バグバウンティがテーマで50回も連載できるのか | ScanNetSecurity
2022.10.01(土)

バグバウンティがテーマで50回も連載できるのか

バグバウンティをテーマにして50回も連載ができるのか

製品・サービス・業界動向 業界動向

 「バウンティ(Bounty)」とは報奨金を指し、それを狙う賞金稼ぎは「バウンティハンター」と呼ばれる。

 サイバーセキュリティの世界でバウンティとは「バグバウンティ」を指し、指名手配犯に懸賞金をかけるごとく、各種アプリや Web システム等の「バグ(脆弱性、セキュリティホール)」に賞金をかけ、見つけれてくれたハンターに対しその重要度に応じてお金を支払う仕組である。中には、発見すれば一件あたり数百万円や 1 千万円という、大物賞金首(バグ)も存在する。

 国際的には GAFA や Microsoft などが、国内では LINE や Cybozu、SKYSEA Client View の Sky などが、バグバウンティによるセキュリティ向上の仕組を採用し運用している。現在のところは、かなり先進的なセキュリティの取り組みとみなされている。

 株式会社スリーシェイクは 3 月 8 日から、「(バグバウンティ)50 本ノック」と称し、バグバウンティに関するコンテンツを平日ほぼ毎日掲載し、掲載本数は 4 月 13 日現在で 30 本を超えた。

 記事はスリーシェイクと提携するベルギーのセキュリティ企業 Intigriti 社のブログ記事を翻訳したもので、記事内容は「バグバウンティ基礎知識」「バグバウンティ運用ベストプラクティス」「バウンティハンター インタビュー」「バグバウンティ事例」など幅広い。

 文字数は一件あたり 2,000 文字から 4,000 文字。幸いなことにいずれの記事も、読み終わるとガッカリする「いかがだったでしょうか」的な、ろくに調べもせずセキュリティに露ほども敬意を持たない SEO 業者が、検索順位が高い他の記事を単に最大公約数的にまとめただけのスカスカの内容ではない。50 件全部精読したら新書一冊くらいの情報量があるだろう。翻訳もなめらか。

 「急速なビジネスの展開に伴走する形で、開発・リリースの速度、頻度も上がっている中、都度のセキュリティ診断(稟議申請など、それに付随する業務含め)はセキュリティの運用管理における労苦(Toil)であり、バグバウンティを実施すれば、24 時間 365 日、開発を止めることもなく、高品質なセキュリティ診断が受けられる(スリーシェイク広報 徳山里未氏)」

 まだ脆弱性診断実施企業すら少数派である日本で、バグバウンティはいまだ存在自体が充分に認知されていない。純粋に日本語によるオープンソースの情報の嵩を増やすという意味で、この試みの意義は小さくない。

 本稿執筆時点の掲載記事のタイトルは下記の通り。

「ペネトレーションテストとバグバウンティプログラムの違いについて」
「バグバウンティプログラムの歴史」
「バグハンターと仕事をする際の脆弱性の開示ポリシーについて」
「脆弱性開示プログラムとバグバウンティ:どちらがベストか?」
「Log4jの脆弱性にIntigritiがどう対応したか」
「【事例】海事産業がサイバーセキュリティの強化に向けてどのような対応をしたか」
「【事例】Cake社がセキュリティの透明性を高めるためにバグバウンティプログラムをどのように使用したか」
「【事例】暗号通貨のセキュリティ課題に取り組むためにバグバウンティプログラムを活用」
「【事例】セキュリティプロセスの最終段階としてバグバウンティプログラムを利用」
「OWASPによるWebアプリケーションのセキュリティリスクTOP10(2021年版)」
「Intigritiリーダーボードとは何か、それが企業のバグバウンティプログラムにどのような影響を与えるか」
「倫理的ハッキングとバグバウンティによる資産の保護」
「【事例】欧州委員会はオープンソースソフトウェアコミュニティの安全確保にどのように貢献したか」
「【バグハンターインタビュー】Rana Khalil」
「【バグハンターインタビュー】Tom Hudson」
「【バグハンターインタビュー】Katie Paxton-Fear」
「【バグハンターインタビュー】Samuel Eng」
「ハッカーの見方を変えることで認識が変わります」
「IntigritiのEthical Hacker Insights Report2021:サイバーセキュリティについての対策状況」
「【バグハンターインタビュー】p4fg」
「エシカルハッカーとは?そして、なぜ企業は彼らを雇うのか?」
「【バグハンターインタビュー】0xkasper」
「【バグハンターインタビュー】sumgr0」
「【バグハンターインタビュー】iQimpz」
「【バグハンターインタビュー】pudsec」
「EU-FOSSA 2 オープンソースソフトウェア向けバグバウンティプログラムの終了について」
「【バグハンターインタビュー】Robin」

《高橋 潤哉( Junya Takahashi )》

関連記事

特集

PageTop

アクセスランキング

  1. オンライン会議出席者の眼鏡から情報漏えい

    オンライン会議出席者の眼鏡から情報漏えい

  2. イエラエ CSIRT支援室 第 33 回 擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開!

    イエラエ CSIRT支援室 第 33 回 擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開!

  3. 協会けんぽの基幹システムに障害、健康保険証の発行や現金給付への影響も

    協会けんぽの基幹システムに障害、健康保険証の発行や現金給付への影響も

  4. JPCERT/CCによる「積極的サイバー防御(Active Cyber Defense)」論点整理

    JPCERT/CCによる「積極的サイバー防御(Active Cyber Defense)」論点整理

  5. デジタル庁「GビズID」のメール中継サーバに不正アクセス、約13,000件の迷惑メールを送信

    デジタル庁「GビズID」のメール中継サーバに不正アクセス、約13,000件の迷惑メールを送信

  6. 「ユニフォームタウン」への不正アクセスで63,565名分のカード情報が漏えい

    「ユニフォームタウン」への不正アクセスで63,565名分のカード情報が漏えい

  7. JR西日本グループの山陽SC開発サーバに不正アクセス、個人情報が流出した可能性を完全に否定できず

    JR西日本グループの山陽SC開発サーバに不正アクセス、個人情報が流出した可能性を完全に否定できず

  8. ガートナー、日本におけるセキュリティハイプサイクル2022 公開

    ガートナー、日本におけるセキュリティハイプサイクル2022 公開

  9. 次年度セキュリティ戦略立案中の方必聴、リスク環境の変化と手堅い対策の実装とは

    次年度セキュリティ戦略立案中の方必聴、リスク環境の変化と手堅い対策の実装とはPR

  10. サンソウシステムズが運用管理するサーバに不正アクセス、社内システムで障害が発生

    サンソウシステムズが運用管理するサーバに不正アクセス、社内システムで障害が発生

ランキングをもっと見る