【Q&A 】バグバウンティプログラムの立ち上げには、どのような労力がかかりますか?
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
目次
ビジネスにおけるバグバウンティ
IntigritiのCEOであるStijn Jansが、倫理的ハッキングとバグバウンティに関する質問にお答えします。
‐
Intigritiでは、楽しい会話が大好きです。Twitter、LinkedIn、Facebookで私たちを見つけることができます。機会があれば、イベントやカンファレンスにも参加します。 倫理的ハッキングやバグバウンティに話題が移ると、よく聞かれる質問があります。
このブログ記事シリーズでは、これらの「よくある質問」について、当社のCEOであるStijn Jansに話を聞きます。
今回は、「バグバウンティプログラムの立ち上げに必要な労力は?」 についてです。
Stijnやチームの誰かに聞きたいことがあれば、hello@intigriti.com からお気軽にどうぞ。すべての質問にお答えし、よくある質問はこのシリーズに掲載します。
質問:バグバウンティープログラムを立ち上げるには、どのような労力が必要ですか?
これは、倫理的ハッキングがどのように自分たちのITセキュリティを向上させることができるかを考え始めるとよく聞かれる質問です。
一般的に、人々はまずバグバウンティとは何かを知りたがります。バグバウンティは、外部のセキュリティ専門家の協力を得て、侵害が発生する前にシステムをテストし、問題を報告する方法であることを説明すると通常、理解していただけます。
次に、「バグバウンティの設定は実際にはどのようなものなのか」「社内チームにはどのような労力が必要なのか」という質問を受けることが多いですね。
Stijn Jansは「効果的なバグバウンティプログラムの設計が鍵になります。優れたプログラムの設定は、必要な努力のための構造を提供します。」と語っています。
始めるための3ステップのアプローチ
Stijn Jans: バグバウンティプログラムを始めるのに必要な努力について聞かれたら、私は長年にわたって試行錯誤してきた私の3ステップのアプローチを紹介します。それは、対象範囲を定義すること、開発チームを巻き込むこと、そしてプログラムマネージャーを任命することです。
1.対象範囲の定義
バグハンターに脆弱性探索の許可を出す前に、彼らが活動できる境界を定義します。範囲は、単一のウェブアプリケーション、モバイルアプリケーション、または一般に公開されているすべての資産とすることができます。
企業によっては、自社のWebサイト、アプリケーション、ITインフラ全体をテスト対象とする場合もあります。また、より選択的に、例えば違反が財務的な影響を及ぼす可能性のある領域にプログラムの範囲を限定することを選択する企業もあります。
2.開発チームを巻き込む
バグバウンティプログラムを実施するためには、脆弱性を管理するための効果的な戦略を備えた、成熟した開発アプローチが必要です。
報告されたバグを迅速に評価し、脆弱性に優先順位をつけ、適切な修正とメンテナンスのサイクルに割り当てる必要があります。
3. プログラム責任者を任命する
一般的に、プログラム責任者は、CISOやセキュリティアナリストなど、セキュリティ関連の役職にある人が務めますが、アプリケーションマネージャがなることもあります。
プログラム責任者は、プログラムを管理・監視しますが、すべての脆弱性を解決することを期待されているわけではなく、バグハンターと内部チームをつなぐ存在です。
オプション: マーケティング担当者、セキュリティテスター、およびセキュリティ運用担当者の参加を検討する。
プログラムオーナーの任命は絶対に必要ですが、バグバウンティプログラムに含めるべきもっと価値のある人やチームがあります。
– マーケティングと広報:バグバウンティプログラムを実施することで、企業の信頼性を高め、セキュリティを改善・維持するために行っている努力を強調することができます。
マーケティング・PRチームは、このポジティブなメッセージをすべての関係者(従業員、顧客、経営陣、場合によっては報道機関など)に伝えます。多くの企業は、自社ウェブサイトのフッターに、いわゆる「レスポンシブル・ディスクロージャー」のリンクを貼っています。
そのウェブページは、Intigritiのウェブサイトにある会社のプログラムを参照しています。
– セキュリティテスト担当者:社内外のペネトレーションテスト担当者をバグバウンティプログラムに参加させると、努力が相互肥沃化され、リターンが最大化されます。彼らは、自分たちのテストでは見逃していたかもしれない事柄について、新しいヒントやコツを学ぶことができます。しかし、彼らはまた、入ってきたレポートを迅速に評価し、フォローアップのアクションを決定することができるかもしれません。
– セキュリティ運用:セキュリティ運用チームは、バグハンターを情報環境に解き放つ計画を完全に把握しており、ハンティングが許される領域に追い込み、環境内の奇妙で疑わしいトラフィックや挙動を前もって警告することもできます。
Stijn Jans:このように作業を組み立てると、1週間も経たないうちにIntigritiのプラットフォーム上で稼働し、脆弱性レポートを受け取り始める企業を見かけます。通常は、それを実行するかどうかを決めるだけです。
出典:Intigriti
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
