企業とホワイトハッカーを結ぶ 日本初のバグ報奨金プラットフォーム BugBounty.jp

サイバーセキュリティエンジニアブログ

bugbounty.jp

BugBounty お客様の声

一般的な診断と報奨金制度の組み合わせがベスト(エイベックス・グループ・ホールディングス株式会社)

Dec 26, 2016 09:00 by 岡本顕一郎

エイベックス・グループ・ホールディングス株式会社
経営情報管理本部 ITシステム部 セキュリティ課 課長
橋本健治氏


参加を決めたきっかけを教えてください?

コンピュータフォレンジック研究会」の、懇親会の席でスプラウトの方がいて、そこでBugBounty.jpを知りました。FacebookさんやGoogleさんがバグ報奨金制度を利用しているのは知っていました。スプラウトさんが日本でもバグ報奨金プラットフォームを立ち上げるとのお話でしたので、弊社でも試してみたいなと考えました。

事業部側のシステム担当者からも、過去に脆弱性診断したサイトが本当に大丈夫なのか、との声もありました。そこでBugBounty.jpを利用して、チェックしてみようと考えました。

BugBounty.jpに参加する前と決定した後に、社内での調整や苦労した点はありますか?

弊社では、個人情報に関連しているシステムに対しては、リリース前には必ず脆弱性診断を行い、その後も定期的に診断を行っています。BugBounty.jpを申し込んだシステムは、その頃、定期診断を実施しようとしていた時期であり、なんらかのアクションを考えていました。ちょうど、BugBounty.jpの話を聞いたので、定期診断としてBugBounty.jpを利用してみようとなりました。当システムの担当者もバウンティに興味を持ってもらったので、社内から不安の声があがったり、調整に手間取ったりなどはありませんでしたね。

ただ、BugBounty.jpに登録しているリサーチャーが本番環境で脆弱性診断を行うことで、システムが落ちてしまう危険性などは想定されました。それらリスクについては担当者に伝えました。担当者は「そもそも公開しているシステムであり常に攻撃を受けている」からと、OKを出してくれ報奨金プログラムを公開することができました。

3ヵ月間運用されて、良かった点はありますか?

過去に脆弱性診断を受けていたサービスを対象にしたのですが、いろいろな弱点を指摘されました。

脆弱性診断サービスは必要なものです。しかし、脆弱性診断会社には失礼かもしれませんが、会社として提供されているサービスには、価格競争力のある「提供価格」があり、その中から利益を生む必要があります。そのため、期間や人員を限定して脆弱性診断を実施することになります。そのため、どんなに頑張っても漏れが出てくる可能性があることを否めないと私は考えています。その点、BugBounty.jpは登録しているリサーチャー達の多くの目で、より長い期間に、いろいろな手法で確認してくれます。結果として漏れが少なくなるので、これは良かったと思います。

バグ報奨金制度を使ったセキュリティチェックは、一般的な脆弱性診断とくらべて網羅性が低いという意見もありますが、弊社は過去に診断をやっていたのでこの心配はありませんでした。それよりも、脆弱性診断サービスの取りこぼしを無くすという点が重要でした。理想のスタイルとしては、もし新規にシステムやサービスをリリースするのであれば、一度しっかりと一般的な脆弱性診断を行い、それから定期的にバグ報奨金を使ったチェックを行えばよいと考えています。

BugBounty.jpに参加して苦労した点はありますか?

苦労した点はいくつかあります(笑)。まず想定よりもバグがたくさん出たことでしょう。今回の調査対象が古いシステムだったこともあり、たくさん出てしまいました。

「実際に攻撃者からするとお金にもならない」脆弱性が報告されることも多いです。しかし、お金にはならなくても、利用者を不安にさせて、ブランドをおとしめることになるかもしれません。
これら脆弱性に対する対応要否の判断において、開発部隊や事業部との調整・最終的な判断が大変でした。特にCSRFの判断が難しかったです。CSRFの脆弱性が存在する部分が、重要な情報の変更かどうかは、事業部側のリスク判断に任せざるを得ない部分もありました。

また、報奨金額をどのように決定するか、それも難しかったですね。BugBounty.jpでは、報奨金額の大まかな基準について資料を提供されているのですが、それだけでは判断できない部分もありました。情報の重要度も加味すべきかと思う部分があり、例えばある報告において、基準通りでは金額が低いものがあったのですが、内部的に重要度の高いものであっため、当初の報奨金設定よりも多少上乗せしてお支払いしたりしました。

今後の展望など教えてください

年明けになるのですが、別のプログラムを計画しています。
また、他のシステムに関しても、定期診断のフローにのせて通期で実施したいなという思いもあります。

ただ、内部のメンバーだけでやっていこうとすると、いろいろ大変です。報告されたレポートの判断、報奨金額の決定、脆弱性修正指示……などいろいろやらないといけません。可能であればハッカーからの報告を見て、それに質問し脅威の可能性を考えられるぐらいの対応がとれると良いのですが、現実的に難しいですね。

前述のことを行うためには、ある程度の脆弱性診断スキルが必要になってきますが、システムの脆弱性だけを特化して業務をしているわけではありません。我々は少ない人数で、個人情報に関する取り扱い、規定ガイドラインの整備や、各方面からのセキュリティに関する問合せ対応、マルウェア攻撃対策等と、いろいろと忙しく、ある特定のスキルを深化させていくのが厳しい状況です。

そこで今回のプログラムでは、そういった部分をBugBounty.jpの「トリアージ」サービスを利用することで解決しましたが、プラットフォームの存在意義はそういったところにもあると思うので、今後多くのプログラムを実施しようとする中で、さらなる発展を期待しています。

そして、今後バグ報奨金制度自体がますます盛り上がり、バグ報奨金を実施していることがステークホルダーから評価されるようになることを期待します。

この記事をシェアしませんか?

  • 0

この記事のライター

岡本顕一郎

岡本顕一郎

猫とダークウェブが好きなTHE ZERO/ONE編集長。座右の銘は今日やれる事は明日やろう

同じカテゴリーの記事