代替デジタル資産: ソフトウェアの脆弱性 (バグまたは脆弱性)

著者:徐和軍

今はインターネット時代です。コンピュータやさまざまな情報システムは、私たちの生活のあらゆる側面に大きな影響を与えています。私たちは、コンピューターや、さまざまなアプリケーションを実行するソフトウェア システムと切り離せない存在になっていると言っても過言ではありません。しかし、絶えず露出しているソフトウェアの脆弱性は、インターネット時代においては消えない暗雲であり、時折、人々にさまざまな程度のトラブルや損害を引き起こしています。特に、ソフトウェアの脆弱性により重要なユーザーデータが失われることによって引き起こされる一連のインターネットおよび通信詐欺は、今日の社会における大きな問題です。

しかし残念なことに、情報システムには研究開発の当初から抜け穴が存在していました。脆弱性は、脆弱性とも呼ばれ、ジョン・フォン・ノイマンがコンピュータ システム構造の理論を確立した 1947 年にはすでに言及されていた概念です。彼は、コンピュータの発達は自然生命に似ており、コンピュータ システムにも遺伝子のような生来の欠陥があり、使用中や開発中に予期しない問題が発生する可能性があると考えていました。情報セキュリティの脆弱性とは、情報技術、情報製品、情報システムの要求、設計、実装、構成、運用のプロセスにおける意図的または意図的でない脆弱性のことです。これらの脆弱性は、情報システムのあらゆるレベルとリンクにさまざまな形で存在し、悪意のある主体によって悪用され、情報システムとそのサービスの正常な動作に影響を及ぼす可能性があります。

世界の情報セキュリティコミュニティは、情報セキュリティの脆弱性によって引き起こされる深刻な結果を防ぐ方法について合意に達しました。つまり、企業内の内部ソフトウェアテストを強化することを基本として、ホワイトハットハッカーが情報システムのセキュリティ脆弱性を故意に隠蔽したり、砂に埋もれたラクダのように見て見ぬふりをしたりするのではなく、ボーナスという形でその発見と開示に参加することが奨励されているのです。成功例としては、HackerOne が企業のネットワーク セキュリティ フィードバック センターの設立を支援し、セキュリティ レベルの異なる脆弱性の提出に対してさまざまなボーナスを提供していることが挙げられます。これにより、より多くのホワイトハットハッカーがシステムのセキュリティ上の脆弱性を発見し、できるだけ早く企業に報告するようになり、企業は深刻なセキュリティインシデントにつながる前に脆弱性を修正できるようになります。

HackerOne は、集中型セキュリティ緊急センターという非常に成功したサンプルを業界に提供しています。しかし、このモデルは問題の一部しか解決しません。これは、ホワイトハットによって提出された脆弱性の脅威レベルを公平に評価する方法や、脆弱性に対して授与されるべき報奨金を公平に評価する方法については完全には対処していません。ボーナスの額がホワイトハットハッカーの働きを反映するのに十分でない場合、それは重要な役割を果たしません。

別の観点から見ると、ソフトウェアの脆弱性はビットコインと非常によく似た特性を持っていることがわかります。まず、ビットコインと同様に、ソフトウェアの脆弱性はさまざまな参加者によって独立して発見されるため、自然に分散化されます。第二に、ソフトウェアの脆弱性は情報システムにのみ存在し、現実世界のデジタル証明書には存在しないため、完全にデジタル化されています。第三に、ソフトウェアの脆弱性の発見、修復、開示、脅威レベルの評価、報酬の見積りはすべて、複数の当事者によるオープンで公正な同時監視の下で解決される必要があります。分散した支援と監督が不可欠です。実際、イーサリアムコミュニティもDAO攻撃後にセキュリティ脆弱性報奨金プログラムを設立しました。

上記の分析を通じて、情報システムの脆弱性（ソフトウェアの脆弱性）はビットコインと同じ特性を持っていることがわかり、ブロックチェーン技術でサポートされる代替デジタル資産に非常に適していることがわかります。この脆弱性報奨金ブロックチェーンでは、無数のホワイトハットハッカーが脆弱性資産のマイナーとなっています。彼らはあらゆる情報システムの脆弱性を採掘し、発見された脆弱性の証拠をブロックチェーンに提出します。関連する評価機関は、これらの脆弱性に対する脆弱性の検証、脅威レベルの評価、および報奨金の見積りを提供します。これらの評価タスクもさまざまな参加者によって共有されます。最終的には、脆弱性に価格が付けられ、企業によって買い戻されて修正され、ビットコインのように取引されるようになるでしょう。すべてのプロセスをブロックチェーンに記録することで、プロセス全体がオープンかつ公正であることを保証できます。ブロックチェーン技術は、この複数当事者プロジェクトの公正な実行を保証できる唯一の技術プラットフォームです。

ハッカーの世界からのブロックチェーン技術は、今でもホワイトハットハッカーに最も適しています。