US to Launch Third Iteration of ‘Hack the Pentagon’ Bug Bounty Program
2023/01/16 InfoSecurity — 米国国防総省 (DoD : Department of Defense) は、2016年に初めて行われた “Hack the Pentagon” バグバウンティ・プログラムの第3弾を、近々に開催すると発表した。Sam.Gov Web サイトの専用ページによると、この構想では、サイバー・セキュリティ研究者たちが、政府の Facility Related Controls System (FRCS) ネットワークの脆弱性を発見していくことになる。
Hack the Pentagon 3.0 プログラムの Performance Work Statement (PWS) のドラフトを読むと、「請負業者は、現時点における FRCS ネットワークのサイバー・セキュリティ体制を評価し、弱点と脆弱性を特定し、全体的なセキュリティ体制を改善/強化する推奨事項の実現に必要な、すべての労働/材料/機器/ハードウェア/ソフトウェア/トレーニングを提供するものとする」と記されている。
FRCS のインフラに含まれる監視システムは、火災/安全/暖房/換気/空調 (HVAC)/ユーティリティ/物理セキュリティなどの、不動産施設にも対応するものとなる。
このドラフトでは、「国防総省は、脆弱性の発見/調整/開示の活動において、革新的かつ多様な情報セキュリティ研究者たちを、クラウド・ソーシングを通じて活用する必要性が生じていると認識している」と説明されている。
また、クリティカルなバウンティ・プログラムにおいては、「ペンタゴン FRCS ネットワークに含まれる非分類情報システムおよび運用技術」だけを対象とすることが明示されている。
ドラフトが強調するのは「それらは政府の機密資産であるため、熟練し信頼できる研究者の民間コミュニティを、請負業者は活用する必要がある。また、DoD が定めた資格基準により、米国人だけに対象が限定される可能性がある」という点である。
さらに、このドラフトでは、ソースコードの解析/リバース・エンジニアリング/ネットワークやシステムへの侵害といった、多様なスキルが研究者たちに求められるとしている。このバグバウンティ・プログラムは、72時間という持ち時間の中で行われる見込みだ。また、資産と資産所有者へのアクセスは、契約締結時に請負業者たちに提供されるという。
Hack the Pentagon バグバウンティ・プログラムの第2弾は、2018年4月に開催された。それから約4年が経過している。
米国防総省のバグバウンティ Hack the Pentagon が始まるとのことです。ただし、Pwn2Own のような、一般的なバグバウンティ・プログラムとは異なり、参加の基準も厳しく、また、バグを発見したものは、修正プロセスへの参加が要求されるようです。とは言え、バグバウンティ・プログラムの結果は公表されるはずなので、とてもフェアな調達へとつながる、合理的な仕組みになるはずです。最近の、米国某関連の記事としては、以下の2点が興味深い内容となっています。
2022/11/30:米国の国防産業に対する調査:87% が要件に不適合
2022/12/02:SBOM 要件の延期を米議会に提出:防衛産業の団体
IoT OT Security News 
You must be logged in to post a comment.