【Q&A 】バグバウンティは予算が多い大企業だけのものではないのですか?
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
目次
ビジネスにおけるバグバウンティ
IntigritiのCEOであるStijn Jansが、倫理的ハッキングとバグバウンティに関する質問にお答えします。
‐
Intigritiでは、楽しい会話が大好きです。Twitter、LinkedIn、Facebookで私たちを見つけることができます。機会があれば、イベントやカンファレンスにも参加します。 倫理的ハッキングやバグバウンティに話題が移ると、よく聞かれる質問があります。
このブログ記事シリーズでは、これらの「よくある質問」について、当社のCEOであるStijn Jansに話を聞きます。
今回は、「バグバウンティは予算がある大企業だけのものではないのですか?」 という質問についてです。Stijnやチームの誰かに聞きたいことがあれば、hello@intigriti.com からお気軽にどうぞ。すべての質問にお答えし、よくある質問はこのシリーズに掲載します。
今回の質問:バグバウンティは予算の多い大企業だけのものではないのですか?
この質問が多いのはそのはずで、メディアでは、MicrosoftやGoogleのような大企業がバグハンターの力を借りてシステムをテストし、問題が見つかったときに報奨金(バグバウンティ)を受け取るという話が紹介されています。そのため、中小企業は「バグバウンティを始めるのは自分たちには向いていない」と考えてしまうのです。
CEOのStijnに尋ねると、彼の答えは明快です。
Stijn Jans:セキュリティ向上のための倫理的ハッキングは、一部の幸せな人のためのものだという考え方は時代遅れです。最近では、どんな規模の企業でも、カスタマイズされたバグバウンティプログラムを立ち上げているのを見かけます。ちょっとした手助けや努力が大きな力になるのです。
バグハンティング:従来のセキュリティテストに利益をもたらす追加機能
アプリケーションの脆弱性は、企業規模や事業内容にかかわらず、どの企業でも発見される可能性があります。そして、それは、収益の損失や株式市場への高額な打撃、評判の失墜、業務情報システムの復旧にかかる多くの作業など、重大な金銭を意味することがあります。さらに、法律に違反したために罰金を科されることもあります。しかし、幸いなことに、このような高価な災害を防ぐ方法があるのです。
古典的なセキュリティテストとバグハンティングの比較
Stijn Jans:最近では、ほとんどの企業が、自社のアプリケーションやWebサイトやアプリなどの公開環境のセキュリティを保証するために、すでに多大な努力を払っています。
開発中のソフトウェアセキュリティテスト、ソフトウェア監査の設定、ペネトレーションテストの手配など、おそらくもっと多くのことを行っているはずです。会社の経営陣やセキュリティ部門は、アプリケーションの特定のバージョンをテストする専門家を雇い、可能な限り安全であることを確認するのです。
それは十分ではないものの、アプリケーションをより安全にするため、よく使われるお金であるとのことです。このアプローチは、私たちが「古典的な」セキュリティテストと呼んでいるものですが、多くのことを見逃してしまうでしょう。ですから、古典的なテスト手法を使って、すべての脆弱性を捕らえることを望んでも、無駄であり、見つけることはできないでしょう。
この説明は理にかなっていると思います。テストチームは限られたリソースしか持っておらず、常に納期短縮とコスト削減のプレッシャーにさらされています。
このように考えてください「セキュリティテスト担当者が、次のプロジェクトに移るまでに、どれだけの時間をアプリケーションに費やすことができるでしょうか?」
Stijn Jansはかつてペネトレーションテスト会社を経営していたため、セキュリティテスト担当者が開発中に何度もチェックし、プレリリース中もペネトレーションンテストを行い、そして本番運用に入るとテストすることを忘れてしまう危険性があることを知っているのです。これは「理想的なアプローチ 」とは言えません。
さらに、自動化されたセキュリティテストツールは通常、よく知られた攻撃経路や脆弱性など、構築者が見るように指示したものしか見ません。
バグハンティングで重要なのは結果
バグバウンティプログラムの鍵は、結果に対して報奨金を支払うということです。
Stijn Jans:バグハンターはバグを探すのに時間を費やします。もしかしたらその時間は無駄になってしまうかもしれませんが、それが彼らの取るリスクなのです。これは、ペネトレーションテストの請負業者がお金を稼ぐ方法とは全く異なる話です。このような業者は、彼らが何かを見つけたかどうかに関係なく、彼らに支払わなければならないのです。
バグハンターは、プログラムの範囲と期間に応じて、より長く、継続的に探し続けます。期間制限は、彼らが好まない制限であり、アプリケーションのバージョンに関係なく、ハンターは自分の時間に合わせて仕事をします。
それに、最近は1人で全資産の全バージョンをチェックするのは不可能になりました。
したがって、それぞれの専門性、興味、アプローチを持った複数のバグハンターが必要なのです。
バグハントの利点は、多くの目や頭脳、さまざまなアプローチによって、古典的で安全な開発を拡張できることです。バグバウンティプログラムは、全世界の専門家の想像力と直感を解き放ちます。これらの専門家は、標準的なセキュリティアプローチに創造性を加えます。 彼らは、他の方法では見逃してしまうような非常に特殊なスキルや知識を持っています。世の中には常に、非常にとらえどころのない脆弱性を考えている人がいるものです。バグハンティングは、そのような人物を見つけるための方法なのです。
Stijn Jans:発見された脆弱性の中で最も興味深く、深刻なものは、技術的な専門知識とは関係なく、既成概念にとらわれない思考に基づいています。
バグハンターは、意図しない動作に基づき、アプリケーションを悪用する方法を考え出すことができます。あるバグハンターは、実際にハッキングすることなく、多くの組織の内部ソーシャルメディアチャンネルに侵入することができました。彼は、その設定の論理的欠陥を悪用しただけなのです。
より「古典的」なツールと比較して、バグハンターは、より深刻で珍しい脆弱性についての重要な情報源となることがかなり多いです。
バグハンターは、他の手法では発見できないバグを発見します。彼らは、よりエキゾチックなアプローチである「誰がこんなことを考えたのだろう」と思うようなものを探しているのです。
バグバウンティプログラムの興味深い点は、その指摘が古典的なセキュリティ開発手法の変更または微調整に役立つことです。特に、報告された脆弱性が、接続可能な社内リソースで発見できたと思われる場合は、なおさらです。
バグハント報告書は、非常に具体的に問題の中身と、どうやって発見されたかを示しています。本当に悪用される危険性のある情報を得ることができるのです。しかし、バグバウンティプログラムのおかげで、警告を受け、その結果、深刻な攻撃を防ぐことができるのです。
出典:Intigriti
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
