企業とホワイトハッカーを結ぶ 日本初のバグ報奨金プラットフォーム BugBounty.jp

サイバーセキュリティエンジニアブログ

bugbounty.jp

バグバウンティについて

バグ報奨金制度を始めたい企業の疑問にお答えします!

Jun 7, 2017 08:00 by 山口 達也

バグ報奨金制度に興味を持つ企業が増え、お問い合わせが増えています。
そこで本記事では、バグ報奨金制度に関心のある企業が疑問を持つ点をQ&A形式でお答えします。

Q1. どのくらいのバグ報告がきますか?
Q2. 始めるにあたりセキュリティの専門知識は必要ですか?
Q3. 報告をしたハッカーとサイト上で連絡可能ですか?
Q4. どういうサービスがバグ報奨金制度に向いていますか?
Q5. 報奨金額はどのように決定しますか?
Q6. バグ報奨金制度に参加することにより、サービスが利用不能などシステムが危険にさらされることはありませんか?
Q7. 診断用環境を用意するべきですか?

 


Q1. どのくらいのバグ報告がきますか?

A1. プログラムによりばらつきがあります。
これまでの実績ベースでは、開始から2、3日ぐらいまでは1日に数十件、その後は徐々に報告件数は落ち着き、スタートして1ヶ月後以降は月に数件程度です。

Webアプリケーションは報告が多い傾向にあります。
過去に実施したプログラムと総報告数、有効報告数は各プログラムの概要ページに公開していますのでご参考ください(プログラム一覧から各プログラムをクリックすると、プログラム概要ページに移動します)。

サイトの規模や機能数も報告数に影響します。
例えば、スプラウトのBugBounty.jpでは総報告数が74件に対して、THE ZERO/ONEは総報告数が13件です。どちらも2015/12/09〜2017/06/05の期間に報告された件数です。
報告件数の違いは、機能数、画面数がBugBounty.jpの方が多いことに起因します。BugBounty.jpにはユーザーの登録、ファイルアップロードなど多数の機能・画面があります。

ハッカーの登録数は日々増えているため、今後のプログラムではさらに報告数が増えるでしょう。

 


Q2. 始めるにあたりセキュリティの専門知識は必要ですか?

A2. 必要ですが、スプラウトがサポートするオプションを用意しているため、必須ではありません。

ハッカーから報告された脆弱性が再現するかどうか、攻撃に悪用された場合のビジネスへの影響度を調査し、報奨金の認定対象とするかどうか、報奨金額をいくらにするかなどを判断する必要があります。
これらの判断には、セキュリティの専門知識が必要となります。

報告されたバグに関して第三者の判断を必要とする場合は、「トリアージ・サービス」オプションを利用することで、スプラウトに所属するセキュリティ専門家がサポートします。

トリアージ・サービスは、ハッカーから報告された脆弱性の危険度や攻撃容易性、影響範囲、一般的な対策をまとめるとともに、妥当な報奨金額を提案します。企業はその提案を参考にして最終的な決定をします。

自社で判断できる内容の際は社内で報告の精査を行い、判断が難しい場合にはトリアージ・サービスを利用することができます。

 


Q3. 報告をしたハッカーとサイト上で連絡可能ですか?

A3. 可能です。

ハッカーとのやり取りは全てサイト上で行います。

ハッカーに連絡する例として、不足している情報を追加で依頼することや、認定対象外とした理由を説明するなどが挙げられます。

世界中のハッカーが参加するため、海外からの報告の多くは英語でやり取りします。
ハッカーとのコミュニケーションが負担になる場合には、トリアージサービスをご利用いただければスプラウトがサポートします。

 


Q4. どういうサービスがバグ報奨金制度に向いていますか?

