ケイティ・ムスーリス

ケイティ・ムスーリス
2015年、ニュージーランドのウェリントンで開催されたKiwiconでのMoussouris
市民権アメリカ人
職業セキュリティ研究者CEO起業家
雇用主ルタ セキュリティHackerOneマイクロソフトシマンテック@stake
知られているバグ報奨金プログラム脆弱性開示

ケイティ・ムスーリスは、アメリカのコンピュータセキュリティ研究者、起業家、そして脆弱性開示の先駆者であり、責任あるセキュリティ研究を推進する継続的な活動で最もよく知られています。以前は@stakeのメンバーであり、マイクロソフトのバグバウンティプログラムを創設し[ 1 ]、米国国防総省初のハッカー向けバグバウンティプログラムの創設に直接関わりました[ 2 ][ 3 ]以前は、カリフォルニア州サンフランシスコに拠点を置く脆弱性開示企業HackerOneの最高政策責任者を務め[ 4 ] 、現在はLuta Securityの創設者兼CEOです[ 5 ]

バイオグラフィー

ムスーリスは幼いころからコンピュータに興味を持ち、小学校3年生のときに母親が買ってくれたコモドール64BASICプログラミングを学んだ。 [ 6 ] [ 7 ]彼女は高校でAPコンピュータサイエンスを受講した最初の女子となった。 [ 6 ]彼女はシモンズ大学に通い分子生物学と数学を学び、同時にMITホワイトヘッド研究所でヒトゲノムプロジェクトに携わった。ホワイトヘッドにいる間、彼女は研究室助手からシステム管理者に転向し、3年後にはMIT航空宇宙学部のシステム管理者となり、2000年に開設予定の新しい研究室のコンピュータシステムの設計に携わった。[ 6 ]この間、彼女はハーバード大学応用科学工学部でもシステム管理者として働いていた。

彼女はTurbolinuxLinux開発者として働くためにカリフォルニアに移り、彼らのコンピュータセキュリティ対応プログラムを立ち上げました。[ 7 ] [ 8 ]彼女は西海岸のハッカーシーンで活躍し、 2002年にクリス・ワイソパルの招待で@stakeに侵入テスターとして正式に参加しました。[ 9 ]

シマンテック

ムスリスは2004年10月にシマンテックが@stakeを買収した際に同社に入社した。[ 10 ] [ 11 ]在籍中、彼女は2004年にシマンテック脆弱性研究部門を設立し、運営に携わった。これはシマンテックの研究者が脆弱性研究を発表できる最初のプログラムであった。[ 12 ]

マイクロソフト

2007年5月、ムスリス氏はシマンテック社を退社し、マイクロソフト社にセキュリティストラテジストとして入社した。[ 11 ]彼女は、BlackHat 2008で発表したMicrosoft脆弱性調査(MSVR)プログラムを設立した。[ 13 ]このプログラムは、ダン・カミンスキー氏のDNS欠陥など、いくつかの重大な脆弱性への対応を調整し、[ 14 ]マイクロソフトの顧客に影響を与えるサードパーティ製ソフトウェアのバグも積極的に探している(この後の例としては、GoogleのProject Zeroが挙げられる)。

2010年9月から2014年5月まで、ムスリス氏はマイクロソフトのシニアセキュリティストラテジストリードを務め、マイクロソフトセキュリティレスポンスセンター(MSRC)チームの一員としてマイクロソフトのセキュリティコミュニティアウトリーチおよび戦略チームを運営した。[ 15 ]彼女は、エクスプロイト緩和策の進歩を表彰するMicrosoft BlueHat Prizeを創設し、[ 16 ] BlackHat USA 2012で研究者に26万ドル以上の賞金を授与した。[ 17 ] 20万ドルの優勝賞金は、当時ソフトウェアベンダーが提供する最高額の賞金だった。[ 18 ]彼女はまた、マイクロソフト初のバグ報奨金プログラムを作成した。 [ 1 ]このプログラムでは、25万3千ドル以上が支払われ、在任期間中に18件の脆弱性が発見された。

ISO脆弱性開示標準

ムスリスは2008年頃からISO/IEC 29147文書の編集に協力してきた。2016年4月、ISOはムスリスとCERTコーディネーションセンターのアート・マニオンの要請を受けて、この規格を無償で公開した。 [ 19 ]

ハッカーワン

2014年5月、ムスリス氏はカリフォルニア州サンフランシスコに拠点を置く脆弱性開示企業HackerOneの最高政策責任者に任命された。[ 4 ]この役職で、ムスリス氏は同社の脆弱性開示の理念を担当し、組織、立法者、政策立案者の間でセキュリティ研究を促進し、正当化するために尽力した。

