に限られます」とAvakianは述べる。そうでなければ、防御チームが過負荷になることで攻撃者が間接的に利益を得て、潜在的なノイズが本物の警告シグナルをかき消してしまう可能性がある。

最終的に「スコープは本質的にガバナンスの問題です」とAvakianは付け加え、脆弱性プログラムが依然として主に支払いを減らし、リスクを最小化し、ブランドイメージを守ることを目的としている企業は後れを取ると指摘する。

「Microsoftは、防御の曖昧さよりも運用上の明確さが優れていることを示しています」とAvakianは述べる。ただし「デフォルトでスコープ内」は、相応の組織成熟度があってこそ機能する。

「強固なガバナンス、トリアージプロセス、一貫した深刻度モデル、技術的な説明責任がすでに備わっていなければ、問題になります」と専門家は述べる。「自動化、エンリッチメント、そして経験に裏打ちされた人間の判断は、これまで以上に重要であり、Microsoftは明らかにこの長期戦への投資を進めているようです。」(jm)

翻訳元: https://www.csoonline.com/article/4106293/microsoft-stellt-neue-sicherheitsstrategie-vor.html

ソース: csoonline.com
#Black Hat Europe #In Scope by Default #Microsoft #MSRC(Microsoft Security Response Center) #オープンソース #クラウドセキュリティ #サイバーセキュリティ #バグバウンティ #脆弱性報奨金 #責任ある開示(Coordinated Disclosure)

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活