わーいのまとめ

つぶやきや気になったことを適当にまとめるブログ

脆弱性バウンティハンターて

scan.netsecurity.ne.jp

バウンティハンターと言うと思い出されるのは「はいぱーぽりす」ですねヽ(´ー`)ノ(違

MBSDさんとは昔お仕事関係にありましたが、こういう人材育成に今は力を入れてらっしゃるのですね。正直以前はハッキング方面に強い印象はなかったので意外だったのですが、よい人材に恵まれたのかもしれません。バグを見つけるのは一定の知識と技量があればそれなりにできることではあるんですけど、脆弱性というとそれから一段上がって起きる(できる)事象のイメージも含めて以て調査というか研究というかに当たらないといけないので、やっぱりセンスは必要なのかなと思うのですよね(主観。

昔オープンなWebサイトに脆弱性チェックの行為を行って何某かの成果物を得てそれを公開しちゃったことで、不正アクセス防止法の成立を促した(遠因程度かもしれませんが)事件がありましたが、実際に危険かどうかってチェックしないとわかんなくて、サイト提供側にそのチェックをする姿勢が見られない場合って、個人情報を扱ってるとか決済情報を扱ってるとか一定の条件を満たす際には、免許を持った脆弱性バウンティハンターが勝手にサイトの脆弱性チェックをして改善を通告できる仕組みなんかもあってもいいんじゃないかなって個人的には思っちゃうのですよね(´・ω・`)。国民の生命財産の保護を名目に、そういう仕組みとかできないものですかね。

Webサイトのセキュリティって、例えば建築基準法みたいな一定の基準みたいなものがなくって、悪い言い方をすると通販やってたり個人情報登録させてたりするセキュリティ配慮無しのやられ放題のサイトであろうが、ほんとサイト開設側の善意に依存しているだけで、コストダウンのためにわざと手抜きしていようが放置なんですよね...。(最近自分でWebサイト構築してないんで...法律変わってたりしてないですよね???)そういうサイトに強制的に改善を命令できるインターネットポリス(はいぱーぽりすみたいだから敢えてサイバーポリスとは言わないぞw)みたいなのがあってもいんじゃないですかねぇ(´・ω・`)

むろん全てのサイトを安全になんていうのは簡単なことではないでしょうけど、在る程度アクセス数のあるサイトでチェック条件を満たすところは、こういう責任を負うなんていうのもありなんじゃないかと思うんですよね。そうすることで日本のネットが少しでも安全になるといいなぁと思うのですが、こういう強権的なやり方はきっともっといっぱいネットで漏えい事故とかが起きないと世論は見向きもしないのでしょうね(´・ω・`)

ちょっとWebサイトの方にウェイトがいっちゃいましたが、無線キーボードの盗聴可能問題なんかもそうで、こういうの改善指導できるところって現状ではないんですよね。メーカーの善意に頼るしかないというのがどうもなぁと思ってしまうわけです。脆弱性見つかったら販売禁止とかやると、そもそも日本で製品発売するとこなくなっちゃうかもなので、せめて消費者庁みたいなところがチェック及び必要な際には是正勧告と結果報告見たいなものをしっかりやってくれると、ヤバいところやまともにやる気のないメーカー・製品は排除されていくと思うんですよね。消費税はこういうところのコストに使って欲しいなぁなんて思ってしまいます。

なんて、とりとめもない妄想を垂れ流したところで、脆弱性バウンティハンターってなんかかっこいいので、職業にする方がいたら応援したいと思いますwヽ(´ー`)ノ


はいぱーぽりす DVD BOX

はいぱーぽりす DVD BOX