バグバウンティの6つの誤解を解く
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
バグバウンティプログラムの価値は様々な国と地域で幅広く知られていますが、いまだにいくつかの誤解が残っています。この記事では、 バグバウンティプログラムについてよく耳にする6つの誤解を挙げていきます。
バグバウンティプログラムの真実
バグバウンティプログラムとは、バグハンターがセキュリティテストを行い悪意あるハッカーが、システムに侵入する可能性のある脆弱性を探します。
企業はバグハンターに、発見された脆弱性の数だけ、あらかじめ定められた報奨金を支払います。
バグバウンティプログラムは、数十年も前から存在するにもかかわらず、いまだに多くの誤解が残っています。ここでは、私たちが遭遇する最も一般的な6つの誤解をご紹介します。
- リスク:システムをハッカーに晒すことになる
- 規模:プログラムには多くの時間と大規模なインフラが必要
- 費用:莫大な費用がかかるため、中小企業は参加できない
- 信頼:バグハンターに情報を悪用されてしまう
- 時期:サービスリリース前なので不要
- 許諾:法務・広報部門からの許可を得られない
興味深いことに、これらの誤解の中には、真実味を帯びたものもあります。
本記事では、バグバウンティプログラムについてより深く理解し、真実と誤解を自信を持って区別できるようになるためのポイントをご紹介します。
[誤解]1. バグバウンティプログラムは、ハッカーにハッキングを奨励するものである。
回答:バグハンターは、企業の味方です。
解説
確かにバグバウンティプログラムは企業の情報をハッカーに晒すことになりますが、すべてのハッカーが悪意を持っているわけではありません。
良いことをしたいという気持ちから、多くのハッカーは「エシカルハッカー」「ホワイトハットハッカー」「バグハンター」と名乗ります。彼らは、悪用可能な脆弱性を見つける手助けをする目的で、企業のシステムに侵入します。
バグバウンティプログラムの実施に関わらず、サービス・システムは常にハッカーに晒されています。バグハンターを意図的に侵入させることで、報告プロセスを合理化し、サイバー犯罪者に対してより強力な防御を構築できるようになります。
重要なポイント:エシカルハッカー(バグハンター)は、企業の味方です。
残念ながら、悪質なハッカーはハッキングする許可を得た上でハッキングする訳ではありません。サイバー脅威から身を守るためのシンプルかつ実績のある方法は、意図的にバグハンターを招き入れることです。バグバウンティプログラムは、クラウドソーシングの考え方をセキュリティテストに適用することで、規模を拡大しています。
[誤解]2. エシカルハッカーも信用することができない。
回答:エシカルハッカーは、法律の範囲内で活動します。
解説
ハッカーというと犯罪を連想する人が多く、「コンピュータの技術で何でも思い通りにできる人」ということをイメージしているようです。しかし、2021年現在、エシカルハッカーになることは、さまざまな地域と国のセキュリティ専門家の間で人気が高まっています。悪質なハッカーと同様に、ターゲットのサイバーセキュリティの防御を突破するという目標に突き動かされているのです。しかし、あくまでエシカルハッカーは法律の範囲内で活動し、協力する企業に脆弱性を開示することを目的としています。
重要なポイントは、サイバー犯罪者がターゲットをどう選定しているかを考慮することです。すぐに悪用できること、つまり簡単にハッキングできるかということです。そして、バグバウンティプログラムを公開することは、セキュリティに真剣に取り組んでいることを公表することになります。
重要なポイント:エシカルハッカー(バグハンター)は、法律の範囲内で活動します。
Intigritiでは、エシカルハッカーのことを「セキュリティ・リサーチャー」と呼ぶことが多いのですが、その理由は、この言葉の方が脆弱性を見つけるために必要な「長時間の調査や研究」「忍耐」をより正しく表現していると考えているからです。また、ハッカーという言葉から連想されるネガティブな意味合いを避けるためにも、この言葉を使うようにしています。
[誤解]3. 多くの時間とリソースが確保できない 。
回答:バグバウンティプラットフォームが、プログラムのための安定した環境を提供します。
解説
ほとんどの企業は、規模や成熟度に関わらず、時間とリソースを重要視するでしょう。
バグバウンティプラットフォームはプログラムを立ち上げるための最も信頼性が高く安定した方法の1つです。例えば、Intigritiにクライアントとしてサインアップすると、カスタマーサクセスマネージャーが成功のための最適化をサポートします。プログラムの明確なスコープを定義し、報奨金や支出管理などの側面からアドバイスを提供します。
プラットフォームを通じてプログラムを運営するもう1つのメリットは、バグハンターがプログラムに参加して脆弱性を発見した場合、プラットフォームを通じてレポートを提出することです。これにより、「トリアージ」と呼ばれる品質管理のプロセスを経て、レポートが提出されます。
