企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと | ScanNetSecurity
2020.09.24(木)

企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと

脆弱性ハンドリングについては一定のルールが確立されている。グローバルで標準化された枠組みがあるものの、最近ではそれとは違った動きもみられる。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。

研修・セミナー・カンファレンス セミナー・イベント
Blackhat USA2019で、企業とバグバウンティについて語るAdam 'rudd' Ruddermann氏
Blackhat USA2019で、企業とバグバウンティについて語るAdam 'rudd' Ruddermann氏 全 6 枚 拡大写真
 脆弱性を発見した場合の処理、いわゆる脆弱性ハンドリングについては一定のルールが確立され、グローバルで標準化された枠組みがあるが、近年それと少し違った動きがある。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。

●企業に求められるバグハンターとの関係

 もともとは、善意のハッカーが企業に対して、製品やサービスのバグや脆弱性を指摘・報告する動きから始まったバグバウンティ。

 企業側が脆弱性ハンドリングの手順を踏んでいない通報を無視したり、真摯に対応しなかったりすることもある。2019 年夏には、研究者が発見したアシスタントロボットの脆弱性の指摘を受けたホテルが、対応を誤ったため、発見者によって脆弱性を SNS で公開される(当該脆弱性は対応済み)という事案があった。

 バグハンター、脆弱性ハンターの情報を正しく活用すれば、埋もれた脆弱性の発見と迅速な対応が可能になる。発見や検証作業、脆弱性の改修・対策のコストを下げることもできるとして、企業の評価は変わりつつある。

 とくにスタートアップ企業は、オープンソースの活用やソーシャルデバッグによる品質改善はむしろ普通であり、自前で脆弱性の発見対応および管理体制を作るより、報奨金・懸賞金で脆弱性を買ったほうが合理的という考え方が検討されている。

 しかし、企業が懸賞金や報奨金を出して脆弱性を購入するという行為は、日本の商習慣では馴染みが薄い。また、脆弱性の発見者がすべて善意のハッカーとは限らない。場合によっては、支払った懸賞金が、反社の資金源となる可能性もあり、コンプライアンス上の問題を指摘する声もある。

 企業のセキュリティ担当者や法務担当者は、脆弱性報告に報酬を払うべきか、脆弱性ハンターとどう向き合えばよいのだろうか。今夏開催された Blackhat USA 2019 の Briefings の注目セッション「 Planning a Bug Bounty The Nuts and Bolts from Concept to Lounch 」をベースに整理したい。

 なお、発表者のAdam 'rudd' Ruddermann 氏は、セキュリティコンサルティングを手掛ける NCC グループに所属。Bug Bounty Service Practice の部長を務める。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

    事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

  2. 社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

    社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

  3. まさに「おつかれさま」9万件のPDFの次は工事図面の全庁調査実施(新潟県)

    まさに「おつかれさま」9万件のPDFの次は工事図面の全庁調査実施(新潟県)

  4. Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN)

    Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN)

  5. 10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA)

    10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA)

  6. パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

    パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

  7. 閉鎖済みの「魚匠庵WEBサイト」から3,000件以上のカード情報流出(博多まるきた水産)

    閉鎖済みの「魚匠庵WEBサイト」から3,000件以上のカード情報流出(博多まるきた水産)

  8. わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省)

    わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省)

  9. LINEアカウントへ不正ログイン試行、日本が41,204件でTOPに(LINE)

    LINEアカウントへ不正ログイン試行、日本が41,204件でTOPに(LINE)

  10. 「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール)

    「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール)

ランキングをもっと見る