脆弱性を発見した場合の処理、いわゆる脆弱性ハンドリングについては一定のルールが確立され、グローバルで標準化された枠組みがあるが、近年それと少し違った動きがある。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。
●企業に求められるバグハンターとの関係
もともとは、善意のハッカーが企業に対して、製品やサービスのバグや脆弱性を指摘・報告する動きから始まったバグバウンティ。
企業側が脆弱性ハンドリングの手順を踏んでいない通報を無視したり、真摯に対応しなかったりすることもある。2019 年夏には、研究者が発見したアシスタントロボットの脆弱性の指摘を受けたホテルが、対応を誤ったため、発見者によって脆弱性を SNS で公開される(当該脆弱性は対応済み)という事案があった。
バグハンター、脆弱性ハンターの情報を正しく活用すれば、埋もれた脆弱性の発見と迅速な対応が可能になる。発見や検証作業、脆弱性の改修・対策のコストを下げることもできるとして、企業の評価は変わりつつある。
とくにスタートアップ企業は、オープンソースの活用やソーシャルデバッグによる品質改善はむしろ普通であり、自前で脆弱性の発見対応および管理体制を作るより、報奨金・懸賞金で脆弱性を買ったほうが合理的という考え方が検討されている。
しかし、企業が懸賞金や報奨金を出して脆弱性を購入するという行為は、日本の商習慣では馴染みが薄い。また、脆弱性の発見者がすべて善意のハッカーとは限らない。場合によっては、支払った懸賞金が、反社の資金源となる可能性もあり、コンプライアンス上の問題を指摘する声もある。
企業のセキュリティ担当者や法務担当者は、脆弱性報告に報酬を払うべきか、脆弱性ハンターとどう向き合えばよいのだろうか。今夏開催された Blackhat USA 2019 の Briefings の注目セッション「 Planning a Bug Bounty The Nuts and Bolts from Concept to Lounch 」をベースに整理したい。
なお、発表者のAdam 'rudd' Ruddermann 氏は、セキュリティコンサルティングを手掛ける NCC グループに所属。Bug Bounty Service Practice の部長を務める。
●企業に求められるバグハンターとの関係
もともとは、善意のハッカーが企業に対して、製品やサービスのバグや脆弱性を指摘・報告する動きから始まったバグバウンティ。
企業側が脆弱性ハンドリングの手順を踏んでいない通報を無視したり、真摯に対応しなかったりすることもある。2019 年夏には、研究者が発見したアシスタントロボットの脆弱性の指摘を受けたホテルが、対応を誤ったため、発見者によって脆弱性を SNS で公開される(当該脆弱性は対応済み)という事案があった。
バグハンター、脆弱性ハンターの情報を正しく活用すれば、埋もれた脆弱性の発見と迅速な対応が可能になる。発見や検証作業、脆弱性の改修・対策のコストを下げることもできるとして、企業の評価は変わりつつある。
とくにスタートアップ企業は、オープンソースの活用やソーシャルデバッグによる品質改善はむしろ普通であり、自前で脆弱性の発見対応および管理体制を作るより、報奨金・懸賞金で脆弱性を買ったほうが合理的という考え方が検討されている。
しかし、企業が懸賞金や報奨金を出して脆弱性を購入するという行為は、日本の商習慣では馴染みが薄い。また、脆弱性の発見者がすべて善意のハッカーとは限らない。場合によっては、支払った懸賞金が、反社の資金源となる可能性もあり、コンプライアンス上の問題を指摘する声もある。
企業のセキュリティ担当者や法務担当者は、脆弱性報告に報酬を払うべきか、脆弱性ハンターとどう向き合えばよいのだろうか。今夏開催された Blackhat USA 2019 の Briefings の注目セッション「 Planning a Bug Bounty The Nuts and Bolts from Concept to Lounch 」をベースに整理したい。
なお、発表者のAdam 'rudd' Ruddermann 氏は、セキュリティコンサルティングを手掛ける NCC グループに所属。Bug Bounty Service Practice の部長を務める。
![[インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/20559.jpg)
