デジタル発展部、初の製品セキュリティ脆弱性ハンティングを実施

中央通信社（中央社記者趙敏雅台北27日発）デジタル発展部サイバーセキュリティ署は、サイバーセキュリティ研究所を指導し、初の製品セキュリティ脆弱性ハンティングを実施し、国内のICT大手11社を集結させ、20製品を対象にテストを行った。サイバーセキュリティ研究所は本日、最終的に20件の有効な脆弱性を確認したと発表した。これは、製品発売前に外部テスト検証を行うことで、潜在的なリスクを早期に発見し、修正期間を短縮し、製品全体のセキュリティをさらに強化するのに役立つことを示している。 サイバーセキュリティ研究所が開催した初の脆弱性ハンティング活動成果発表記者会見で、サイバーセキュリティ署の蔡福隆署長は、EUの「サイバーレジリエンス法」などの国際規範が次々と施行される中、台湾製品のセキュリティ強化とサプライチェーンの信頼構築が重要になっていると指摘した。サイバーセキュリティ研究所の初の脆弱性ハンティング活動は大きな成果を上げ、今後第2回も開催し、企業が製品セキュリティをより重視するよう促し、政府機関や企業がセキュリティ製品を採用する際に非常に安全な環境を提供していく。 サイバーセキュリティ研究所の説明によると、この活動には国内の主要なICT大手11社と179名の台湾人セキュリティ研究員が集結し、ネットワーク通信機器、ネットワークストレージ機器、産業用ネットワーク通信機器など20製品を対象にテストを行い、最終的に20件の有効な脆弱性を確認した。その中には、深刻度「重大」の脆弱性が3件、高リスクの脆弱性が6件含まれている。 サイバーセキュリティ研究所は、今回の活動で発見された有効な脆弱性の中には、一部のコンポーネントが脆弱なパスワードを使用しているために任意のファイルが読み取られる可能性があるものや、パラメータ入力形式が適切にチェックされていないためにコマンドインジェクションのリスクが生じるものなどがあったと指摘した。 サイバーセキュリティ研究所によると、179名の研究員のうち25名が脆弱性報告の提出に成功した。研究員が実際の攻撃者の視点からテストを行うことで、メーカーは製品発売前に潜在的な問題を把握し、発売後に露呈する可能性のあるリスクを事前に処理することができた。現在、一部のメーカーは協力して6件の共通脆弱性識別子（CVE）番号の取得を申請しており、サイバーセキュリティ研究所も引き続きその後の状況を追跡していく。 サイバーセキュリティ研究所は、計画に参加したブルーチームのメーカーは皆、今後の活動への高い参加意欲を示しており、レッドチームの研究員も今回の全体的な運用を評価し、将来的にテスト対象の情報と評価基準をさらに明確に開示できれば、脆弱性発見の効率がさらに向上するだろうと提案した。 サイバーセキュリティ研究所は、9月に第2回脆弱性ハンティング活動を計画しており、ソフトウェアサプライチェーンのセキュリティ検証を主軸とし、政府機関で頻繁に使用されるソフトウェア項目の中から、使用頻度が高いものや高リスクのシナリオに関わるソフトウェアを優先的に検証する。官民協力モデルを通じてMIT製品の競争力を強化し、台湾製造を「Made in Taiwan」から「Make It Trusted」へと進化させる。（編集：萬淑彰）1150427 事実に基づいた選択を。皆様からのご支援が、報道の自由を守る力となります。 中央通信社の「一手新聞」アプリをダウンロードして、最新ニュースをリアルタイムで入手してください。 本ウェブサイトのテキスト、画像、動画は、許可なく転載、公開放送、公開送信、利用することはできません。