クラウドソーシングによるセキュリティとは?

新しいソフトウェア製品が市場に出る前に、脆弱性についてテストされます。すべての責任ある企業は、顧客と自社の両方をサイバー脅威から保護するために、これらのテストを実施しています。

近年、開発者はセキュリティ調査を実施するためにクラウドソーシングにますます依存するようになっています。しかし、クラウドソーシングによるセキュリティとは正確には何なのでしょうか? それはどのように機能し、他の一般的なリスク評価方法とどのように比較されますか?

クラウドソーシングによるセキュリティの仕組み

あらゆる規模の組織が、侵入テストを利用してシステムを保護してきました。侵入テストは本質的に、実際の攻撃と同じように、セキュリティ上の欠陥を明らかにすることを目的としたシミュレートされたサイバー攻撃です。しかし、実際の攻撃とは異なり、これらの脆弱性が発見されると、パッチが適用されます。これにより、問題の組織の全体的なセキュリティ プロファイルが向上します。シンプルに聞こえます。

しかし、侵入テストには明らかな問題がいくつかあります。通常、これは毎年実行されますが、すべてのソフトウェアが定期的に更新されることを考えると、これでは十分ではありません。第二に、サイバーセキュリティ市場はかなり飽和しているため、侵入テスト会社は、サービスの課金を正当化し、競合他社から際立つために、実際には存在しない脆弱性を「発見」することがあります。また、予算の問題もあります。これらのサービスは非常に高額になる可能性があります。

クラウドソーシングによるセキュリティは、まったく異なるモデルで機能します。これは、個人のグループを招待してソフトウェアのセキュリティ問題をテストすることを中心に展開します。クラウドソーシングによるセキュリティ テストを使用する企業は、人々のグループ、または一般の人々に自社製品の調査を依頼します。これは、直接、またはサードパーティのクラウドソーシング プラットフォームを通じて行うことができます。

誰でもこれらのプログラムに参加できますが、参加しているのは主に倫理的なハッカー (ホワイト ハット ハッカー) または研究者 (コミュニティ内で呼ばれている) です。また、彼らが参加するのは、通常、セキュリティ上の欠陥を発見したことに対して適切な金銭的賞が与えられるからです。明らかに、合計を決定するのは各企業次第ですが、クラウドソーシングは従来の侵入テストよりも安価で、長期的にはより効果的であると主張することができます.

侵入テストや他の形式のリスク評価と比較して、クラウドソーシングにはさまざまな利点があります。まず第一に、どんなに優れたペネトレーション テスター会社を雇ったとしても、常にセキュリティの脆弱性を探している大勢の人々がそれらを発見する可能性がはるかに高くなります。クラウドソーシングのもう 1 つの明らかな利点は、そのようなプログラムを無制限に実行できることです。つまり、継続的に実行できるため、脆弱性を一年中発見 (およびパッチ適用) できます。

3 種類のクラウドソーシング セキュリティ プログラム

ほとんどのクラウドソーシングによるセキュリティ プログラムは、欠陥や脆弱性を発見した人に金銭的な報酬を与えるという同じ基本概念を中心にしていますが、それらは 3 つの主要なカテゴリに分類できます。

1.バグ報奨金

Facebook から Apple、Google に至るまで、実質的にすべてのテクノロジー大手は、アクティブなバグ報奨金プログラムを実施しています。そのしくみは非常にシンプルです。バグを発見すると、報酬を受け取ることができます。これらの報酬は数百ドルから数百万ドルに及ぶため、一部の倫理的なハッカーがソフトウェアの脆弱性を発見してフルタイムの収入を得ているのも不思議ではありません。

2. 脆弱性開示プログラム

脆弱性開示プログラムはバグ報奨金プログラムに非常に似ていますが、重要な違いが 1 つあります。これらのプログラムは公開されています。言い換えれば、倫理的なハッカーがソフトウェア製品のセキュリティ上の欠陥を発見すると、その欠陥は公表され、誰もがそれが何であるかを知ることができます. サイバーセキュリティ企業は、脆弱性を発見し、それに関するレポートを作成し、開発者とエンド ユーザーに推奨事項を提供するなど、これらに参加することがよくあります。

3. マルウェアのクラウドソーシング

ファイルをダウンロードしても安全に実行できるかどうかわからない場合はどうすればよいでしょうか? マルウェアかどうかをどのように確認しますか? そもそもダウンロードできたとしても、ウイルス対策スイートはそれを悪意のあるものとして認識できなかったため、VirusTotal または同様のオンライン スキャナーにアクセスして、そこにアップロードすることができます。これらのツールは、数十のウイルス対策製品を集約して、問題のファイルが有害かどうかをチェックします。これも、クラウドソーシングによるセキュリティの一形態です。

サイバー犯罪は、究極の形ではないにしても、クラウドソーシングによるセキュリティの一形態であると主張する人もいます。この議論には確かにメリットがあります。なぜなら、システムの脆弱性を見つけて、金銭的利益と悪評を得るために脆弱性を悪用しようとする攻撃者ほど動機付けられている人はいないからです。

結局のところ、サイバーセキュリティ業界に適応、革新、改善を不注意に強いるのは犯罪者です。

クラウドソーシングによるセキュリティの未来

分析会社のFuture Market Insightsによると、グローバルなクラウドソーシングによるセキュリティ市場は、今後数年間で成長し続けるでしょう。実際、2032 年までに約 2 億 4,300 万ドルの価値があると見積もられています。これは、民間部門のイニシアチブによるものだけでなく、世界中の政府がクラウドソーシングによるセキュリティを採用しているためでもあります。例えば。

これらの予測は、サイバーセキュリティ業界がどの方向に進んでいるかを判断したい場合には確かに役立ちますが、企業体がセキュリティに対してクラウドソーシング アプローチを採用している理由を理解するのにエコノミストは必要ありません。問題をどのように見ても、数字はチェックアウトします。さらに、信頼できる責任ある人々のグループに年中無休で資産の脆弱性を監視してもらうことで、どのような害が生じる可能性があるでしょうか?

要するに、攻撃者がソフトウェアに侵入する方法が劇的に変化しない限り、クラウドソーシングされたセキュリティ プログラムが左右に出現する可能性が高くなります。これは、開発者、ホワイト ハット ハッカー、消費者にとっては朗報ですが、サイバー犯罪者にとっては悪いニュースです。

サイバー犯罪から保護するためのクラウドソーシング セキュリティ

サイバーセキュリティは、最初のコンピューターの時代から存在しています。長年にわたってさまざまな形態をとってきましたが、不正アクセスや盗難から保護するという目標は常に同じです。理想的な世界では、サイバーセキュリティは必要ありません。しかし、現実の世界では、自分を守ることがすべての違いになります。

上記のすべては、企業と個人の両方に適用されます。しかし、平均的な人は、基本的なセキュリティ プロトコルに従っている限り、オンラインで比較的安全に過ごすことができますが、組織は潜在的な脅威に対する包括的なアプローチを必要としています。このようなアプローチは、主にゼロトラスト セキュリティに基づいている必要があります。