「ハック・ザ・…」シリーズ

マイクロソフトに在籍中、ムスリスは連邦政府バグ報奨金プログラムについて話し合いを始め、HackerOneに移った後もこの話し合いを続けた。[ 20 ] 2016年3月、ムスリスはHackerOneが企画・検証した国防総省の「Hack the Pentagon」パイロットプログラムの作成に直接関わった。 [ 21 ]これは米国連邦政府史上初のバグ報奨金プログラムであった。[ 22 ]

ムスーリス氏はペンタゴンのプログラムに続き、「空軍をハックする」プログラムを立ち上げました。HackerOneとLuta Securityは提携し、今後3年間で最大20件のバグバウンティチャレンジを国防総省に提供しています。[ 23 ]

ルタセキュリティ

2016年4月[ 24 ] 、ムスリスはLuta Security [ 25 ]を設立しました。これは、バグ報奨金プログラムを通じて組織や政府がハッカーと協力して取り組むのを支援するコンサルティング会社です。

ニューアメリカフェロー

2015年から2016年、そして2016年から2017年にかけて、ケイティ・ムスーリスは米国を拠点とするシンクタンクであるニュー・アメリカのサイバーセキュリティフェローを務めた。[ 26 ] [ 27 ]

ワッセナー協定の修正

2013年、通常兵器及び汎用品・技術の輸出管理に関するワッセナー・アレンジメントが改正され、「侵入ソフトウェア」が対象に含まれることになった。ムスーリス氏はWired誌寄稿し、この改正は定義が広すぎるため脆弱性開示業界に悪影響を及ぼしていると批判し、規制当局が適切な変更を行う方法を理解するためにセキュリティ専門家に意見を求めるよう促した。[ 28 ]彼女は技術専門家として招かれ、米国のワッセナー・アレンジメント交渉に直接協力し、ユーザーの意図に基づく最終用途規制の適用除外を導入するための改正案の書き直しに尽力した。[ 29 ]

労働市場調査を活用する

ムスーリスはMITスローン経営大学院の客員研究員であり、ハーバード大学ベルファー科学国際問題センターの準研究員でもありました。そこでは、セキュリティバグの労働市場に関する経済研究を行っていました。彼女は、脆弱性経済とエクスプロイト市場に関する初のシステムダイナミクスモデルに関する書籍の章を共同執筆し、2017年にMIT Pressから出版されました。[ 30 ] [ 31 ]

議会証言

2018年、ムスーリス氏は米国上院の消費者保護、製品安全、保険、データセキュリティ小委員会で防衛目的のセキュリティ研究について証言した。[ 32 ]

2021年、ムスリス氏は米国下院科学宇宙技術委員会でソフトウェアサプライチェーンのサイバーセキュリティの向上について証言した。[ 33 ]

アヌンシア・ドネシア・ソンソン・マングローナ ジェンダーと経済的平等のためのラボ

2021年、ムスーリス氏は100万ドルを寄付し、ペンシルベニア州立大学ロースクールに母親の名を冠した「アナンシア・ドネシア・ソンソン・マングローナ・ラボ」を設立しました。この「マングローナ・ラボ」は、職場における金銭的差別に対処し、法の下での経済的平等を促進することを目的とした、ジェンダー平等訴訟クリニックからスタートします。[ 34 ]

受賞歴

2014年、SCマガジンはムスリス氏をITセキュリティ業界の女性リストに選出しました。[ 12 ]また、「誰もが知っておくべき情報セキュリティ分野の女性10人」の1人にも選ばれました。[ 35 ]また、2011年の影響力のある女性賞では「注目すべき女性」に選ばれました。[ 36 ] 2018年には、フォーブス誌の「アメリカのテクノロジー分野の女性トップ50」に選出されました。[ 37 ]

プレゼンテーション

  • ナイト・オブ・ザ・リビング脆弱性開示に関するISOドラフト、[ 38 ] シンポジウム2010。
  • ヴァルンストリートのオオカミ:ゼロデイ市場の初の動的システムモデル、[ 39 ] RSAカンファレンス2015
  • パネル:ワッセナー協定による「侵入ソフトウェア」の輸出規制がセキュリティ業界に与える影響、[ 40 ] BlackHatUSA 2015
  • サイバーリアーからのスイング:規制を回避せずに明日が存在しないかのようにハッキングする方法、[ 41 ] Kiwicon 2015

