パスワードを忘れた? アカウント作成
15010962 story
英国

英国防省、報奨金なしの脆弱性開示プログラムを開始 21

ストーリー by headless
無償 部門より
英国防省(MOD)は8日、MODのシステムやサービスに関する脆弱性開示ポリシーを発表した(ガイダンスThe Registerの記事HackerOne報告ページ)。

MODへの脆弱性報告はHackerOneを使用するが、あくまで脆弱性開示プログラムであり、報奨金は支払われない。手間暇をかけて脆弱性を報告する人を評価すると述べる一方、脆弱性開示と引き換えに金銭的補償を求めることは禁じている。

このほか、違法行為や必要以上のデータアクセス、データ改変、MODスタッフやインフラストラクチャーに対するソーシャルエンジニアリング攻撃や物理的な攻撃、DoSなどが禁じられる。また、悪用できない脆弱性やTLS構成の弱さなどに関する報告は受け付けない。データ保護のルールに従ってデータを扱い、必要のなくなったデータを破棄することなども求められる。

このようなポリシーに従って脆弱性を報告する限り、報告者が訴追されることはないとのことだ。
  • 対価を目的とするプロをさげすみ、無償の純粋な努力と行動を至上とするアマチュアリズム [wikipedia.org]が過去のイギリスに存在した。「無償の純粋性」という考えは見かけは立派だがむろん裏があり、つまり無償で動けるだけの地位と財産を持った上流階級が作った倫理であって、これは公益に対するエリート(イギリスでは上流階級用学校卒のこと)のノブレスオブリージュとも通底する。ただし階級社会イギリスといえどもアマチュアリズムは過去のものとなりつつある。

    と思っていたらこんなところに残っていやがった、というのが正直な感想。公益のために無償でやれってか。

    ここに返信
  • by Anonymous Coward on 2020年12月12日 17時30分 (#3940941)

    性善説に基づいた無償の善意で成り立つ
    そう思っているってことなのかな

    # 国策ですし失敗実績とならないよう現場が苦労するんだろうなぁ

    ここに返信
    • by Anonymous Coward on 2020年12月12日 18時06分 (#3940958)

      ギガジンの記者が発狂しそうなネタだなこれw
      結局ソネット側は先週修正かけたみたいだけど。

    • by Anonymous Coward on 2020年12月12日 20時03分 (#3941001)

      実質、MODがセキュリティ企業のアナリスト、テスターなどに
      仕事を発注する際のガイドラインなんじゃないすかね?
      禁じてるのは「脆弱性の開示に金銭的な報酬を要求すること」で、
      「報酬を貰った(MODから発注を受けた)うえで、脆弱性の調査・報告すること」
      は禁じてないわけですし。

      大雑把に言えば
      「このガイドラインに従って調査、報告、テストをしてくださいね。
      記載した範囲内の行為なら合法が保証されますので、
      面倒な手続きも、契約も、法律確認も必要ありませんよ。」
      というMODからの業務指示書的な側面が強いのかと思えます。

      Report a vulnerability on an MOD system [www.gov.uk]より引用

      It does not give you permission to act in any manner that is inconsistent with the law,
      or which might cause the MOD or partner organisations to be in breach of any legal obligations.

      意訳:このガイドラインはMODや、そのパートナー企業に超法規的な行動を許可するものではない。

      …と、わざわざパートナー企業についても触れていたことから、なんかそう思いました。

      # いやナイトの制度があるイギリスなら、叙勲するに値する善人を探している可能性がワンチャン…?!

      • by Anonymous Coward on 2020年12月12日 20時18分 (#3941014)

        # いやナイトの制度があるイギリスなら、叙勲するに値する善人を探している可能性がワンチャン…?!

        もしくは誰も利用せず
        英国には脆弱なシステムは存在しない
        システムすら紳士の国の証
        という布石なのかもしれない

        • by Anonymous Coward on 2020年12月13日 5時59分 (#3941106)

          もしくは誰も利用せず
          英国には脆弱なシステムは存在しない

          壮大なブリティッシュジョークの布石だったのか…
          上記から沈没船ジョーク [wikipedia.org]を思い出したので改変。
          -----
          世界各国の国防システムの脆弱性が狙われています。
          しかし対策をするも、脆弱性は次から次へと発見され悪用されてしまいます。
          各国の偉い人は、自国の技術者に脆弱性を報告して欲しいと頼むことにしました。
          さて、偉い人が放った言葉は何でしょう?

