Google Cloud の新しい脆弱性報奨金プログラムのご紹介

※この投稿は米国時間 2024 年 10 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

脆弱性報奨金プログラムは、セキュリティを推進するうえで重要な役割を果たします。このプログラムは、ベンダーによるセキュリティ研究を奨励することで、悪意のあるユーザーに利用される前に脆弱性を発見して修正し、ユーザーを保護してセキュリティ ポスチャーを強化できるようにします。バグバウンティとも呼ばれるこの脆弱性報奨金プログラムは、Google が主導して長年サポートしてきたものであり、現在ではセキュリティ ランドスケープに不可欠なものとなっています。

このたび、Google のセキュリティへの取り組みの一環として、Google Cloud のプロダクトおよびサービスに特化した Google Cloud 脆弱性報奨金プログラム（VRP）を開始いたしました。Google Cloud VRP では、新しい脆弱性に関する情報をまとめることに継続して焦点を置き、Google のミッションに協力していただいたセキュリティ研究者に報奨金（最高額 $101,010）が付与されます。

最も安全性の高いクラウドの実現

これまでも、Google Cloud は広範な Google VRP に含まれていましたが、Google Cloud 専用の VRP を導入したことにより、Google はさらに安全性の高いクラウドを目指す取り組みに投資できることになります。このプログラムの導入により、主要なクラウド プロダクトに合わせて報奨金を提供できるようになった結果、150 を超えるプロダクトに対して 2 つの報奨レベルが設定されました。

また、脆弱性の研究者は、Google Cloud のセキュリティ エンジニアと直接やりとりできるようになりました。このようなやりとりによって、Google はセキュリティ研究レポートの影響をより迅速にトリアージ、再現、評価できます。新しい Google Cloud VRP では、Google Cloud に焦点を置いて報奨構造を最適化しており、研究者には Google VRP と同様の高い質、エンゲージメント、透明性、コミュニケーションが提供されます。

Google Cloud への脆弱性の送信方法

脆弱性レポートを合理化するため、研究者の方は引き続き Google、Chrome、Android、不正使用の VRP と同じレポート ポータルをご使用ください。

脆弱性を報告する際は、次のガイドラインに沿って行ってください。

• ポータルから、Google Cloud プロダクトまたはサービスのレポートを開始します。
• [Bug Location] で [Cloud VRP] を選択します。
• Google がバグを迅速に再現できるようにするため、ガイダンスに従ってください。報告された説明に従って攻撃を再現するのが簡単であればあるほど、Google のチームとのコミュニケーションが効率化されます。

攻撃のシナリオをできる限り詳細に記述してください。その脆弱性を誰が悪用しようとしているのか、それによって攻撃者が何を得られるのかをご説明ください。これらの攻撃シナリオを記述する際は、攻撃者の開始位置と攻撃の前提条件を考慮します。また、被害者についての想定も明確に説明してください。

脆弱性を迅速に再現し、攻撃シナリオを理解できるようご協力いただくことで、Google はより簡単に脆弱性の影響を正確に評価し、問題をすばやく修正できます。バグ ハンティング コミュニティを成功に導くには、コーディングの欠陥を見つけるだけではなく、複雑な実世界の攻撃シナリオを明確に説明することも必要となります。

VRP は、堅牢で成熟したセキュリティ プログラムの非常に重要な一部となっており、組織のデジタル トランスフォーメーションの実現にも貢献しています。Google Cloud VRP チームとセキュリティ エンジニアは、研究者の皆様と協力してクラウドの安全性を高めていくことを楽しみにしています。

詳細については、Google Cloud 脆弱性報奨金のページをご覧ください。

-Cloud VRP リード Michael Cote
-クラウド セキュリティ対応責任者 Sri Tulasiram