CNA(CVE [Common Vulnerability and Exposures] Numbering Authority)として認定されているアクシスコミュニケーションズが、大手クラウドソーシングセキュリティ企業のBugcrowd(バグクラウド)との提携により、プライベートバグバウンティプログラム(脆弱性報奨金制度)を開始しました。このプライベートバグバウンティプログラムにより、外部のセキュリティ研究者やホワイトハットハッカー(倫理的ハッカー)との専門的関係の構築を目指すAxisの取り組みが強化されます。この新しいプログラムにより、Axis製品の大半に搭載されているLinuxベースのオペレーティングシステム「AXIS OS」の脆弱性をプロアクティブに特定および公開し、パッチを適用することを目指すAxisの目標がより推進されることになります。
セキュリティ研究者やホワイトハッカーの重要性とその努力を高く評価するAxisは、コラボレーションと透明性により、長期的に持続可能なサイバーセキュリティ体制を確立できると考えています。Bugcrowdと提携し、そのSecurity Knowledge Platform™を活用することで、Axisは同社のサイバーセキュリティの専門知識、SaaS (software-as-a-service)プラットフォームば、ホワイトハッカーのグローバルネットワークを活かすことができます。この関係は、Axisの「透明性のある脆弱性管理戦略」への追加要素となります。
バグバウンティプログラムの仕組み:
- AIベースのマッチングテクノロジー「Crowdmatch™」を活用して、Bugcrowdが関連スキルと経験を備えた登録研究者を招聘し、テスト対象のAXIS OSベースの製品をAxisが提供します。
- 脆弱性を発見した研究者には、「報奨金」が提供されます。その金額は脆弱性の重大度に応じて異なります。
- その後、Axisは高い透明性を持って脆弱性を外部に開示し、それに応じて影響を受けるAXIS OSバージョンにパッチを提供します。
Axisは、セキュリティ研究者やホワイトハッカーがこのバグバウンティプログラムに参加することを期待しています。脆弱性報告プロセスを通じて、参加を申請してください。
「Bugcrowd」、「Bugcrowd Security Knowledge Platform」、および「CrowdMatch」は、Bugcrowd Inc.およびその子会社の商標です。本文書に含まれているその他すべての商標、商号、サービスマーク、およびロゴは、それぞれの会社に帰属します。