出版物と記事

  • 「すべてのハッカーが悪人なわけではない」タイム誌。2016年4月4日閲覧。[ 42 ]
  • 「脆弱性開示のデジャヴ:研究ではなく犯罪を起訴せよ」Dark Reading . 2016年4月4日閲覧。
  • 「Mad World: バグバウンティの真実」Dark Reading 2016年4月4日閲覧。
  • 「私がここに来た経緯:ケイティ・ムスーリス」Threat Post . 2016年4月6日閲覧。
  • 「ハッカーは助けになる」ニューヨーク・タイムズ。2017年6月18日閲覧。[ 43 ]
  • 「政権は国際的なサイバー輸出規制の改革を継続的に追求すべきだ」ザ・ヒル紙。2017年6月18日閲覧。[ 44 ]
  • 「地球をハッキングする時が来た」Threatpost . 2017年9月24日閲覧。[ 45 ]

マイクロソフト訴訟

2015年9月、ムスーリス氏はシアトル連邦裁判所マイクロソフトを相手取り、差別を理由とする集団訴訟を起こした。彼女は、マイクロソフトの採用慣行が、技術・エンジニアリング職に就く女性に対し、業績評価、給与、昇進、その他の雇用条件において性差別を助長していると主張した。 [ 46 ] [ 47 ]

