「バウンティ(Bounty)」とは、報酬あるいは報奨金の意味で、賞金稼ぎのことを「バウンティハンター」とも呼ぶ。
セキュリティの世界でバウンティといえば「バグバウンティ」を指し、あたかもお尋ね者の首に賞金をかけるがごとく、アプリケーションなどのソフトウェアのバグ(脆弱性、セキュリティホール)に賞金をかけて、発見者「バグハンター」に対して、見つけたバグの重要度に応じてお金を支払う。
国際的には GAFA や Microsoft などが、国内では LINE や Cybozu などが、バグバウンティを利用している。脆弱性診断やペネトレーションテストでは見つからない、セキュリティホールを探し出す最後の仕上げ的方法として、近年徐々に注目が高まっている。
「注目が高まっている」とは書いたものの、本誌 ScanNetSecurity の読者でもない限り、まだまだ国内ではバグバウンティの存在自体認知されていないのが現状であろう。
2021 年 9 月、バグバウンティにひとつ先の価値を提案するサービスを日本のスタートアップ企業が開始した。それは、バグバウンティの運用業務すべてを、ユーザー企業になり代わって代行するサービスで、日本はもちろんのこと、国際的にもあまり類例がない。
3 月 9 日から 11 日まで、東京駅の真向かいにある JPタワーで開催される Security Days Spring 2022 で講演する、株式会社スリーシェイク Sreake事業部 シニアコンサルタント 尾張 厚史(おわり あつし)氏に話を聞いた。
株式会社スリーシェイクは、「社会に蔓延る労苦〈Toil〉をなくすプラットフォーマーになる」のビジョンのもと、2015 年設立。SRE 導入支援の領域で成長してきた。SRE とは「Site Reliability Engineering」の略称で、Google が提唱する概念であり活動だ。
システム管理や IT 運用の方法論、あるいはそれを担当するエンジニアを指す言葉で、「いかなるシステムにおいても最も重要な機能は信頼性である」など、いくつもの原則を持つ。
スリーシェイクは、NTTデータや JCB など金融・決済領域をはじめ、圧倒的な信頼性が求められる領域での SRE 支援の実績で一頭地を抜く存在だ。2022 年にはGoogleプレミアパートナーに認定された。
「 SRE とは、信頼性を高めるための手段の一つだと思っていただければいい(尾張氏)」
スリーシェイクが SRE 支援を行ってきた中で、システム設計/構築、実装だけでなく当然のように顧客からのセキュリティニーズも寄せられた。そこでスリーシェイクは、脆弱性診断サービスの提供を開始、さらに、Devops の現場でのセキュリティに関する労苦〈Toil〉を解決するサービスとして、自分たちが診断サービス提供の過程で使用したさまざまなセキュリティ診断ツールの課題点を洗い出し、彼らが使いやすい視点で、セキュリティ診断ツールを自社開発、「 Securify(セキュリファイ)」と名付けて販売を開始した。
そして、さらにハイレベルなセキュリティ対策サービスとして提供しているのが、今回の講演で詳しい紹介がなされる「 Bugty(バグティ)」だ。
Bugty が他のバグバウンティプログラムと何が違うのかと問われればそれはかなり違う。斜め上の新しい価値提案を行う。日本は当然のこと、グローバルで見てもあまり例がないサービスだ。
通常バグバウンティは、GAFA、Microsoft、LINE、Cybozu のように、全てを自社で立ち上げて運用するか、あるいは HackerOne のようなバグバウンティプラットフォームを利用するか、この二つしか選択肢がない。
スリーシェイクの Bugty は、プラットフォームとユーザー企業の間に入ることで、高度な専門性が必要とされるばかりか繁雑でもあるバグバウンティプログラムの運用管理を代行する。
通常バウンティプログラムには、対象や報奨金額の設定などの「登録」や、参加者から多いときは日々数十単位で報告されるバグレポートの内容チェック、質問への回答やコメントなどの「参加者とのコミュニケーション」、見つかったバグのトリアージなどなど、さまざまな実務がプログラム終了まで発生し、誰かがそれに対応しなけらばならない。たとえ英語のネイティブスピーカーの技術者がいても、専門知識が必要とされる判断はできない。
これらの運用業務をすべて、スリーシェイクが代行する。報奨金支払いは日本円建てでやりとりが可能、細かいところだが経理実務上、小さくない利便性だ。
Bugty はいわば、バグバウンティのマネージドサービスとも言える。
そもそもバグバウンティプログラムは、脆弱性の管理という領域において、ハイエンドなサービスであり、最後の仕上げ的対策項目である。セキュリティのリテラシーが高い企業しか実施を検討することがなかった前提があるため、Bugty のような発想はこれまでなかった。
専門性の壁で覆われていたかのように見えたハイエンドサービスの風通しが、少し良くなったような感覚を取材中に持った。
「自動化または排除することが費用対効果の高い反復的なものはすべて自動化または排除する」
これは、SRE の重要な原則のひとつだ。
株式会社スリーシェイクのビジョン「社会に蔓延る労苦〈Toil〉をなくすプラットフォーマーになる( Create platforms. Eliminate toil. Liberate people.)」とは、この SRE の原則に対するスリーシェイクとしてのアンサーでもあるだろう。
セキュリティの運用管理における労苦〈Toil〉を無くして人々に自由をもたらす。すなわち Bugty とは、セキュリティの世界の労苦をなくすという観点から生み出されたサービスだった。
是非もっといろいろなセキュリティの業務領域に手を広げてほしい。なぜならセキュリティ産業こそ「THE労働集約産業」、高密度な労苦〈Toil〉が至るところにひしめく。
そんな世界だからこそ「労苦〈Toil〉を減らす」ビジョンを持つスリーシェイクと、この Bugty の登場を心から歓迎したい。
バグバウンティプログラムには興味があったが、めんどくさいおじさんから、めんどくさい話を聞かされそうでこれまで腰が引けていた人にピッタリの入門的講演である。
3.9(水) 11:30-12:10 | RoomA(会場及びオンライン配信)
世界中の知見を活用!DX時代に求められるBug Bountyの世界とは
株式会社スリーシェイク Sreake事業部
シニアコンサルタント 尾張 厚史 氏
