【事例】セキュリティプロセスの最終段階としてバグバウンティプログラムを利用

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

「私はIntigritiを通じて何千人ものバグハンターの創造性を利用することができます。そしてそれは、自動化や一般的なアルゴリズムを使って、検出の難しい脆弱性を見つけるよりはるかに優れています。」

– DPG Media社 CISO Thomas Colyn氏

バグバウンティに関するDPG Media社の経験談

DPG Media社について

DPG Media社は、国際的なデジタルメディアネットワークです。オランダ、ベルギー、デンマークで90以上の独自ブランドを傘下においています。このメディア制作コングロマリットは、1500万人の視聴者、リスナー、訪問者、携帯電話ユーザーに、現代の消費者のあらゆる関心をカバーするプレミアムコンテンツと技術を提供しています。さらに、DPG Media社は、戦略的ビジネスパートナーに広告の機会を提供しています。

課題:広範な攻撃対象領域を防御する

DPG Media社は、14,000以上の顧客向けドメインとアプリケーションを有しています。高度なスキルを持つサイバーセキュリティ部門があるにもかかわらず、ネットワークの膨大な攻撃対象領域を単独で防御することは困難でした。

受賞歴のあるセキュリティスペシャリストであり、DPG Media社のCISOであるThomas Colyn氏は、DGP Mediaグループ(オランダ、ベルギー、デンマーク)のすべての資産のITセキュリティと情報管理の責任者です。彼は、ネットワーク内の各製品、ドメイン、アプリケーションが、ペネトレーションテストを含む一連のセキュリティテストのステップを経るというプロセスを作り出しました。

「現在のIT戦略、情報セキュリティ戦略は、セキュアでアジャイルなエコシステムを構築しようとしているところにある。」

– DPG Media社 CISO Thomas Colyn氏

このプロセスを完成させるために、Colyn氏は、その後も継続的にセキュリティテストを適用するソリューションを必要としていました。

最終段階としてクラウドソーシングによるセキュリティテストを実施

DPG Media社のビジネス目標を達成するために、Colyn氏はIntigritiのバグバウンティプラットフォームをサポートとして利用することを選択しました。このプラットフォームは、バグハンターのネットワークを利用することを意味します。同時に、Intigritiのカスタマーサポートとトリアージチームを活用することができます。

トリアージチームの役割は、送られてきた脆弱性レポートをレビューし、スクリーニングすることです。この重要なステップにより、クライアントは適切で有効、かつ対象範囲内の脆弱性レポートのみを受け取ることができます。トリアージチームはまた、報告された調査結果を再現し、その影響と重大性を評価します。

DPG Media社のセキュリティテストプロセスにバグバウンティプログラムを絡める

DPG Media社内でプロジェクトが立ち上がる際、サイバーセキュリティのチェックの第一層として、品質保証環境でのテスト、そしてペネトレーションテストが行われます。これらのステップを経て、Colyn氏のチームはプロジェクトを成熟させ、バグバウンティプログラムとして立ち上げるのです。

「バグバウンティプログラムは、発見が困難な脆弱性でも発見できるという安心感を与えてくれます。そして、その脆弱性を迅速に修正することができます。そのお蔭で、私たちはお客様や読者、リスナーの皆さんに、より安心感を与えることができるのです。」

– DPG Media社 CISO Thomas Colyn氏

DPG Media社は、VTM Go、HLN、De Volkskrant、Algemeen Dagbladなど、14のブランドに対してすでに公開バグバウンティプログラムを開始しています。同ネットワークは、バグハンターコミュニティ全体のサポートを活用するために、プログラムを公開することを選択しました。DPG Media社は、公開プログラムに加え、自社が所有する関連ドメインについて、Intigritiを通じてレスポンシブルディスクロージャー・プログラムを実行することを選択しました。

サイバーテロ対策への継続的な取り組み

即効性のある結果

「Intigritiに資産やドメインを預けた瞬間に、すぐに結果が出ます」とColyn氏 は説明します。DPG Media社は、Intigritiのプラットフォームでバグバウンティプログラムを開始してから1年以内に、14ブランドで1,900件を超える脆弱性の報告を受けました。報告された脆弱性の深刻度は、低いものから特別なものまで様々です。

発見が困難なセキュリティ脆弱性の可視化

Colyn氏は、バグバウンティプログラムが、ペネトレーションテストとは大きく異なる利益をもたらすことを下記のように強調しています。

「常に、誰かが脆弱性を見つけようとしている。これがペネトレーションテストとバグバウンティの大きな違いの一つです。」

ペネトレーションテストは一定時間内で行われますが、バグバウンティプログラムは継続的に行われます。ペネトレーションテストの終了後、企業は安全であるという証明書を受け取るかもしれませんが、アップデートを行った後、それがまだ有効であるとは限りません。このような場合、バグバウンティプログラムはフォローアップとして有効に機能します。

効率的な時間配分

Intigritiのトリアージチームは、重複、範囲外、無効な脆弱性レポートを脆弱性管理プロセスから排除していました。このため、ネットワークのサイバーセキュリティチームは、パッチが必要な本物のセキュリティリスクにしか注意を払わずに済みました。

「Intigritiとの協働で最もインパクトがあったのは、セキュリティチームがレポートのトリアージに時間を取られなくなったことです。また、Intigritiは顧客第一主義で、発見された脆弱性を緩和するという共通の目標を持ち、オープンで協力的な関係を築けている点も評価できます。」

– DPG Media社 CISO Thomas Colyn氏

出典:Intigriti

https://blog.intigriti.com/2021/09/14/dpg-media-bug-bounty-programs-final-step-security-process/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現
Securify Bugty

ブログ一覧へ戻る

サービスに関するご質問・ご相談など
お気軽にお問い合わせください