【Q&A 】倫理的ハッキングとバグバウンティとは何ですか?
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
目次
ビジネスにおけるバグバウンティ
IntigritiのCEOであるStijn Jansが、倫理的ハッキングとバグバウンティに関する質問にお答えします。
‐
Intigritiでは、楽しい会話が大好きです。Twitter、LinkedIn、Facebookで私たちを見つけることができます。機会があれば、イベントやカンファレンスにも参加します。 倫理的ハッキングやバグバウンティに話題が移ると、よく聞かれる質問があります。
このブログ記事シリーズでは、これらの「よくある質問」について、当社のCEOであるStijn Jansに話を聞きます。
今回は、「倫理的ハッキングとバグバウンティとは何ですか?」についてです。
Stijnやチームの誰かに聞きたいことがあれば、hello@intigriti.com からお気軽にどうぞ。すべての質問にお答えし、よくある質問はこのシリーズに掲載します。
質問:倫理的ハッキングとバグバウンティとは何ですか?
最もよく聞かれる質問です。Intigritiは皆、状況に応じて好きな答え方をしています。
ハッキングは犯罪行為と結び付けられることが多いと思いませんか?しかし、実際はハッカーの大半は倫理的と言われています。
「ハッカー」とは、Webサイトやアプリケーションの潜在的な問題を発見することに興味を持つバグハンターの別名です。Intigritiでは、こうしたセキュリティ専門家のコミュニティを構築し、サイバーセキュリティを向上させたい企業とコンタクトを取るようにしています。
バグハンターは、潜在的な問題を見つけると、その問題が修正されるように報告するだけです。脆弱性の発見に対する報奨金として、バグバウンティを受け取ります。
CIOやCISO、ITセキュリティ関係者にこのコンセプトをどのように説明しているのか、弊社CEOのStijn Jansと議論していきます。
バグバウンティとは
Stijn Jans:バグバウンティを提供することは、バグハンターのコミュニティと協力して、公共資産のセキュリティをテストする方法であると、私はいつも言い始めることにしています。もっと知りたいという人がいたら、ITセキュリティの分野では誰もが知っているセキュリティテストの手法である「ペネトレーションテスト」と倫理的ハッキングを比較しながら、そのコンセプトを説明します。
ペネトレーションテストとは、新しいWebサイトやアプリ、ポータルを公開する前に、企業が専門家を雇ってシステムへの侵入を試みるプロセスのことです。
確かに有用ではありますが、このテストは時間が限られており、一人の専門家の専門知識に依存しています。
Intigritiのプラットフォームでは、何千人ものバグハンターの専門知識と創造力を活用することができます。メリットは、セキュリティテストが24時間体制で実施され、悪質なハッカーが使用するのと同じように、常に進化し続ける手法やハッキングを使用できることです。
ペネトレーションテストの専門家が、問題が発見されようがされまいが、その時間に対してお金を払わなければならないのとは違い、バグハンターは何かを発見したときだけ報奨金をもらう、これがバグバウンティです。バグバウンティは発見者への報酬だと考えてください。
この1分間のビデオは、ペネトレーションテストと比較して倫理的ハッキングを説明しています。
廊下での会話や電話では、ビデオを見せるのは現実的ではありません。Stijn Jansは、そのような状況で聞かれるフォローアップの質問にどのように答えているかをリストアップしています。
Intigritiとは
Intigritiは、大勢のバグハンターによるセキュリティテストを可能にし、バグハンターと社内のITセキュリティチームとのコミュニケーションを促進するために構築したプラットフォームです。
なぜ人はバグハンターになるのか
ハッキングとは、創造的に制限を克服する情熱です。ハッカーの大半は倫理的であり、学習意欲が高く、組織のセキュリティを支援することに熱心です。バグハンターになるには、サイバーセキュリティに対する情熱と、脆弱性を発見するための創造的なアプローチが必要です。バグハンターは、企業を保護し、インターネットをより安全な場所にすることを望むセキュリティの専門家です。Intigritiでは、相互の信頼に基づき、セキュリティ専門家のコミュニティを構築しています。
バグハンターはお金のためだけなのか
バグハンターの原動力は報奨金だけではなく、情報の共有や認知度も重要です。
しかし、報奨金を得ることで、より多くの時間と研究を費やし、企業の安全性向上に貢献することができるのです。そこが、バグハンターが最も影響を与えるところなのです。
バグハンターは、ペネトレーションテストの専門家と何が違うのか
バグハンターは、時間給ではありません。ハッカーは、それを楽しむためにハッキングを行います。標準的なチェックリストを持たず、時間をかけてクリエイティブな作業を行います。脆弱性を発見するスリルを味わうために、悪質なハッカーも使うような最新の予想外のハッキングを研究するのです。
バグハンターが脆弱性を発見した場合、その修正に協力するのか
発見された脆弱性によって大きく異なりますが、Intigritiでは、あらゆる問題が標準的かつ包括的な方法で報告されるようにしています。お客様のITチームは、脆弱性が見つかったという単純な通知を受けるだけではありません。その問題がどのように再現されるかを説明した、明確な報告書を受け取ることができます。これにより、問題解決に向けた指針を得ることができます。
出典:Intigriti
https://blog.intigriti.com/2020/04/10/bug-bounty-qa-1-what-is-ethical-hacking-and-bug-bounty/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
