責任ある開示が、より安全なサイバー空間を形づくる方法

Carmen Girardin
セキュリティコミュニケーションアナリスト
May 21, 2025

このブログはこちらの英語ブログ(2025年4月9日公開)の機械翻訳です。

2024年、National Vulnerability Database(NVD)には合計40,003件という驚くべき数のCVEが記録されました。技術の進歩と機能のスピーディで継続的なリリースが、これらの増加に確実に寄与しており、その数は2023年から39%増となっています。セキュアなコーディングと開発手法を採用し、開発プロセスの初期段階からセキュリティを優先することが、脆弱性を軽減する鍵となります。

サイバーセキュリティのリスク状況は、脅威アクターの高度化とツールの進化により急速に変化し続けています。2024年には、Webアプリケーションの脆弱性を悪用した攻撃が大幅に増加し、前年のほぼ3倍となる180%増を記録しました。

エシカルハッキング(倫理的なハッキング行為)の利点

かつては論争の的だったテーマが、脅威アクターとの戦いと脆弱性悪用の防止において欠かせない実践として、広く支持を得ています。エシカルハッカーやセキュリティ研究者は、バグバウンティプログラムに参加し、脆弱性を責任をもって開示することで、今日の脆弱性管理プログラムを刷新し、オンラインリスクを低減しています。

Oktaは、バグバウンティプログラムを含む責任ある開示の実践を支援し、積極的に参加しています。これは、悪意ある目的を持つ脅威アクターによって悪用され得るアクティブな脆弱性の数を減らすことで、より安全なオンラインコミュニティに寄与します。責任ある開示の業界的な利点は、ソフトウェアベンダーとテクノロジーユーザーの双方にとって拡大し続けています。

業界の包括性

従来のサイバーセキュリティアプローチは、今日の責任ある開示や、BugCrowdProject Zeroといった注目すべきプログラムより前に存在していました。組織は、ハッカーコミュニティのスキルセットを活用してセキュリティポスチャを向上させることができます。エシカルハッカーには、学習、テスト、そしてテクノロジーベンダーへ責任をもってセキュリティ問題を開示するための環境が提供されています。

セキュリティ向上

テストは多ければ多いほど望ましいものです。セキュリティギャップを解消する意図でソフトウェアの脆弱性を発見しようとするエシカルハッカーは、セキュリティポスチャを向上させます。ただし、バグバウンティプログラムがフルタイムのセキュリティチームに取って代わるべきではありません。Offensive SecurityやProduct Securityを含む専任の内部人材が強く推奨されます。エシカルハッキングプログラムは、包括的で堅牢なセキュリティプログラムを補完するものと位置付けるべきです。

コスト削減

バグバウンティプログラムは、バグや脆弱性を発見・報告することに成功したエシカルハッカーへ金銭的報酬を提供しつつ、組織に追加のセキュリティ保護をもたらします。データ侵害につながる脆弱性が悪用された場合に発生するコストは、いかなるバグバウンティ報酬をもはるかに上回ります。

透明性

信頼は透明性から始まります。脆弱性が特定されると、テクノロジーベンダーは顧客に対して透明性を保つ機会を得ます。責任ある開示プログラムは、サイレントパッチを避けることでエシカルハッキングの実践をさらに周知し、ベンダーの透明性を向上させることを目的としています。組織は、脆弱性に関連する情報を顧客やユーザーへ修正・通知する際、NVDの基準に従う義務があります。

OktaとBugCrowd

Oktaは、BugCrowdを通じたバグバウンティプログラムを提供し、世界中のセキュリティ研究者コミュニティとの直接的な接点を築いています。Oktaは投稿を歓迎しており、コミュニティの参加がクライアントのシステムとデータを保護するうえで不可欠であると考えています。

日々、何千行ものコードが作成され、何十万行ものコードがOktaとAuth0のプラットフォーム向けに本番環境へリリースされています。これらのプログラムは、開発の各段階で詳細なレビューを含む当社の標準的なSecure Development Lifecycle(SDL)手法を補完する追加のセキュリティ実践です。

image1

OktaのVulnerability Reporting Policyをご覧いただき、当社アイデンティティプラットフォームに対するセキュリティ調査の「すべきこと」と「してはいけないこと」の詳細およびその他の参考ガイダンスを確認してください。

Oktane 2024オンデマンドを視聴し、OktaのProduct Security 専門家によるOktaの BugCrowdプログラムを詳しくご覧ください。詳細と参加方法については、Oktaの BugCrowdAuth0のBugCrowdバグバウンティプログラムに関する記事をお読みください。

以上の内容は、原文(英語)の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。

Carmen Girardin
セキュリティコミュニケーションアナリスト

Carmen GirardinはOktaのセキュリティコミュニケーションアナリストです。フィンテック分野で10年以上の経験があり、アイデンティティとアクセス管理(IAM)の専門知識も有しています。Oktaのセキュリティエコシステムと、日々進化する脅威の現状について、関連性が高く洞察力に富んだ情報を発信することに努めています。執筆活動以外の時間は、旅行や掘り出し物探し、読書を楽しんでいます。

Tags

Active Directory Okta Privileged Access
Previous
Next

April 16, 2025

Oktaによる特権Active Directoryアカウントの保護

By Elizabeth Baier
このブログはこちらの英語ブログ(2025年4月16日公開)の機械翻訳です。 現在のハイブリッドIT環境において、Active Directory(AD)は依然としてアイデンティティ管理の中核を担っています。しかし、特権ADアカウントは、適切に管理されない場合、大きなセキュリティリスクとなります。 そのため、Okta…

今すぐ読む

April 4, 2025

Okta FastPassとTrusted App Filtersでセキュリティを強化

By Okta
 このブログはこちらの英語ブログ(2025年4月4日公開)の機械翻訳です。 フィッシング耐性を最優先に フィッシング耐性のある認証が、現在の安全な認証のベースラインです。つまり、FIDO/WebAuthn、Okta FastPass、PIV/CACなどがそれに該当します。本記事では…

今すぐ読む

February 28, 2025

人間と非人間アイデンティティ:統合されたアプローチ

By Lior Tamir Johnathan Campos
このブログはこちらの英語ブログ(2025年2月28日公開)の機械翻訳です。 多くの組織は、人間と非人間アイデンティティ(NHI)を別々のセキュリティ課題として扱っています。従来のデータセンターではこのような分離されたアプローチに一定の合理性がありましたが、クラウドサービスやSaaSアプリケーションの急速な普及により…

今すぐ読む

February 14, 2025

OktaによるOWASPの「非人間アイデンティティのトップ10リスク」対応方法

By Elizabeth Baier Johnathan Campos Karl Henrik Smith
このブログはこちらの英語ブログ(2025年2月14日公開)の機械翻訳です。 マシンアイデンティティ、サービスアカウント、APIキー、自動化ツールなどの「非人間アイデンティティ(NHI)」は、現代のクラウド環境やエンタープライズアプリケーションにおいて重要な役割を果たしています。しかし、ハードコードされた認証情報…

今すぐ読む

December 31, 2024

賢い投資:OktaとAWSで金融サービスを変革

By Jeremie Berthiaume Samantha Murphy
このブログはこちらの英語ブログ(2024年12月31日公開)の参考和訳です。原文と内容に差異がある場合は、原文が優先されます。 他のサービス業界以上に、金融サービス(FSI)では、顧客がそのサービスと関わる方法に大きな変化が起こっています。 実店舗の支店は姿を消しつつあり、顧客がどこからでも…

今すぐ読む