「バウンティ(Bounty)」とは報奨金を指し、それを狙う賞金稼ぎは「バウンティハンター」と呼ばれる。
サイバーセキュリティの世界でバウンティとは「バグバウンティ」を指し、指名手配犯に懸賞金をかけるごとく、各種アプリや Web システム等の「バグ(脆弱性、セキュリティホール)」に賞金をかけ、見つけれてくれたハンターに対しその重要度に応じてお金を支払う仕組である。中には、発見すれば一件あたり数百万円や 1 千万円という、大物賞金首(バグ)も存在する。
国際的には GAFA や Microsoft などが、国内では LINE や Cybozu、SKYSEA Client View の Sky などが、バグバウンティによるセキュリティ向上の仕組を採用し運用している。現在のところは、かなり先進的なセキュリティの取り組みとみなされている。
株式会社スリーシェイクは 3 月 8 日から、「(バグバウンティ)50 本ノック」と称し、バグバウンティに関するコンテンツを平日ほぼ毎日掲載し、掲載本数は 4 月 13 日現在で 30 本を超えた。
記事はスリーシェイクと提携するベルギーのセキュリティ企業 Intigriti 社のブログ記事を翻訳したもので、記事内容は「バグバウンティ基礎知識」「バグバウンティ運用ベストプラクティス」「バウンティハンター インタビュー」「バグバウンティ事例」など幅広い。
文字数は一件あたり 2,000 文字から 4,000 文字。幸いなことにいずれの記事も、読み終わるとガッカリする「いかがだったでしょうか」的な、ろくに調べもせずセキュリティに露ほども敬意を持たない SEO 業者が、検索順位が高い他の記事を単に最大公約数的にまとめただけのスカスカの内容ではない。50 件全部精読したら新書一冊くらいの情報量があるだろう。翻訳もなめらか。
「急速なビジネスの展開に伴走する形で、開発・リリースの速度、頻度も上がっている中、都度のセキュリティ診断(稟議申請など、それに付随する業務含め)はセキュリティの運用管理における労苦(Toil)であり、バグバウンティを実施すれば、24 時間 365 日、開発を止めることもなく、高品質なセキュリティ診断が受けられる(スリーシェイク広報 徳山里未氏)」
まだ脆弱性診断実施企業すら少数派である日本で、バグバウンティはいまだ存在自体が充分に認知されていない。純粋に日本語によるオープンソースの情報の嵩を増やすという意味で、この試みの意義は小さくない。
本稿執筆時点の掲載記事のタイトルは下記の通り。
「ペネトレーションテストとバグバウンティプログラムの違いについて」
「バグバウンティプログラムの歴史」
「バグハンターと仕事をする際の脆弱性の開示ポリシーについて」
「脆弱性開示プログラムとバグバウンティ:どちらがベストか?」
「Log4jの脆弱性にIntigritiがどう対応したか」
「【事例】海事産業がサイバーセキュリティの強化に向けてどのような対応をしたか」
「【事例】Cake社がセキュリティの透明性を高めるためにバグバウンティプログラムをどのように使用したか」
「【事例】暗号通貨のセキュリティ課題に取り組むためにバグバウンティプログラムを活用」
「【事例】セキュリティプロセスの最終段階としてバグバウンティプログラムを利用」
「OWASPによるWebアプリケーションのセキュリティリスクTOP10(2021年版)」
「Intigritiリーダーボードとは何か、それが企業のバグバウンティプログラムにどのような影響を与えるか」
「倫理的ハッキングとバグバウンティによる資産の保護」
「【事例】欧州委員会はオープンソースソフトウェアコミュニティの安全確保にどのように貢献したか」
「【バグハンターインタビュー】Rana Khalil」
「【バグハンターインタビュー】Tom Hudson」
「【バグハンターインタビュー】Katie Paxton-Fear」
「【バグハンターインタビュー】Samuel Eng」
「ハッカーの見方を変えることで認識が変わります」
「IntigritiのEthical Hacker Insights Report2021:サイバーセキュリティについての対策状況」
「【バグハンターインタビュー】p4fg」
「エシカルハッカーとは?そして、なぜ企業は彼らを雇うのか?」
「【バグハンターインタビュー】0xkasper」
「【バグハンターインタビュー】sumgr0」
「【バグハンターインタビュー】iQimpz」
「【バグハンターインタビュー】pudsec」
「EU-FOSSA 2 オープンソースソフトウェア向けバグバウンティプログラムの終了について」
「【バグハンターインタビュー】Robin」
