バグバウンティプログラムの歴史

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

バグハンターの力を利用したセキュリティやバグバウンティプログラムは、今日のサイバーセキュリティ分野で成長している概念です。ホワイトハットハッキングとも呼ばれる倫理的ハッキングは、ブラックハットハッキングの活動よりも古いということは、あまり知られていないかもしれません。60年代を通じて、ハッキングとは単にシステムや機械を最適化し、より効率的に動作させることを意味しました。 

本記事では、バグバウンティプログラムの始まりから、インセンティブを伴う脆弱性開示がどのように行われるようになったかを見ていき、バグバウンティプログラムの歴史を探っていきます。

バグバウンティプログラムとインセンティブ付き脆弱性開示の歴史 

1995年:世界初のバグバウンティを実施

1995年、Netscap社は、社員以外からのバグ報告に対して報奨金を提供することに踏み切りました。彼らはNetscape Navigator 2.0 Betaで、今ではバグバウンティとして知られている、新しいサイバーセキュリティの概念を打ち出しました。 

Netscap社のMattHorner氏(Vice President of marketing)は当時、この決定について次のように語っています。「脆弱性を素早く発見し報告してくれたユーザーに報いることで、このプログラムはNetscape Navigator 2.0の広範囲にわたるオープンなレビューを奨励し、最高品質の製品を作成し続けるのに役立つことでしょう。」

この先進的なプログラムは、Netscape Navigator 2.0の最終リリースまで実施されました。 

2002年: IDefence社が仲介役となる

それから7年後、バグバウンティプログラムはようやく他のソフトウェアベンダーにも浸透し始めました。Netscape社に続いて最初に参入したのは、セキュリティ会社のIDefence社です。IDefence社は、Vulnerability Contributor Programを立ち上げ、バグハンターがあらゆるソフトウェアで発見された脆弱性を報告することができるようにしました。これは、ソフトウェアベンダーとバグハンターとの中間的な役割を担っています。また、IDefence社の競合であるTippingPointが同様のビジネスモデルを立ち上げるまでに、さらに3年の歳月を要しました。  

2004年: Mozilla社、Firefoxの脆弱性公開を開始 

2004 年、Mozilla社はバグバウンティプログラムを開始し、Firefox内の重要な脆弱性を報告したバグハンターに最大500ドルの報奨金を提供するようになりました。このプログラムは現在も実施されており、バグハンターコミュニティの間で人気を博しています。 

2010年: Google社、ウェブアプリケーションにバグバウンティを展開 

バグハンターの力でセキュリティを確保するというコンセプトが、Google社のバックアップで動き始めました。Google社は、オープンソースのChromiumプロジェクトで小規模なバグバウンティプログラムに成功した後、自社のウェブアプリケーション全体でバグバウンティプログラムを開始しました。その直後、Mozilla社は自社製品のほとんどを対象とするプログラムに拡大したり、その他、バラクーダネットワークス、ドイツ連邦郵便公社などの大手企業もプログラムを開始しています。

2011年: Facebook社がWhitehatプログラムを開始

Facebook社もWhitehatプログラムを開始し、その仲間入りを果たしました。このソーシャルメディアネットワークは、報奨金の支払いに上限を設けていません。また、バグハンターには最低でも500ドルの報奨金が支払われることになっています。2011年3月、Facebookは22歳のバグハンターに、1つのバグに対して15,000ドルを支払い、2015年までにソーシャルメディアネットワークは世界中のバグハンターに430万ドル以上を支払っています。

2013 – 2015年: シリコンバレーで盛んなバグバウンティ 

2013年になると、カリフォルニア州シリコンバレーでは、クラウドセキュリティへの投資が加速度的に増えてきました。Microsoft、GitHub、Etsyなども、2015年までにバグバウンティプログラムを立ち上げました。

2016年~2021年:Intigritiが欧州にバグバウンティの恩恵をもたらす 

サイバーセキュリティの専門家であり起業家でもあるStijn Jansは、成功したペネトレーション会社から手を引き、バグバウンティの世界に専念するという大きな決断を下します。彼はIntigritiを立ち上げ、すぐに数々の賞を受賞しているバグハンター、Inti De Ceukelaireを雇い入れました。二人の知識と持続可能なセキュリティへの情熱が融合し、ヨーロッパ全域でバグハンターによるセキュリティの推進が始まりました。

2020年、Intigritiは倫理的ハッキングコミュニティを成長させ、持続可能な技術企業を保護するために410万ユーロを調達します。また、DeloitteのTechnology Fast 50 2020など、いくつかの賞を受賞しています。この賞は、ベルギーをはじめ、世界各国で最も業績が良く、急成長しているテクノロジー系スタートアップ企業上位50社を表彰するものです。 

バグバウンティとインセンティブ付き脆弱性開示の未来 

俊敏性を重視する現代のデジタルビジネスでは、俊敏でスケーラブルなセキュリティテストが必要とされています。バグバウンティプログラムは、その安定性、拡張性、そして進化し続けるサイバー脅威の一歩先を行くことにより、このニーズに対応することができます。 

世界で最も有名な技術・イノベーションブランドは、バグバウンティの歴史において、そのプログラムが注目されてきました。そのため、バグバウンティプログラムについては、大きな予算を持つ大企業だけが対象であるという一般的な誤解があります。また、ほとんどのプログラムは公開されているという考え方もあります。多くの企業が公開型プログラムを目指しているにもかかわらず、現実には、ほとんどのバグバウンティプログラムが非公開型プログラムから始まっています。

非公開のバグバウンティプログラムは、あらゆる規模の企業が厳選されたバグハンターと協力できるため、クラウドセキュリティへの第一歩として最適です。また、特定の分野を外部テストから除外したり、金銭的な影響を及ぼすような脆弱性など、特定の侵害を探すようバグハンターに指示したりすることも可能です。

バグハンターに対する認識が変化し、企業がサイバーセキュリティへの貢献を受け入れるようになれば、バグハンターによるセキュリティはさらに勢いを増すことになるでしょう。

出典:Intigriti

https://blog.intigriti.com/2021/06/23/history-bug-bounty-programs/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現
Securify Bugty

ブログ一覧へ戻る

サービスに関するご質問・ご相談など
お気軽にお問い合わせください