A4. セキュリティを考慮して設計・開発されたサービスが向いています。

バグ報奨金制度は、発見される脆弱性が多いほど企業の負担(バグの精査に係る人的リソース、報奨金支払いのコスト)となります。そのため、セキュリティ観点で検査していない場合は、先にセキュリティ診断を実施することをお勧めします。

仮にセキュリティ診断を一度も実施していない、もしくは実施してから数年経過しているような場合もご安心ください。

スプラウトでは、BugBounty.jpに参加する企業様向けにプレ診断をオプションとして用意しています。
プレ診断では、脆弱性の種類を可能な限り検出し、プログラム開始時までに大量検出のリスクを軽減することが目的です。診断期間は3日間で、価格は30万円を基本※1とし、通常の診断よりも割安で、かつ短期間で実施します。
コストパフォーマンスを重視したお得なオプションです。

※1 規模が大きい場合には日数を増やすことも可能です(1日あたり10万円増額)。

 


Q5. 報奨金額はどのように決定しますか?

A5. 共通脆弱性評価システムCVSSv3の基本値に応じた報奨金額を決定します。

CVSSv3では、脆弱性が悪用された場合に与える影響の大きさや攻撃の難易度から、脆弱性の深刻度を0〜10.0の数値で表します。詳細はIPAのサイトをご確認ください。

参加するハッカーと企業の双方が納得できる金額とするため、脆弱性に対応する汎用的な報奨金額の指標を全ての参加企業にお伝えしています。
指標を参考にし、最終的な金額は参加企業側で決定します。

 


Q6. バグ報奨金制度に参加することにより、サービスが利用不能などシステムが危険にさらされることはありませんか?

A6. 診断中は対象サービスに対して様々な操作や入力が行われるため、システムに不具合が発生する(例として、高負荷になる、応答不能になる、など)可能性があります。

BugBounty.jpは多数のハッカーが診断を行うため、上記の不安を感じる企業の方もいるでしょう。
システムに影響を与えるリスクを下げるため、BugBounty.jpでは3つの対策を提案します。

・ 診断用環境を用意する
診断用環境を準備するか、本番環境で実施するかは企業の判断にお任せします。
判断の材料として、後述する「診断用環境を用意するべきか?」をご参考ください。

・ ハッカーにルールを指定する
各プログラムにルールを明示できます。

ルールの例)
– 購入処理など重要な確定処理に関しては最小限の実行にする
– ツールを用いての繰り返し処理は禁止

ルールの作成は、弊社のこれまで運用してきたノウハウを基にお手伝いします。不安点がありましたら、事前にご相談ください。

・ プライベートプログラムを利用する
これまでの実績(獲得したポイントなどを利用)を基に「信頼できるハッカー」のみ参加可能とする仕組みです。バグ報奨金制度のメリットである「多数のハッカーからの調査」を生かしつつ、最大参加人数を制御して調査を依頼します。

 


Q7. 診断用環境を用意するべきですか?

A7. 目的と状況に合わせて、本番環境・診断用環境どちらで実施するのかを選択します。

どちらを選択するのがよいかの判断には、下記のメリット・デメリットをご参考ください。

メリット デメリット
本番環境で実施 ・ 実際の攻撃者と同じ条件で診断を実施できる
・ 診断用に新たな環境を用意する手間を省ける
・ 予期せぬ障害が発生する恐れがある
・ サービス利用目的ではないデータが登録される恐れがある※2
・ WAF、IDS、IPSの対応※3が必要となる
診断用環境で実施 ・ プログラムの不具合によりサービス不能となった場合にも本番環境には直接影響を与えない※4
・ 診断に際して細かいルールを設定する必要がない
・ 診断用に外部から接続可能な環境を用意する必要がある
・ 本番環境では発生しない問題を報告される可能性がある

※2 実データと見分けるため、診断データには「診断用」など特定文字列を含めることをルールに定めておく
※3 診断行為に対するアラートが増加する可能性があるため、プログラム期間中のみ設定を変更するなどの対応を実施する
※4 診断用環境と本番環境が物理的にも完全に切り離されており、お互いに影響を与えない状態にしておく

企業が感じる代表的な疑問・不安にお答えしました。
その他、BugBounty.jpサイトに用意しているFAQページも合わせてご確認ください。
サービス・製品固有の悩みなど、ここで紹介した以外にご質問がありましたら、弊社までお気軽にお問い合わせください。

📞 03-6450-4175
✉️ sales@bugbounty.jp

この記事をシェアしませんか?

  • 0

この記事のライター

山口 達也

山口 達也

趣味はドローンです。

同じカテゴリーの記事