          アメリカ「報告すれば褒賞金を出しますよ。これで君もヒーローだ!」

          ロシア「報告の過程でアメリカ攻撃しても政府公認にしますよ [zdnet.com]」

          イギリス「紳士はこういう時に無償で報告するものです。見返りを求めるなどありえません」

          イタリア「システム開発の女性エンジニアが困っていまして…」

          ドイツ「規則ですので報告してください」

          日本「他のみなさんはもう報告しましたよ [ipa.go.jp]」

  • by Anonymous Coward on 2020年12月12日 18時20分 (#3940962)

    なにかの情報を開示するのに、その情報と引き換えにお金をくれるところと、くれないところがあったら、お金をくれるところに開示したくなるのが人情。
    それがたとえ悪事に使われるとわかっていても、お金の魅力には勝てない。

    だから報奨金はそのために支払う。
    悪事を働くために求めてる層よりも、正規の報奨金は多少少なくとも問題ない。
    いい事をしてお金を貰う。だからシステムが回る。

    それをお金を出すの止めちゃったら、金持ちしか情報を開示しなくなる。
    金持ちだけの開示でも問題ないなら良いが、現実には金持ちがその情報を持っていることは稀。
    結果、悪事を働くために情報を求めてる層に情報は流れる。

    ここに返信
    • by Anonymous Coward

      ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば
      悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち

      だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針や
      そのための内部の手続きが事前に決まってるだけでも十分価値がある

      被害の範囲は報告者や当該の団体に留まらず
      関係のない一般人まで情報を盗まれたりするわけだから

      • by Anonymous Coward on 2020年12月12日 22時22分 (#3941050)

        ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば
        悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち

        だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針や
        そのための内部の手続きが事前に決まってるだけでも十分価値がある

        被害の範囲は報告者や当該の団体に留まらず
        関係のない一般人まで情報を盗まれたりするわけだから

        その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。

        • by Anonymous Coward

          > その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。

          金銭的補償を「0」に設定してしまってるから無理。「訴訟代行行為」や「賠償肩代わり」は明らかに金銭的補償に見えるので。

    • by Anonymous Coward

      まあ女王名義の感謝状とか、低度の勲章とか、出せば良いのにとは思う。

      • by Anonymous Coward

        円周率の小切手を出せばいいのにね

    • by Anonymous Coward

      一昔前なら犯罪者との取引には相応のリスクがあったもんだけど、
      今は身元も明かさず暗号通貨で証拠も残さず完結できるしねー

      自分の顔も相手の顔も見えない完全匿名の世界で聖人君子ヅラ
      できる「人間」ってどの程度いるんだろうね?

    • by Anonymous Coward

      まーその理屈で行くと、報奨金を出しても悪の組織がより高い買値や代償を提示すれば情報はそっちに流れることになるんですが、
      しかし少なくとも脆弱性を探す行為がトレジャーハントでは無くなりますね。
      悪行にはリスクがあるのでそれを実行する人間は限られると思いますが、善行にもコストは掛かるので報酬が無ければ意欲の減退は避けられない。

  • by Anonymous Coward on 2020年12月13日 13時24分 (#3941193)

    一方日本で個人が脆弱性を好評すれば警察に逮捕され、司法から犯罪者にされます
    脆弱性を放置した企業には何のお咎めもありません

    ここに返信
  • by Anonymous Coward on 2020年12月12日 20時57分 (#3941022)

    やってないわけじゃねーよと言う為にやってるだけで、
    真面目に運用する気はないんじゃないかねこれ。

    ここに返信
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...