バグハンターと仕事をする際の脆弱性の開示ポリシーについて
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
脆弱性の開示とは、バグハンターがセキュリティ上の欠陥や問題を企業に報告する方法のことを指します。この記事では、脆弱性の開示の最も一般的な3つのタイプ「プライベート・ディスクロージャー」「フル・ディスクロージャー」「レスポンシブル・ディスクロージャー」を紹介します。また、バグバウンティプラットフォームを通じて、バグハンターが最も適した方法でバグハンティングを行うためにIntigritiがどのような施策をとっているのかについて明らかにします。
脆弱性の開示の種類
プライベート・ディスクロージャー
プライベート・ディスクロージャーはその名の通り、バグハンターが個人的に企業に脆弱性を報告する方法です。
企業はパッチが導入された後、セキュリティ上の欠陥を一般に公開することができますが、この決定はバグハンターではなく企業側にあり、場合によっては脆弱性を公表しないこともあります。
課題としては、企業がバグハンターに対応することを忘れたり対応しなかったりすると、パッチが導入されたのかが不明となることです。
Ethical Hackers Insights Reportによるとこれは意外にも頻繁に起こり得ることであるということが報告されています。バグバウンティコミュニティの70%は以前に脆弱性を特定したものの、脆弱性開示ポリシー(VDP)を見つけられずに報告したという事例があります。また、レポートを提出しようとした人のうち32%は、それが成功したかどうかわからないと答えています。
反応がないことが、バグハンターがフル・ディスクロージャーへと逸れる主な理由です。
フル・ディスクロージャー
フル・ディスクロージャーは一般公開とも呼ばれます。
これは修正がまだ試みられていない場合でも、バグハンターが企業のセキュリティ上の欠陥を一般に公開することを意味します。そうすることで、その問題の影響を受ける可能性のあるステークホルダーに認識してもらうことができます。また、セキュリティの脆弱性を修正するために緊急に行動を起こすように企業に圧力をかけることができるのです。
しかし、完全な情報開示にはいくつかのリスクが伴います。悪用コードを含む全容を誰にでも公開することで、サイバー犯罪者にもその詳細が知られることになるのです。
このような事態を承知の上で、なぜバグハンターはこのようなアプローチをするのでしょうか。
最も一般的な理由は以下の通りです。
- バグハンターが他の開示ルートがわからない
- 企業内の関係者と連絡が取れない
- 企業が脆弱性報告を無視したり、対応しなかったりした場合
- 企業が妥当な期間内にレポートの脆弱性を修正しない
- 緊急の対応を望むため
- 法的な影響を恐れている
多くの企業は公表することでネガティブな報道がなされたり、セキュリティチームに過度なプレッシャーを与えることになるため公表を避けたいと考えています。
レスポンシブル・ディスクロージャー
レスポンシブル・ディスクロージャーとは、バグハンターが脆弱性を公表することですが、それは企業がパッチを導入した後でのみです。通常、企業はバグを修正するための標準的な時間枠を事前に提示しますが、複雑なために延長を求められることもあります。この場合、セキュリティチームがセキュリティ問題を修正する十分な時間ができるまで、レポートは非公開のままとなります。
レスポンシブル・ディスクロージャーのメリットは、セキュリティ上の弱点が一般に公開される前にすでに修正されていることです。このため、悪意のあるハッカーに脆弱性を利用されるリスクを減らすことができます。
しかし、課題はバグハンターが、リスクを排除するための真の緊急性がない、あるいはないように見えることに苛立ちを覚えてしまう可能性があることです。
その結果、待つことに疲れてしまったためにフル・ディスクロージャーに逆戻りすることもあります。
脆弱性情報公開プログラムとは?
脆弱性開示プログラムとは、企業が脆弱性の報告を受けるためのプロセスです。優れた脆弱性開示プログラムは、脆弱性開示ポリシー(VDP)という形で、バグハンターに報告手順に関する明確な指針を提供します。
なぜ企業には脆弱性開示ポリシーが必要なのか?
なぜ企業に脆弱性開示ポリシーが必要なのかを説明するために、次のような状況を想像してみてください。
あなたは、近所の人が車のキーを挿したままにしていることに気づきました。隣人として、あなたは車を盗まれる可能性があることを警告しようとします。
知らせるために携帯電話に電話しようとしても相手の携帯電話番号を知らなかったら?
ドアをノックしても誰も出てこなかったら?
ポストに投函したらちゃんと見てもらえるでしょうか?
フロントガラスにメモを残すのもいいかもしれませんが他の人が先に見てしまったら?SNSのプロフィールを探し出し、メッセージを送ることもできますが、相手がメッセージをチェックする頻度は?
このようなジレンマがあります。
脆弱性開示プログラムは、人々が脆弱性を報告するための正式な方法を明確に定義することで、企業がこれらの問題を回避するのに役立ちます。
また、バグハンターは自分のメッセージが届けられたことを知ることができます。
バグハンターからのレポートの受付方法
バグハンターとの円滑な協力関係を築くには、脆弱性報告のための適切な体制とツールを整備することが不可欠です。企業によっては、電子メールやスプレッドシートを使ってレポートを管理することもありますし、バグバウンティプログラムを使ってレポートを作成するようバグハンターに指示することもあります。
バグバウンティプラットフォームを通じた脆弱性の開示
バグバウンティプログラムは、すでに成熟した脆弱性開示プロセスや、脆弱性を修正するための強力な内部プロセスを持っている企業に適しています。
しかし、これらの分野の成熟度が低い企業は、サードパーティベンダーと協力して、これらのプロセスを設定することができます。
何万人ものバグハンターがバグバウンティプラットフォームで活動しているのは、彼らが成功するための信頼できる基盤が提供されているからです。また、バグバウンティプログラムを設けるほど先進的な企業は、セキュリティに真剣に取り組んでおり、バグハンターからのフィードバックを歓迎していることも分かっています。つまり、時間を費やす価値がある企業なのです。
出典:Intigriti
https://blog.intigriti.com/2021/05/24/common-types-vulnerability-disclosure-ethical-hackers/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。