　1つは「報奨金が高すぎる」ことです。一般的なITシステムの場合、1件の脆弱性で報奨金が2万ドルを超えるものもあります。ダーシェンコ氏は、ITシステムでの脆弱性判定基準を参考に、ICS／OTならではの特徴を踏まえ、例えばPLCデバイスにサービス停止につながるDDoSの脆弱性があると仮定した場合、報奨金の額は1000ドル程度になると推定。他の問題も含めて、例えば1つのメーカーに年間40件の脆弱性が報告されたとして、支払額は6万3000ドル程度に上ると試算しました。メーカーにとってその負担は少なくなく、許容するかどうかは難しいところです。

　2つ目は、脆弱性対応プロセスがまだ未熟なことです。ITの世界でもしばしば「貴社の製品・サービスには脆弱性がありますよ」と指摘したリサーチャーが門前払いを食らったり、「脅迫なのか」と弁護士から連絡されるケースもあるといいます。

　これと同じことがOTの世界でも起こっており、「脆弱性に関する報告をもらっても反発したり、無視したりで、脆弱性報告を受け付けて確認し、開発側に共有するプロセスを整備している企業はほんのわずか」といいます。ごく少数ですが、内部でモニタリングチームを整え、ツールを用いて、自社のコードはもちろん、そこに含まれているサードパーティー製のコードやオープンソースソフトウェアについても検査するプロセスを整備している企業が存在するのも事実ですが、業界全体に広がるまでの道のりは遠そうです。

　また「内部のチェックで十分だ」「外部の専門企業に委託する方がもっと便利で安心できるし、確実だ」という考え方も根強いものがあります。

　このように「ICSの世界でバグバウンティプログラムが普及しない理由」はいくつも推測できるのですが、それでもあえてダーシェンコ氏は、「バグバウンティプログラムは、内部の脆弱性対応プロセスやチームを整えた上での、次のステップとしてチャレンジしてみるといいのではないか。あるいは、これを内部プロセスを構築していくモチベーションとして活用してはどうだろうか」と提案しました。

　セキュリティチームを整備し、開発チームとの距離を縮め、自社の脆弱性に関するナレッジや専門性を向上させ、ひいては製品のセキュリティを向上させる「チャンス」として、積極的に捉えようというわけです。

　同氏は最後に「ファンタジーをリアリティーに変えていくことは可能だと思う」と述べ、「あらゆる人が参加可能なオープン形式の報奨金制度をいきなり始めるのは難しくても、信頼できる専門家に限った、プライベートな招待制プログラムから始めてみてはどうだろうか」と、一歩踏み出してみることを勧めています。

　確かに脆弱性報奨金制度には、「とるに足らない問題が多数寄せられる」「脆弱性の解釈に食い違いが生じる」など課題があるのも事実です。けれど、バグのないソフトウェアを実現するのは不可能である以上、何らかの形で問題を見付け、修正していくプロセスを用意しておかなければなりません。

　その手段の1つとして、世界中の多数の優れたリサーチャーの力を生かして深刻な脆弱性を見つけていくこうした取り組みは、ICSの環境でもチャレンジしてみる価値はあるのではと思わされました。

“DoS攻撃並み”のトラフィックでまひ寸前！　福岡大学NTPサービスの悩み
福岡大学が提供している公開NTPサービスは、最大で約265Mbps、毎秒33万クエリと“DoS攻撃並み”のトラフィックに。1つの大学の手に余る規模になってしまったが、そう簡単にサービスを停止できない事情があるという。
Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は？
Microsoftが5月、サポート期間内のWindows 7とWindows Server 2008だけでなく、サポートが終了しているWindows XP、Windows Server 2003に対しても修正プログラムを用意。サポート切れなのに修正プログラムを提供するのはなぜ？