Dayz株式会社
代表取締役
玉城朝 氏

参加を決めたきっかけを教えてください？

今年の5月に、東京ビックサイトで開催された「情報セキュリティ EXPO」に参加したのですが、そこに出展していたスプラウトのブースでBugBounty.jpについていろいろと話を聞いたのがきっかけの1つです。ただ、BugBounty.jpのサービスそのものは、メディアなどを通じて事前に知っていました。

弊社がリリースしているブラウザー「Kinza」は、Google Chromeのベースにもなっている「Chromium」を元に開発しているオリジナルの国産Webブラウザーです。Kinzaの開発は、ユーザーからの声を反映させる形で進めています。マウスジェスチャーやスーパードラッグといった機能も利用者の声を元に、実装しました。この「みなさまの声」を取り入れることが、Kinzaの特徴の1つだと言えます。そういう観点からも、外部のホワイトハッカーからセキュリティの修正を受け取ることができるBugBounty.jpは、Kinzaとの相性が良いと考え、参加することを決めました。

参加にあたっての不安な点はありましたか？

ホワイトハッカーの人たちから脆弱性報告があった場合、実際にそれを修正できるのかどうか、という不安がありました。つまり、今まで自分たちで開発をやってきたため、外部からの指摘を上手く理解し、社内のリソースが対応できるかという不安です。規模が大きい会社であれば、セキュリティ対策にリソースを当てることができるかもしれませんが、中小の企業だと難しい場合があると思います。

また、BugBounty.jpの担当者の方から、ホワイトハッカーに登録している人たちの中には、英語圏の人も多いと聞いていました。もし英語の報告が多数きたら、弊社で対応できるかも心配でした。しかし、弊社に限って言えば報告のほとんどが日本語だったため、その心配は杞憂に終わりました。

実際に運用してみての効果はいかがでしたか？

これまで9件の報告がきて、4件を脆弱性として認定しました。それらのレポートを反映し、脆弱性を修正したKinza 3.4.0を9月21日にリリースしました。これらの報告により、今後の開発における注意点が理解できたのは、大変意義深いことです。

運用に際しての苦労した点はありますか？

ホワイトハッカーから報告してもらった脆弱性情報を認定し、その重要度に応じて報奨金額を決定することには頭を悩ましましたね。どれ位の金額に設定したら良いのか？　我々が認定した金額がホワイトハッカーに対して納得する額なのか？　などは非常に気にしました。ホワイトハッカーに連絡する際も、非対面でのメッセージのやり取りになるため、コミュニケーション面での難しさも感じました。

また、報告された脆弱性報告の1つは英語圏のホワイトハッカーからのものでした。Kinza開発チームは、日本人スタッフのみで構成されているため、英語での連絡は苦労しました。事実をベースにしたコミュニケーションとはいえ、微妙な文章のニュアンスや温度差の違いなどに配慮をしました。やはり、これも対応するリソースがとられるため、BugBounty.jpのシステムなどを改善・機能追加してもらい、少ない労力で海外の人と上手に連絡を取り合う方法を考えてもらえたら助かります。

実施してみての率直な感想をお願いします。

今までにこのようなセキュリティの取り組みをやったことがなかったので、プログラムを中立公正に運営することは、なかなかハードルの高いものでした。ホワイトハッカーの人たちに対するメッセージのやりとりにも、対応する企業側にセキュリティやバグ、脆弱性などに関する知識が求められます。その他にも、プログラムを運営していくうえで、細々とした疑問や不安もでてくるので、このあたりの不安を上手く解消してくれるサポートをもっと強化してもらえると嬉しいですね。

今後の展望をお聞かせください。

今回は9月30日で、いったんプログラムを終了させてもらいますが、また再開したいと考えています。ホワイトハッカーからどのような場所が指摘されるか、そのノウハウが得られたので、これに注意しながら開発を続けていきたいと思います。BugBounty.jpに参加し、不安な点やシステムの改善点は感じましたが、デメリットはありませんでした。