何やらTwitterのXSSワームがいろいろ話題になっていましたが、F-Secure ミッコ・ヒッポネンさんの「ハッカーを味方につけろ」にてひとつ気になる所がありました。

(snip)
 私が助言するとすれば、Twitterは自分達のシステム内にある、重要なセキュリティ脆弱性を新たに発見する目的で、報奨制度を設けるべきだろう。

  たぶん、こうしたオンラインハッカーの中には、楽しみのために新たなシステム破壊ワームを書くよりは、金儲けの方に興味を持つ人達もいるだろう。
(snip)

 確かに報奨制度は脆弱性の悪用を防ぐためのひとつの手段かも知れません。ですが、脆弱性を見つけて報奨金がもらえるとなると、むしろ攻撃者の不正アクセス行為を助長させ、結果的にはリスクが増えるのではないかと思います。それと、Webサイト運用側にとっては不正アクセス行為(の可能性と検知されるアクティビティ)が増える可能性が考えられ、これをやると監視の方もひと苦労でしょう。。あくまで仮説ですが。

 個人的には報奨制度ではなく、企業内でセキュリティエンジニアを雇用、育成し、安全なソフトウェア開発のために検証工程に脆弱性チェックというプロセスを組み込む方がいいのではないかと思います。(もし、既に組み込まれているとしたら、そのプロセスを強化するということで)

 もちろん、その作業はインターネットセキュリティの専門会社にアウトソースするという選択肢もあります。ですが、可能ならセキュリティエンジニアを雇用した方が経済合理性があるのではないかと思っています。楽天ではアウトソースと自社のセキュリティエンジニアの組み合わせでセキュリティ業務をしていますが、実績としては、やはり自社の作業比率を上げた方がコスト面やリードタイムなどメリットが大きいです。

 そして、Webサイト運営の現場では様々なセキュリティの業務があり、脆弱性チェック以外でもセキュリティエンジニアを必要としていて、彼らの活躍の場は沢山あると思っています。
Rakuten-CERTの業務の一例:あんしん・あんぜんなWebサイト運営のために


 この先、インターネットサービス企業が生き残るためには、インターネットセキュリティの技術は必須になると思っています。お客様の情報は守った上でのサービスですから。楽天ではそのベースとなるセキュリティ技術、そして体制をさらに強化しているところです。僕たちはもっともっと優秀なセキュリティエンジニアを必要としています。そして、セキュリティエンジニアの方々にはもっともっとユーザ企業側でも活躍して欲しいなあと思います。
やってみると結構、面白いですよ。

have fun.