バグバウンティがテーマで50回も連載できるのか | ScanNetSecurity
2024.03.29(金)

バグバウンティがテーマで50回も連載できるのか

バグバウンティをテーマにして50回も連載ができるのか

製品・サービス・業界動向 業界動向

 「バウンティ(Bounty)」とは報奨金を指し、それを狙う賞金稼ぎは「バウンティハンター」と呼ばれる。

 サイバーセキュリティの世界でバウンティとは「バグバウンティ」を指し、指名手配犯に懸賞金をかけるごとく、各種アプリや Web システム等の「バグ(脆弱性、セキュリティホール)」に賞金をかけ、見つけれてくれたハンターに対しその重要度に応じてお金を支払う仕組である。中には、発見すれば一件あたり数百万円や 1 千万円という、大物賞金首(バグ)も存在する。

 国際的には GAFA や Microsoft などが、国内では LINE や Cybozu、SKYSEA Client View の Sky などが、バグバウンティによるセキュリティ向上の仕組を採用し運用している。現在のところは、かなり先進的なセキュリティの取り組みとみなされている。

 株式会社スリーシェイクは 3 月 8 日から、「(バグバウンティ)50 本ノック」と称し、バグバウンティに関するコンテンツを平日ほぼ毎日掲載し、掲載本数は 4 月 13 日現在で 30 本を超えた。

 記事はスリーシェイクと提携するベルギーのセキュリティ企業 Intigriti 社のブログ記事を翻訳したもので、記事内容は「バグバウンティ基礎知識」「バグバウンティ運用ベストプラクティス」「バウンティハンター インタビュー」「バグバウンティ事例」など幅広い。

 文字数は一件あたり 2,000 文字から 4,000 文字。幸いなことにいずれの記事も、読み終わるとガッカリする「いかがだったでしょうか」的な、ろくに調べもせずセキュリティに露ほども敬意を持たない SEO 業者が、検索順位が高い他の記事を単に最大公約数的にまとめただけのスカスカの内容ではない。50 件全部精読したら新書一冊くらいの情報量があるだろう。翻訳もなめらか。

 「急速なビジネスの展開に伴走する形で、開発・リリースの速度、頻度も上がっている中、都度のセキュリティ診断(稟議申請など、それに付随する業務含め)はセキュリティの運用管理における労苦(Toil)であり、バグバウンティを実施すれば、24 時間 365 日、開発を止めることもなく、高品質なセキュリティ診断が受けられる(スリーシェイク広報 徳山里未氏)」

 まだ脆弱性診断実施企業すら少数派である日本で、バグバウンティはいまだ存在自体が充分に認知されていない。純粋に日本語によるオープンソースの情報の嵩を増やすという意味で、この試みの意義は小さくない。

 本稿執筆時点の掲載記事のタイトルは下記の通り。

「ペネトレーションテストとバグバウンティプログラムの違いについて」
「バグバウンティプログラムの歴史」
「バグハンターと仕事をする際の脆弱性の開示ポリシーについて」
「脆弱性開示プログラムとバグバウンティ:どちらがベストか?」
「Log4jの脆弱性にIntigritiがどう対応したか」
「【事例】海事産業がサイバーセキュリティの強化に向けてどのような対応をしたか」
「【事例】Cake社がセキュリティの透明性を高めるためにバグバウンティプログラムをどのように使用したか」
「【事例】暗号通貨のセキュリティ課題に取り組むためにバグバウンティプログラムを活用」
「【事例】セキュリティプロセスの最終段階としてバグバウンティプログラムを利用」
「OWASPによるWebアプリケーションのセキュリティリスクTOP10(2021年版)」
「Intigritiリーダーボードとは何か、それが企業のバグバウンティプログラムにどのような影響を与えるか」
「倫理的ハッキングとバグバウンティによる資産の保護」
「【事例】欧州委員会はオープンソースソフトウェアコミュニティの安全確保にどのように貢献したか」
「【バグハンターインタビュー】Rana Khalil」
「【バグハンターインタビュー】Tom Hudson」
「【バグハンターインタビュー】Katie Paxton-Fear」
「【バグハンターインタビュー】Samuel Eng」
「ハッカーの見方を変えることで認識が変わります」
「IntigritiのEthical Hacker Insights Report2021:サイバーセキュリティについての対策状況」
「【バグハンターインタビュー】p4fg」
「エシカルハッカーとは?そして、なぜ企業は彼らを雇うのか?」
「【バグハンターインタビュー】0xkasper」
「【バグハンターインタビュー】sumgr0」
「【バグハンターインタビュー】iQimpz」
「【バグハンターインタビュー】pudsec」
「EU-FOSSA 2 オープンソースソフトウェア向けバグバウンティプログラムの終了について」
「【バグハンターインタビュー】Robin」

《高橋 潤哉( Junya Takahashi )》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る