Latest evidence-based health information
Sitemap
Apps

オランダ政府は倫理的なハッカーの情報開示慣行の形成を目指している

Otpoo
Otpoo xumh
オランダ政府は倫理的なハッカーの情報開示慣行の形成を目指している
オランダ政府は倫理的なハッカーの情報開示慣行の形成を目指している

オランダ政府のサイバーセキュリティセンターは、倫理的なハッカーが責任ある方法でセキュリティの脆弱性を公開することを奨励することを期待するガイドラインを公開した。

「ITの脆弱性を報告する人は重要な社会的責任を負っている」とオランダ安全保障法務省は木曜日、同国の国立サイバーセキュリティセンター(NCSC)が発行した倫理的ハッキングのガイドラインを発表して述べた。

ホワイトハットハッカーとセキュリティ研究者は、脆弱性を発見することでITシステムのセキュリティ確保に重要な役割を果たしているとNCSCは述べています。しかし、セキュリティ研究者は企業への脆弱性開示を躊躇し、代わりにメディアを利用して脆弱性を発表するケースもあるとNCSCは主張しています。これは、脆弱性が修正される前に脆弱性を露呈してしまうため、望ましくない行為です。(「『大胆な』ハクティビストが社会的なメッセージを発表、学者が語る」も参照)

政府はこのガイドを通じて、組織が責任ある情報開示に関する独自のポリシーを策定するための枠組みを提供したいと考えています。イヴォ・オプステルテン安全保障司法大臣は、議会に宛てた書簡の中で、政府内で責任ある情報開示ガイドラインの広範な活用を促進する予定であると述べました。

NCSCは、今回発表されたガイダンスは既存の法的枠組みに影響を与えるものではないものの、関係者が協力してITシステムの安全性を高めることを奨励していると述べた。例えば、企業や政府は、セキュリティ研究者が脆弱性を発見した場合に組織に通知するための標準化されたオンラインフォームを提供することができるとNCSCは述べている。

企業と研究者は、一定の期間内に脆弱性を開示することに合意することもできます。NCSCによると、ソフトウェアの脆弱性の開示に許容される期間は60日ですが、修正が困難なハードウェアの脆弱性の開示に適切な期間は6ヶ月です。組織がこれらのガイドラインに従うことを決定した場合、規則を遵守する倫理的なハッカーに対して法的措置を取らないことをポリシーに含める必要があるとNCSCは付け加えています。

しかし、オランダ検察庁は犯罪が行われた疑いがある場合には起訴する選択肢を保持すると、安全保障法務省は述べた。

推奨手順

脆弱性を発見した者は、漏洩が他者に悪用されることのないよう、システムの所有者に直接、かつ可能な限り速やかに、秘密裏に報告するべきである。さらに、NCSCは、倫理的なハッカーはソーシャルエンジニアリングの手法を用いたり、バックドアを設置したり、システムからデータをコピー、変更、削除したりしないことを規定している。ガイドラインによると、ハッカーはシステム内のディレクトリリストを作成することもできる。

ハッカーはシステムの改変を控え、繰り返しアクセスすることも避けるべきです。NCSCは、ブルートフォース攻撃によるシステムへのアクセスも推奨されないと述べています。倫理的なハッカーはさらに、脆弱性が修正され、かつ関係組織の同意を得た場合にのみ開示されることに同意する必要があります。また、脆弱性が新規の場合、または複数のシステムに同じ脆弱性が存在する疑いがある場合、関係者はより広範なITコミュニティに通知することを決定できるとNCSCは述べています。

責任ある開示手順は原則として検出者と組織の問題ですが、脆弱性が直接 NCSC に報告された場合、NCSC が仲介役を務めることができます。

「これは非常に良いことだと思います。特にNCSCが仲介役を務めてくれるのは素晴らしいことです」と、オランダのセキュリティ企業Fox-ITのCEO、ロナルド・プリンス氏は述べた。倫理的なハッカーが直面する問題の一つは、企業に脆弱性を報告しても真剣に受け止めてもらえないことと、適切な担当者に連絡を取るのが難しいことだとプリンス氏は述べた。

NCSCのような政府機関からセキュリティ上の脆弱性について連絡を受けた組織は、その警告をより真剣に受け止める可能性が高いと彼は付け加えた。また、組織内の適切な担当者に直接脆弱性を報告するためのオンラインフォームも、このプロセスに役立つ可能性があると付け加えた。

ガイドラインでは倫理的なハッカーに与えられる柔軟性はほとんどないものの、プリンス氏は政府がそうした理由は理解できると述べた。倫理的なハッカーが一線を越えるのを防ぐためだと彼は述べた。

プリンス氏は、「検察庁は必要と判断した場合には依然として起訴できる権限があるため、一部の人々が失望していることは承知しています」と述べた。しかし、起訴しないわけにはいかないとも付け加えた。「もし誰かが発見した問題を報告してくれれば、大変嬉しいです」と彼は言った。しかし、もしその人が侵入するために何日もかけてシステムを攻撃しているのであれば、プリンス氏は間違いなく法的告訴を検討するだろう、と彼は付け加えた。

Loekはアムステルダム特派員で、IDGニュースサービスでオンラインプライバシー、知的財産、オープンソース、オンライン決済に関する問題を取り上げています。Twitterで@loekessersをフォローするか、[email protected]までメールでアドバイスやご意見をお寄せください。

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.

Recommended Reading

500ドル以下で高速Windows 8 PCを組み立てる

500ドル以下で高速Windows 8 PCを組み立てる

AMDは創立50周年を記念して、Ryzen 7 2700XとRadeon VII Gold Editionを豪華に発表した。

AMDは創立50周年を記念して、Ryzen 7 2700XとRadeon VII Gold Editionを豪華に発表した。

Windows 11 ノートパソコンでスクリーンショットを撮る方法

Windows 11 ノートパソコンでスクリーンショットを撮る方法

You Might Also Enjoy

PC売上の急落はWindows 8のせいだと考える本当の理由

PC売上の急落はWindows 8のせいだと考える本当の理由

レビュー: Start Menu 8はWindows 8のスタートメニューの傑作です

レビュー: Start Menu 8はWindows 8のスタートメニューの傑作です

500ドル以下で高速Windows 8 PCを組み立てる

500ドル以下で高速Windows 8 PCを組み立てる

Popular Articles

Windows 11 ノートパソコンでスクリーンショットを撮る方法
PC売上の急落はWindows 8のせいだと考える本当の理由
AMDは創立50周年を記念して、Ryzen 7 2700XとRadeon VII Gold Editionを豪華に発表した。
500ドル以下で高速Windows 8 PCを組み立てる
モニターをアップグレードする時期が来た理由

Categories

Trending Topics

Health Nutrition Fitness Wellness Mental Health Diet Medical Research