参考文献

  1. ^ a b「元マイクロソフトのバグバウンティ開発者、パリ空港職員のためにノートパソコンの暗号化解除を強制される」 The Register . 2016年4月4日閲覧
  2. ^ 「ペンタゴン、ハッカーに対する連邦政府初の『バグ報奨金制度』を開始」 WIRED . 2016年4月4日閲覧
  3. ^ 「ペンタゴンをハックせよ:国防総省、史上初の連邦バグ報奨金プログラムを開始」 Dark Reading、2016年3月2日。 2016年4月4日閲覧
  4. ^ a b「HackerOneが900万ドルを調達、ケイティ・ムスーリスを最高政策責任者に任命 | SecurityWeek.Com」 www.securityweek.com 2014年5月29日. 2016年4月4日閲覧
  5. ^ "Luta Security" . Luta Security, Inc. 2017年6月17日閲覧
  6. ^ a b c「GeekGirl of the Week - 1999年7月」GirlGeeks . 2019年4月13日閲覧
  7. ^ a b McGraw, Gary (2015年7月). 「Silver BulletがKatie Moussourisと対談」 . IEEE Security and Privacy . 13 (4): 7–9 . doi : 10.1109/MSP.2015.89 .
  8. ^ Moussouris, Katie. 「侵入テストは死んだ!侵入テスト万歳!」(PDF) . HackFest 2014 . SANS Institute. 2016年9月29日時点のオリジナル(PDF)からアーカイブ。 2019年4月13日閲覧
  9. ^フィッシャー、デニス(2018年3月9日)「『永遠に続くものは何もない』:LØphtの口述歴史、第4部」。Decipher。Duo Security 。 2019年413日閲覧
  10. ^ラシッド・ファミダ(2014年8月15日)「Sisters in Security: Katie Moussouris' Leaps of Faith」 PCMagazine 20179月23日閲覧
  11. ^ a bライアン・ナレイン「シマンテックの脆弱性研究創設者がマイクロソフトに入社」 Zero Day ZDNet 2017年9月23日閲覧
  12. ^ a b「2014年ITセキュリティ業界の女性:ケイティ・ムスーリス」 SC Magazine、2014年8月4日。 2016年4月4日閲覧
  13. ^ Kaplan, Dan (2008年8月8日). 「BLACK HAT: Microsoft to work with third parties over vulns」 . SC Media US . Haymarket Media, Inc. 2017年9月24日閲覧
  14. ^レモス、ロバート. 「DNSポイズニングの脆弱性を修正するための同盟が結成」 . SecurityFocus . 2017年9月24日閲覧
  15. ^ Leggio, Jennifer. 「100 Brains: MicrosoftのKatie Moussourisがセキュリティを身近なものにする」 ZDNet . 2016年4月4日閲覧
  16. ^ DuPaul, Neil (2012年8月21日). 「Microsoft BlueHat - Katie Moussourisへの5つの質問」 . Veracode . 2017年9月23日閲覧
  17. ^スミス氏(仮名)(2012年7月27日)「Microsoft BlueHat Prize Winners」 CSO Online . IDG Communications, Inc. 2017年9月23日閲覧
  18. ^ Kamath, Maya (2015年8月8日). 「テック企業による世界最大級の『バグ報奨金』支給額リスト」 . TechWorm . TechWorm.net . 2017年9月23日閲覧
  19. ^ Saarinen, Juha. 「ISO脆弱性開示規格が無料に」 . iTnews . nextmedia Pty Ltd. 2017年9月24日閲覧
  20. ^ゼッター、キム. 「バグバウンティの第一人者ケイティ・ムスーリスがハッカーと企業の良好な関係構築を支援」 . WIRED . 2017年9月24日閲覧
  21. ^シンクマン、ポール・D. (2016年4月1日). 「軍事力の近代化のため、ペンタゴンはハッカーに頼る」 US News & World Report . 2016年4月4日閲覧
  22. ^ "「『ペンタゴンをハックする』パイロットプログラムの登録受付開始」米国国防総省ニュース。米国国防総省。2016年3月31日。 2017年9月24日閲覧
  23. ^ O'Neill, Patrick Howell (2017年4月26日). 「米国、空軍ハックのバグ報奨金プログラムを開始 - Cyber​​scoop」 . Cyber​​scoop . 2017年9月24日閲覧
  24. ^ブルック、クリス(2016年4月14日)「ケイティ・ムスーリス、ペンタゴンをハックしハッカーを受け入れる」Threat Post . 2016年8月15日閲覧
  25. ^ “ルタセキュリティ” .ルタセキュリティ
  26. ^ 「2016-2017年度サイバーセキュリティフェロー」。New America 2016-2017年度サイバーセキュリティフェロー2017年6月19日閲覧。
  27. ^ 「2015-2016 サイバーセキュリティフェロー」。2015-2016サイバーセキュリティフェロー
  28. ^スティーブンソン、アラステア(2015年7月22日)「この知られざる武器取引協定への小さな変更が、サイバーセキュリティ業界を破滅させる可能性がある」 Business Insider 2019年4月13日閲覧
  29. ^ Waterman, Shaun (2017年12月20日). 「ワッセナー・アレンジメントの最新文言はセキュリティ研究者を大いに喜ばせている」 . Cyber​​Scoop . 2019年4月13日閲覧
  30. ^ 「ケイティ・ムスーリス」 .国立安全保障研究所. ジョージ・メイソン大学. 2019年4月13日時点のオリジナルよりアーカイブ。 2019年4月13日閲覧
  31. ^エリス、ライアン、ファン、ケマン、シーゲル、マイケル、ムスリス、ジェームズ・ホートン(2018年1月26日)「Fixing a Hole: The Labor Market for Bugs」サイバーセキュリティのための新ソリューション129-160ページ。doi10.7551/mitpress/11636.003.0006 ISBN 9780262346641
  32. ^ 「米国上院公聴会 - データセキュリティとバグ報奨金プログラム:得られた教訓」 Hacker One Blog、2018年2月6日。
  33. ^ 「SolarWindsとその先:ソフトウェアサプライチェーンのサイバーセキュリティの向上」(PDF) 。 2021年5月26日時点のオリジナル(PDF)からアーカイブ。 2021年5月30日閲覧
  34. ^ 「サイバーセキュリティのパイオニアがペンシルベニア州立大学ロースクールのジェンダー平等研究室に100万ドルを寄付 | ペンシルベニア州立大学」 news.psu.edu . 2021年3月6日閲覧
  35. ^ “ミシェル・クォン” . www.eweek.com 2016 年4 月 4 日に取得
  36. ^ジョーン・グッドチャイルド (2011年12月19日). 「2011年女性オブ・インフルエンス賞受賞者が発表」 . CSO Online . 2016年4月4日閲覧
  37. ^ “ケイティ・ムスリース” .フォーブス
  38. ^ “NCSC” . 2017年9月24日時点のオリジナルよりアーカイブ2017年9月24日閲覧。
  39. ^The Wolves of Vuln Street: ゼロデイ市場の第1回動的システムモデル - USA 2015 - RSAカンファレンス」www.rsaconference.com
  40. ^ 「Black Hat USA 2015」。www.blackhat.com
  41. ^ “Talks | Kiwicon 8” . 2015年2月24日時点のオリジナルよりアーカイブ2016年5月6日閲覧。
  42. ^ Moussouris, Katie (2016年4月). 「すべてのハッカーが悪人なわけではない」 . Time . Time Magazine . 2017年6月19日閲覧
  43. ^ムスリス、ケイティ. 「ハッカーは助けになる」 .ニューヨーク・タイムズ. 2017年6月19日閲覧
  44. ^ Moussouris, Katie (2017年1月31日). 「政権は国際的なサイバー輸出規制の改革を継続的に模索すべき」 . thehill.com . The Hill . 2017年6月19日閲覧
  45. ^ Moussouris, Katie (2016年4月15日). 「地球をハッキングする時が来た」 . Threatpost . 2017年9月24日閲覧。
  46. ^ジェーン・マンディ(2015年9月21日)「マイクロソフト、女性差別で告発される」 Lawyersandsettlements.com 201512月11日閲覧
  47. ^ 「マイクロソフト、性差別を理由に集団訴訟で提訴される」 Reuters.com 2015年9月16日。 2015年12月10日時点のオリジナルよりアーカイブ2015年12月11日閲覧。
「 https://en.wikipedia.org/w/index.php?title=Katie_Moussouris&oldid=1326250141」より取得