企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと | ScanNetSecurity
2020.07.13(月)

企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと

脆弱性ハンドリングについては一定のルールが確立されている。グローバルで標準化された枠組みがあるものの、最近ではそれとは違った動きもみられる。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。

研修・セミナー・カンファレンス セミナー・イベント
Blackhat USA2019で、企業とバグバウンティについて語るAdam 'rudd' Ruddermann氏
Blackhat USA2019で、企業とバグバウンティについて語るAdam 'rudd' Ruddermann氏 全 6 枚 拡大写真
 脆弱性を発見した場合の処理、いわゆる脆弱性ハンドリングについては一定のルールが確立され、グローバルで標準化された枠組みがあるが、近年それと少し違った動きがある。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。

●企業に求められるバグハンターとの関係

 もともとは、善意のハッカーが企業に対して、製品やサービスのバグや脆弱性を指摘・報告する動きから始まったバグバウンティ。

 企業側が脆弱性ハンドリングの手順を踏んでいない通報を無視したり、真摯に対応しなかったりすることもある。2019 年夏には、研究者が発見したアシスタントロボットの脆弱性の指摘を受けたホテルが、対応を誤ったため、発見者によって脆弱性を SNS で公開される(当該脆弱性は対応済み)という事案があった。

 バグハンター、脆弱性ハンターの情報を正しく活用すれば、埋もれた脆弱性の発見と迅速な対応が可能になる。発見や検証作業、脆弱性の改修・対策のコストを下げることもできるとして、企業の評価は変わりつつある。

 とくにスタートアップ企業は、オープンソースの活用やソーシャルデバッグによる品質改善はむしろ普通であり、自前で脆弱性の発見対応および管理体制を作るより、報奨金・懸賞金で脆弱性を買ったほうが合理的という考え方が検討されている。

 しかし、企業が懸賞金や報奨金を出して脆弱性を購入するという行為は、日本の商習慣では馴染みが薄い。また、脆弱性の発見者がすべて善意のハッカーとは限らない。場合によっては、支払った懸賞金が、反社の資金源となる可能性もあり、コンプライアンス上の問題を指摘する声もある。

 企業のセキュリティ担当者や法務担当者は、脆弱性報告に報酬を払うべきか、脆弱性ハンターとどう向き合えばよいのだろうか。今夏開催された Blackhat USA 2019 の Briefings の注目セッション「 Planning a Bug Bounty The Nuts and Bolts from Concept to Lounch 」をベースに整理したい。

 なお、発表者のAdam 'rudd' Ruddermann 氏は、セキュリティコンサルティングを手掛ける NCC グループに所属。Bug Bounty Service Practice の部長を務める。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. なぜハードディスクは消えたのか、これからもまた消えるのか

    なぜハードディスクは消えたのか、これからもまた消えるのか

  2. 情報漏えいにつながる危険な PDF 利用 - Microsoft Word 網掛け機能誤解、情報公開し注意喚起(大船渡市)

    情報漏えいにつながる危険な PDF 利用 - Microsoft Word 網掛け機能誤解、情報公開し注意喚起(大船渡市)

  3. 「サイバー空間でも逃さない」令和2年度サイバー犯罪捜査官、採用選考受付8月3日から(大阪府警察)

    「サイバー空間でも逃さない」令和2年度サイバー犯罪捜査官、採用選考受付8月3日から(大阪府警察)

  4. 石川県と兵庫県の一部エリアで電話・FAXの誤着信が発生(NTT西日本)

    石川県と兵庫県の一部エリアで電話・FAXの誤着信が発生(NTT西日本)

  5. 汚染された Tor ブラウザ、狙われるダークウェブ利用者

    汚染された Tor ブラウザ、狙われるダークウェブ利用者

  6. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  7. 新たにBYOD端末からの不正アクセスが判明(NTT Com)

    新たにBYOD端末からの不正アクセスが判明(NTT Com)

  8. 最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

    最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

  9. 複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

    複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

  10. ハンコや対面など日本のビジネス習慣の精神論を抜本的見直し、共同宣言発表(経団連、新経済連盟ほか)

    ハンコや対面など日本のビジネス習慣の精神論を抜本的見直し、共同宣言発表(経団連、新経済連盟ほか)

ランキングをもっと見る