 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
米3Com、脆弱性情報への報奨金プログラムを開始 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
米3Comは7月25日(米国時間)、脆弱性情報の報告に対して報奨金を支払うプログラム「Zero Day Initiative(ZDI)」を発表した。セキュリティ研究者に脆弱性情報の提供を奨励するもので、非公開の脆弱性情報の提供に対し、最高で年間20,000ドルの報奨金を支払う。8月15日から開始する。 同社のネットワークセキュリティ事業部TippingPointが行う。報告された脆弱性情報を評価し、適格と認めた場合、その情報の利用に関して報告者と独占的な契約を結ぶ。該当製品のベンダーに情報を報告し、パッチが発行されると、3Comの侵入検知システムなどのセキュリティ製品をアップデートしたあとで、情報を公開する。また、脆弱性情報を他のセキュリティベンダーと共有する計画もあるという。 報告者には、脆弱性の見つかった製品の普及度、脆弱性の深刻度、デフォルト設定での脆弱性か、などに基づいてポイントを付与する。合計ポイントによって、プラチナ、ゴールド、シルバー、ブロンズの4つのステータスがあり、最高ステータスのプラチナ(50,000ポイント以上)の場合、20,000ドルの報奨金を付与し、次年度のポイントを25%増に加算する。 3Comは、ZDIが一般に公開されている匿名ベースでのセキュリティ情報掲示板とは異なる点を強調している。とくに、同プログラムに参加するにはZDIのサイトに登録する必要があるため、報告者は自分の提供情報に一定の責任を持ち、情報の信頼性が高まるとしている。また、報告する側にとっては、該当製品のベンダーと直接やり取りする必要がない上、知名度を上げることにもつながるなど、メリットが多いという。 他社の例では、米Microsoftが2003年11月からウイルス情報に関する報奨金プログラムを展開しており、2004年5月のワーム「Sasser」の作者の逮捕につながっている。 ■ URL 米3Com http://www.3com.com/ Zero Day Initiative http://www.zerodayinitiative.com/ プレスリリース(英語) http://www.3com.com/corpinfo/en_US/pressbox/press_release.jsp?INFO_ID=227778
( Infostand )
|