トリアージチームはまず「レポートが有効かどうか」「ユニークかどうか」「スコープ内かどうか」をチェックし、企業とバグハンターの仲介役を務めます。このようなステップを追加することで、社内チームは実用的で有効なレポートのみを受け取り、通常の業務に集中できるようになります。
重要なポイント:バグバウンティプラットフォームが、プログラムのための安定した環境を提供します。
価値のあるバグバウンティレポートのみを得るため、バグバウンティプログラムを開始する前にまず、品質管理をどのように行うかを検討します。また、バグバウンティプラットフォームと提携することで、不要な報告を避けることができ、社内のチームも通常の業務に集中しながら、より早くバグを修正できるようになります。
[誤解]4. バグバウンティプログラムに参加できるのは大企業のみ
回答:バグバウンティプラットフォームは、予算の大小に関わらず有効です。
解説
「バグバウンティは大企業にしかできない」という認識はよくある誤解です。ペネトレーションテストやその他の代替案とは異なり、バグバウンティプログラムは成果報酬モデルで運営されています。
つまり、企業は対策が必要な脆弱性に対してのみ、バグハンターに報酬を支払うことになります。
プログラムの予算の設定は企業次第ですが、このプログラムを利用するということは、企業が悪意ある行為に対する防御を強化するということに役立ちます。
Intigritiのプラットフォームで初めてバグバウンティプログラムを立ち上げる場合、バウンティの額を低く設定し、バグハンターの数を制限することにより、バグハンターからの注目度と予算が釣り合うようにすることから始めます。
管理が不十分な場合、コストはあっという間に膨れ上がります。また、すでに多忙な社内のチームにとって、送られてくるレポートをすべて確認しトリアージすることは、とても効率的とは言えません。
前述の通りバグバウンティプラットフォームと提携することで、不要な報告を避けることができ、社内のチームも通常の業務に集中しながら、より早くバグを修正できるようになります。
つまり、バグバウンティプラットフォームとそれに付随するサービスを利用することは、予算を最大限に活用するための非常に効果的な方法です。
重要なポイント:バグバウンティプラットフォームは、予算の大小に関わらず有効です。
サイバー攻撃が進化し続ける中、自社の脆弱性を理解し、最新の状態を維持することは重要です。 バグバウンティプラットフォームを利用することで、このような悩みを解決することに繋がります。
バグハンターによる日々のテストによって、ハッキングの犠牲になるリスクを減らすことができるということです。
[誤解]5. バグバウンティプログラムはリリース前のテストには適さない
回答:バグバウンティプログラムは企業がより安全なサービスをリリースするのに役立ちます。
解説
リリース前のテストに不安がある場合は、まずプライベートなプログラムを検討する価値があるかもしれません。
プライベートバグバウンティプログラムでは、厳選された数名のバグハンターと協力することができます。さらに、完全に安定していると確信できるまで、特定の領域を外部テストから除外することもできます。これらの詳細は、プログラムの範囲に含めることができます。また、財務的な影響を及ぼす可能性のある脆弱性など、特定のバグを探すように別途バグハンターに指示することもできます。
重要なポイント:リリース前のテストは、企業がより安全なサービスをリリースするのに役立ちます。
[誤解]6. 法務・広報部門からの許可を得られない
回答:バグバウンティプログラムはステークホルダーにポジティブなメッセージを送ります。
解説
“法務部を侮るな “というのが、IntigritiのCEOであるStijn Jansからのアドバイスです。”法務部門はファシリテーターです。法務部門が誰よりも理解しているのは、ハッキングされることは大きな法的リスクであり、正しい予防策を講じることは彼らの優先順位の高い課題であるということです。”
広報部門に関して言えば、倫理的なハッキング・プログラムに着手することは、広報にとっても良いことです。なぜマイクロソフトやアップルなどの大手企業が、自社のバグバウンティプログラムについて喜んで話すのでしょうか?顧客、投資家、株主、役員、社員、そして一般の人々は、データや資産の安全性に大きな価値を置いているからです。
重要なポイント: バグバウンティプログラムはステークホルダーにポジティブなメッセージを送ります。
バグバウンティプログラムは、PRや法的な問題ではなく、サイバー脅威から顧客を守るために全力を尽くす企業の「責任ある姿勢」を浮き彫りにします。これは、データ保護に真剣に取り組んでいるというメッセージを送ることにつながります。
出典:Intigriti
https://blog.Intigriti.com/2021/04/28/common-bug-bounty-misconceptions/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。