企業とホワイトハッカーを結ぶ 日本初のバグ報奨金プラットフォーム BugBounty.jp

サイバーセキュリティエンジニアブログ

bugbounty.jp

バグバウンティについて

バグ報奨金プラットフォームの先輩、HackerOneとCobaltを訪ねてきた

Aug 22, 2016 08:00 by 小西明紀

先日、ラスベガスで開催された、BSidesLV、BlackHat USA 2016、DEF CON 24に参加しました。

海外カンファレンスは最先端の情報に触れられる場所であると同時に、リレーション構築の場でもあります。

1週間ほどの間、カンファレンス参加者とのリレーションを図る中で、BugBounty.jp同様にバグ報奨金プラットフォームを運営する3社とも現地でお話しすることができました。

そしてイベント終了後はシリコンバレーにある、バグ報奨金プラットフォーム大手2社に訪問。貴重な話を聞いてきました。

世界最大級のバグ報奨金プラットフォーム 「HackerOne」

HackerOne2012年からサービスを開始したバグ報奨金プラットフォームです。

バグ報奨金プラットフォームの規模はおそらく世界一で現在公開されているプログラム数は150(非公開も加えると300以上と推測)、支払われた報奨金の総額は900万ドルに上ると言われています。

名だたる有名企業がプラットフォームに参加し、最近では、米国国防総省が参加したことで大きな話題となりました。

また先日のラスベガスでは、ホテルのスイートルームに30人以上のハッカーを集め、Panasonicをはじめとする企業のプログラムに対して、ハッカソンを開催したりするなど、常に話題を提供し続けています。

そんなHackerOneのオフィスに訪問し、CFO/COOのNing Wan氏とお話する機会を得ました。

IMG_0551写真1. HackerOneのオフィス入り口

オフィスはコワーキングスペースの一角にあり、ガラス張りで非常に開放的となっています。

また、シリコンバレーのIT企業らしくシンプルかつオシャレでカフェスペースがあり、大きな冷蔵庫にはドリンク・軽食類がストックされていました。

IMG_0552
写真2. HackerOneのカフェスペースにて

写真1の奥に見える全面ガラス張りの会議室にて、HackerOneの取り組み・今後の展望などをWan氏と1時間ほど話しました。

弊社サービスBugBounty.jpに対してもいくつかのアドバイスをいただきました。

HackerOneはハッカーに対する施策に力をいれており、その部分でいくつか先進的な取り組みを行っているようでした。

また、公開されていないプログラムも非常に多いとのことで、米国における非公開プログラムへのニーズについても教えてくれました。

全体的に規模の大きな話が多い一方、弊社がBugBounty.jpを運営してきた中で感じてきた懸念や認識において、共通する部分も多かったことはとても印象的でした。

高い品質を提供するバグ報奨金プラットフォーム 「Cobalt」

Cobaltはシリコンバレーにオフィスを構えるセキュリティ企業であり、2013年からバグ報奨金プラットフォームを立ち上げ、サービスを提供しています。

同じくバグ報奨金プラットフォームを提供する、HackerOne、Bugcrowdとは少し毛色の違うプラットフォームを提供しており、注目を集めています。

参加している企業も金融・決済・ビットコイン系が多くなっており、これらの分野へのつながりも深いことがうかがえます。

そんなCobaltには、シリコンバレー滞在も終わりに近い4日目に訪問しました。

そして、CTOのChristian Hansen氏と、1時間ほど互いのサービスについてあれこれお話をしました。

IMG_0577写真3. CobaltエントランスにてHansen氏と

Cobaltはバグ報奨金制度だけではなく、ペネトレーションテストなど他のサービスを組み合わせて、顧客のニーズにあったサービスを提供しています。

バグ報奨金制度は、基本的にプライベートプログラムとなっており、登録ハッカーについても詳細プロフィールを必須とするなど、より信頼性の高いサービスを提供しています。

他の2社と比較すると少し小規模ではあるものの、他社にないユニークなサービスを提供しており、また今後についても先進的なアイデアを持っている印象でした。

つい数日前、追加投資を受けることが発表されるなど、さらなる発展が期待できるプラットフォームです。

大手バグ報奨金プラットフォーム 「Bugcrowd」

最後にこちらだけは市内。今回都合が合わず、残念ながら訪問できませんでした。

観光の合間に外観をパシャリ。内部は、Googleで見れますよ!

IMG_0560写真4. Bugcrowdオフィス入り口

訪問を終えて

今回、Bugcrowdには残念ながら訪問できませんでしたが、大手2社に訪問し、お話を聞くことができました。

諸事情により、ここでは語れない内容も多いのですが、お話を聞く中で、弊サービスをより良いものにしていこうと改めて感じました。

実は、HackerOne、Cobaltの2社ともラスベガスのカンファレンス後は、休暇を取得する社員が多いそうです。

そんな中、時間を割いてくださった、Wan氏、Hansen氏に感謝いたします。

この記事をシェアしませんか?

  • 1

この記事のライター

小西明紀

小西明紀

セキュリティ歴6年。かわいい猫を二匹買っています。最近猫のために家買いました。

同じカテゴリーの記事