企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと | ScanNetSecurity
2020.11.28(土)

企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと

脆弱性ハンドリングについては一定のルールが確立されている。グローバルで標準化された枠組みがあるものの、最近ではそれとは違った動きもみられる。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。

研修・セミナー・カンファレンス セミナー・イベント
Blackhat USA2019で、企業とバグバウンティについて語るAdam 'rudd' Ruddermann氏
Blackhat USA2019で、企業とバグバウンティについて語るAdam 'rudd' Ruddermann氏 全 6 枚 拡大写真
 脆弱性を発見した場合の処理、いわゆる脆弱性ハンドリングについては一定のルールが確立され、グローバルで標準化された枠組みがあるが、近年それと少し違った動きがある。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。

●企業に求められるバグハンターとの関係

 もともとは、善意のハッカーが企業に対して、製品やサービスのバグや脆弱性を指摘・報告する動きから始まったバグバウンティ。

 企業側が脆弱性ハンドリングの手順を踏んでいない通報を無視したり、真摯に対応しなかったりすることもある。2019 年夏には、研究者が発見したアシスタントロボットの脆弱性の指摘を受けたホテルが、対応を誤ったため、発見者によって脆弱性を SNS で公開される(当該脆弱性は対応済み)という事案があった。

 バグハンター、脆弱性ハンターの情報を正しく活用すれば、埋もれた脆弱性の発見と迅速な対応が可能になる。発見や検証作業、脆弱性の改修・対策のコストを下げることもできるとして、企業の評価は変わりつつある。

 とくにスタートアップ企業は、オープンソースの活用やソーシャルデバッグによる品質改善はむしろ普通であり、自前で脆弱性の発見対応および管理体制を作るより、報奨金・懸賞金で脆弱性を買ったほうが合理的という考え方が検討されている。

 しかし、企業が懸賞金や報奨金を出して脆弱性を購入するという行為は、日本の商習慣では馴染みが薄い。また、脆弱性の発見者がすべて善意のハッカーとは限らない。場合によっては、支払った懸賞金が、反社の資金源となる可能性もあり、コンプライアンス上の問題を指摘する声もある。

 企業のセキュリティ担当者や法務担当者は、脆弱性報告に報酬を払うべきか、脆弱性ハンターとどう向き合えばよいのだろうか。今夏開催された Blackhat USA 2019 の Briefings の注目セッション「 Planning a Bug Bounty The Nuts and Bolts from Concept to Lounch 」をベースに整理したい。

 なお、発表者のAdam 'rudd' Ruddermann 氏は、セキュリティコンサルティングを手掛ける NCC グループに所属。Bug Bounty Service Practice の部長を務める。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 三菱電機契約のクラウドサービスに不正アクセス、取引先情報流出

    三菱電機契約のクラウドサービスに不正アクセス、取引先情報流出

  2. 「これまでPPAP推奨したことはない」旨をプライバシーマークのJIPDECが明言

    「これまでPPAP推奨したことはない」旨をプライバシーマークのJIPDECが明言

  3. 「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート

    「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート

  4. カプコンへのランサムウェア攻撃で最大35万件の情報流出、「Ragnar Locker」から身代金要求

    カプコンへのランサムウェア攻撃で最大35万件の情報流出、「Ragnar Locker」から身代金要求

  5. 最もよく使われているパスワード、「ポケモン」「NARUTO」「遊戯王」ランクイン

    最もよく使われているパスワード、「ポケモン」「NARUTO」「遊戯王」ランクイン

  6. 「Peatix」に不正アクセス、最大677万件のユーザー情報流出

    「Peatix」に不正アクセス、最大677万件のユーザー情報流出

  7. 昇給見送りの腹いせ、システム改ざんしたブリティッシュ・ビジネス・バンクの IT ワーカー 裁判の行方

    昇給見送りの腹いせ、システム改ざんしたブリティッシュ・ビジネス・バンクの IT ワーカー 裁判の行方

  8. 国税庁をかたるフィッシングを確認、「払い戻しの通知」メールに注意を呼びかけ

    国税庁をかたるフィッシングを確認、「払い戻しの通知」メールに注意を呼びかけ

  9. 保険代理店業務受託会社の顧客管理システムへ不正アクセス

    保険代理店業務受託会社の顧客管理システムへ不正アクセス

  10. 「リフォームブックス」に不正アクセス、約1年分の決済情報が流出

    「リフォームブックス」に不正アクセス、約1年分の決済情報が流出

ランキングをもっと見る