米グーグルは3月25日、クラウドサービス「Google Cloud Platform」の価格改定を発表した。簡単に言えば値下げで、最大85%も価格が引き下げられるサービスもある。過去5年を比較すると、ハードウエアの値下げ率が20~30%なのに対して、クラウドサービスはわずか8%程度と言われている。グーグルの発表から数日後、アマゾンは「AWS(Amazon Web Service)」の値下げを発表。 さらにその後、マイクロソフトも「Windows Azure」の値下げで続いた。
クラウドサービスの値下げ合戦が始まる一方で、価格が上がり続けているのが脆弱性情報だ。脆弱性情報とは、ハードウエアやソフトウエアに攻撃できる弱点や想定される被害・脅威などを指す。
グーグルは、2010年から同社の製品やサービスの脆弱性情報に報奨金を支払う制度を導入した。当時の基本報酬は500ドルだったが、昨年6月に報奨金の額を大幅にアップさせたのだ。基本報酬は約3200ドル、個人情報の流出につながる重大な脆弱性を発見した場合は、約7500ドルまで引き上げられる。
サイバーミステリー小説家の一田和樹は、「脆弱性に経済的な価値が出て状況は変わった」と電子書籍「アンダーグラウンドセキュリティー 1 」で脆弱性情報について触れている。脆弱性情報は、政府・ブラックマーケット・企業の3者が買い取るという。自社製品を狙うマルウエアが広まると困るのがグーグルやマイクロソフトといったクラウド企業で、報奨金制度を導入して自社を狙うマルウエアを事前に防いでいるわけだ。
アンダーグラウンドセキュリティー 1の第4章「闇の産業革命を起こした脆弱性を巡るビジネス」と題して脆弱性情報について解説している。かつては、善良な専門家が見つけていた脆弱性情報が闇のビジネスに変化した過程を、ぜひ読んで欲しい。