デロイト直伝:バグバウンティハンターのなり方 | ScanNetSecurity
2024.06.19(水)

デロイト直伝:バグバウンティハンターのなり方

バグバウンティ。業界では知らない人は少ないほど認知されている言葉だが、高度化するソフトウェア開発において、市井の力、多数の目を活用する「ソーシャルデバッグ」は、今後ニーズは高まることはあっても廃れることはないだろう。

研修・セミナー・カンファレンス セミナー・イベント
(イメージ画像)
(イメージ画像) 全 2 枚 拡大写真

 昨秋開催された「CODE BLUE 2022」でデロイトの技術者が「バグバウンティ市場」を解説するという一風変わった講演があった。

 高額報奨金を獲得した脆弱性の技術的解説といった情報はほとんど含まれず、むしろ駆け出しバグハンターに対してまず賞金がないプログラムで地道に実績を積むことを推奨したり、競争率の低い領域の見つけ方や、果ては情報収集のノウハウなど、いわばバグバウンティを志した若者や初心者が、発見と成長を経て「いっぱしのハンターになるまで」のヒントと示唆、そしてノウハウに満ちた興味深い講演だった。

 これを紹介しないのは本誌的には実に惜しい。そこで、当時の取材メモをもとに、講演のポイントを蔵出しでお届けする。(なお「CODE BLUE 2023」は 11 月 8 日、9 日開催、本誌読者なら早割料金で申し込み済みかとは思うが念のため)

● SDLC に組み込まれるセキュリティアップデート

 バグバウンティ。すでに充分認知されている言葉だが、国内企業で採用・実践する企業はまだまだ多いとは言えない。日本的な商習慣や文化では馴染みにくいのか。

 しかし、高度化するソフトウェア開発において、市井の力、多数の目を活用する「ソーシャルデバッグ」は、今後ニーズは高まることはあっても廃れることはないだろう。


《中尾 真二( Shinji Nakao )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  5. 個人情報保護委員会 令和 5 年(2023)度 年次報告概要公表

    個人情報保護委員会 令和 5 年(2023)度 年次報告概要公表

ランキングをもっと見る
PageTop