企業とホワイトハッカーを結ぶ 日本初のバグ報奨金プラットフォーム BugBounty.jp

サイバーセキュリティエンジニアブログ

bugbounty.jp

バグバウンティについて

バグ報奨金制度はなぜ誕生し注目を集めているのか?

Jul 11, 2016 10:00 by 小西明紀

バグ報奨金制度とは、セキュリティ上問題となる欠陥(脆弱性)の発見を世界中のハッカーに依頼し、発見されたバグの重要度に応じて、報奨金を支払う仕組みのことです。

バグ報奨金制度は2000年頃から広まりました。現在、Google、Facebook、Microsoftなど、多くの企業で実施され、多額の報奨金がハッカーに支払われています。

日本においても、2013年からサイボウズが、2015年にはLINEが実施し、注目を集めており、今後も実施企業が増加していくことでしょう。

サイバーセキュリティの重要性が社会的にも指摘され、ハードウェア・ソフトウェアの脆弱性を放置するリスクは計り知れません。

よって、それらに対するセキュリティ診断の実施は欠かせないものとなっています。

利用者が多く、社会的にも影響力が強い前述の有名企業においては、かなりの予算をそこに割いていると考えられます。

しかし、一般的なバグ同様、どれだけ診断を実施しても脆弱性がゼロにはなかなかなりません。

運用環境や利用者が限られているサービスや製品であればまだしも、インターネット上に公開されているアプリケーションは常に攻撃の脅威にさらされているため、脆弱性が残っていないか、常にチェックし続ける必要があります。これは企業にとって大きな負担です。

shutterstock_362210786

セキュリティ企業による定期的な診断・専門家による監査の実施は、その最も一般的で最良なチェック手法の一つといえます。

しかし、なぜ有名企業はプロによるチェックを受けているにも関わらず、バグ報奨金制度を利用するのでしょうか。

一般的なセキュリティ診断とバグ報奨金制度の差を比較すると、両者の目的は同じですが、多くの面で異なっているのです。

一般的なセキュリティ診断 バグ報奨金制度
成果にかかわらず一定 コスト 成果報酬制
網羅性 不透明
担当の診断員に依存しがち 属人性 世界中不特定多数のハッカーが実施
コストの観点からむずかしい 継続性 成果報酬のため継続しやすい
監査証明として有効 監査性 監査証明としては弱い

専門家による定期的な監査はセキュリティ対策の中でも中核をなす、欠かすことのできないものの一つです。けれども診断はその性質上、カバーできない部分が存在します。

一般的な診断の苦手とする部分をバグ報奨金制度は、補完することが可能なのです。

もちろん、一方の手法に多くのコストをかけていくことで、目的とする結果を得られるケースもあります。

ですが、多くの場合は両者に適切なコストを振り分けることで、より良い結果、例えば想定もしなかった脆弱性によるリスクの回避が行えるなどの結果を得ることができるのです。

このような利点から、バグ報奨金制度は多くの企業で評価され、採用されています。

しかし、すべての企業が採用可能かと問われれば、一定のハードルがあるため採用できない企業もあります。

バグ報奨金制度における導入ハードルとしては、以下が想定されます。

1. 予算の確保

2. 社内各所への調整

3. やりとりを行う窓口の構築(受付サイト構築など)

4. 脆弱性の知識を要する専門スタッフの確保

5. 報奨金額など各種基準の整備

上記のうち、1、2に関しては、一般的なセキュリティ診断においても生じる課題ですが、バグ報奨金制度では、さらに3~5が追加で生じるため、より導入困難なケースが出てくることもあります。

米国でバグ報奨金制度が浸透していくにつれ、その導入をサポートするクラウド型のサービスも立ち上がりはじめました。この背景は上記の理由が影響したためでしょう。

BugBounty.jpも日本初のバグ報奨金プラットフォームのクラウドサービスとして昨年末(2015年)よりスタートしました。

その目的は主として、3~5にあたる課題を企業に代わって担うことで、バグ報奨金制度の普及を促進し、参画企業のセキュリティに寄与することにあります。

私は以前、セキュリティ専業の企業にて、監査を担っており、自らの業務がとても重要で意義あるものと感じる一方、行き届かない部分もあると感じていました。

そんな中、バグ報奨金プラットフォームの運営に携わる機会を得ました。一般的な診断とバグ報奨金制度、それぞれの利点・欠点を知る身として、BugBounty.jpを通じ、日本における普及に尽力していきたいと考えています。

そして、今回よりスタートする当ブログでは、BugBounty.jpの最新動向に加え、ハッカー側・参画企業側、双方へ向けた各種Tipsも掲載していく予定ですので、ぜひご一読ください。

この記事をシェアしませんか?

  • 0

この記事のライター

小西明紀

小西明紀

セキュリティ歴6年。かわいい猫を二匹買っています。最近猫のために家買いました。

同じカテゴリーの記事