企業とホワイトハッカーを結ぶ 日本初のバグ報奨金プラットフォーム BugBounty.jp

サイバーセキュリティエンジニアブログ

bugbounty.jp

バグバウンティについて

BugBounty.jpってどんなサービス?

May 22, 2017 15:00 by 山口 達也

「BugBounty.jp」は、バグ報奨金制度のプラットフォームです。
ウェブサービスやアプリケーション、IoT製品のバグを発見したい企業と、善意のハッカー(セキュリティ専門家やバグハンター)をマッチングします。

企業はバグを発見したい対象をプログラムとして登録し、ハッカーは対象プログラムに対して発見したバグ情報を報告します。バグ情報の報告者には、企業から報奨金が支払われます。

図1. BugBounty.jpの利用イメージ図

 
現在バグ報告受付中のプログラムは「プログラム一覧」から確認できます。
弊社もBugBounty.jpをバグ報奨金対象プログラムとして登録しています。

BugBounty.jp(株式会社スプラウト)プログラム概要

企業は調査対象のプログラム情報、募集期間、調査上でのルール(禁止する行為を含む)、認定対象と報奨金額の目安(任意で記載)、認定対象外などの情報をあらかじめ登録して、募集を開始します。

ハッカーはプログラム概要に記載されたルールに従い、調査を行います。バグを発見した場合には、BugBounty.jpのサイトにログイン後、プログラム概要のページにある「バグを報告する」ボタンをクリック(図2)してバグ情報の登録を行います(図3)。


図2. プログラム概要ページの「バグを報告する」ボタン

 


図3. ハッカーのバグ報告画面

 
バグ報告には、脆弱性の種類、対象箇所、報告内容とともに、現象発生時の状態のスクリーンショットを一緒に送付することができます。

バグの報告を受け取った企業は、ハッカーから報告された内容を精査し、バグを認定対象とするのか、対象外とするのかの判断をします。また複数のハッカーから同じバグの報告を受けた場合には、最初の報告、あるいは、ほぼ同時期に報告された複数のレポートのうち品質の高いレポートのみを認定対象とし、その後の報告は重複として処理します。重複として処理された報告は、報奨金支払対象外ですが、ハッカーに紐づくサイトポイントが1ポイント加算されます。ポイントはハッカーのランキングに反映されます。

ハッカーとして参加する方法

  1. サインアップページからユーザー登録
  2. プログラム一覧から、報告受付中のプログラムを確認
  3. ルールを守って、調査を実施
    調査方法を知りたい場合は、「ホワイトハッカー入門」のブログをチェック
  4. 見つけたバグ情報をBugBounty.jpのサイトより登録
  5. サイト上で報告のステータスを確認
    企業とのコミュニケーションは全てサイト上で行う

 
ハッカーとして登録した後は、下記の機能を利用することができます。

  • 情報の確認・編集:公開情報の編集、報告した脆弱性情報の一覧、報告した各脆弱性情報の詳細とステータス確認(対応状況や支払い状況など)
  • 公開される情報:プロフィール、獲得ポイント、有効報告件数

 

企業として参加する方法

企業の参加方法は次のブログをご参考ください。

世界中の“善意のハッカー”に自社サービス・製品の脆弱性調査を依頼する「バグ報奨金制度」を始めませんか?
 
サイトに登録した後は、下記の機能を利用することができます。

  • 情報の確認・編集:公開情報の編集、受け取った脆弱性情報の一覧、受け取った各脆弱性情報の詳細とステータス管理(対応状況や支払い状況など)、トリアージ依頼
  • 公開される情報:企業案内、サービス・製品説明、調査対象の範囲(期間、URLなど)、調査方法の規定(攻撃手法の限定など)、報奨金額の基準、報奨金総額(予算)、過去の報告件数
  •  

また、企業向けサービスとして、以下のオプションを用意しております。

  • プライベートプログラム(無償)
    条件を満たす特定のハッカーにのみプログラム概要を公開して、調査を依頼する方式です。これまでの実績(獲得したポイントなどを利用)を基に「信頼できるハッカー」のみ参加可能とする仕組みです。バグ報奨金制度のメリットである「多数のハッカーからの調査」を生かしつつ、最大参加人数を制御して調査を依頼します。
  • プレ診断(有償)
    プログラム開始前に、弊社のセキュリティエンジニアが簡易診断を行います。脆弱性の種類をなるべく検出し、プログラム開始時までに大量検出のリスクを軽減することが目的です。通常の診断よりも割安で、かつ短期間で実施します。
    コストパフォーマンスを重視した非常にお得なオプションです。
  • トリアージサポート(有償)
    報告されたバグに関して第三者の判断を必要とされる場合、スプラウトに所属するセキュリティ専門家がサポートするサービスです。脆弱性の危険度や攻撃容易性、影響範囲、一般的な対策をまとめるとともに、妥当な報奨金額を提案します。企業はその提案を参考に最終的な決定を行います。
  •  

    BugBounty.jpの参加企業は、スピーディに製品やサービスのセキュリティを向上させられます。さらに、自社でバグ報告受取窓口を準備したり、報奨金の支払管理をするといった煩雑な業務から解放されます。サイトは日本語と英語に対応しているため、日本国内だけでなく海外のハッカーからの協力を得ることも可能です。”悪意あるサイバー攻撃”を受ける前に、ぜひセキュリティ対策の一つとしてご活用ください。

    この記事をシェアしませんか?

    • 0

    この記事のライター

    山口 達也

    山口 達也

    趣味はドローンです。

    同じカテゴリーの記事