IntigritiのEthical Hacker Insights Report2021:サイバーセキュリティについての対策状況
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
サイバーセキュリティの脆弱性の3件に1件は未対応の可能性
アントワープ(ベルギー)、2021年6月1日 – 非接触・オンライン社会の到来により、無数の組織がオンラインビジネス運営と労働力を分散するようにしています。しかし、サイバー犯罪の増加に伴い、企業がハッカーに対抗するだけでなく、彼らを受け入れるセキュリティ戦略を必要としていることは明らかです。
グローバルなバグバウンティプラットフォームであり、最も急成長しているバグハンターコミュニティであるIntigritiは、継続的なセキュリティテストを通じてサイバーセキュリティ体制を強化する知識を企業に提供したいと考えています。
新しいEthical Hacker Insights Report 2021は、バグハンターの膨大なコミュニティから得られた長年の専門知識、最適な方法のガイドライン、人物像を集約し、企業が新世代のバグハンターに対応できるよう支援するものです。
情報開示プログラムを持たない場合、バグハンターが発見したセキュリティリスクの44%が企業に届かない
最近、Intigritiのコミュニティに、バグバウンティプログラム以外でどのように脆弱性を報告しているかを社内で調査したところ、70%が以前に脆弱性を特定したことがあるが、それを報告するための脆弱性開示ポリシー(VDP)が見つからなかったことが判明しました。このうち、12%は報告を行っておらず、報告した人のうち32%は、報告書が途中で行方不明になった、あるいは報告できたかどうかわからないと回答しています。つまり、44%のリスクが未検出のまま悪用される可能性があるのです。
Intigritiは、バグハンターの協力が現代のデジタルインフラのサイバーセキュリティにどれほどの違いをもたらすかについて、認識を深めたいと考えています。
サイバーセキュリティ社会におけるバグハンターの活躍の場
Ethical Hacker Insights Report 2021では、バグバウンティプラットフォームを通じて倫理的ハッキングコミュニティを活性化させることのメリットについて掘り下げています。
- Intigritiのバグバウンティプログラムは、テストを開始してから48時間以内に、71%の企業が高〜致命的レベルの報告を受けています。
- プログラム開始から1週間以内に提出された脆弱性の平均件数は53件です。
この報告書では、バグハンターの年齢層は18~24歳が最も多く、80%がITに従事していること、バグバウンティ収入のほとんどが若者の教育に再投資されていることなどが概説されています。
また、今日のバグハンターの典型的な特徴として、コミュニティマインドや他人を助けたいという野心を持ちながら、仕事のスキルを向上させたいという動機があることなどが示されています。
Intigritiのハッカー部門責任者であるInti De Ceukelaire氏は次のように述べています。「私たちは、『ハッカーはその才能を悪用して利益を得ることが目的である』という一般的な誤解を解こうとしています。倫理的ハッキングのビジネスアプローチは、深い技術的な専門知識を利用することで、コミュニティに属する全ての人にとって建設的で有益なサイバーセキュリティ社会を実現します。Ethical Hacker Insights Report は、私たちが誰のために、どのような目的で、何をしているのかを示しています。バグハンターの創造性は、まだ目を向けられていない問題に取り組み、サイバーセキュリティを向上させ、より安全な職場環境を構築しています。これは、究極の業界セキュリティハックといえます。 」
会社の評判はセキュリティ意識にあり
Intigritiは、DPG Media社、Randstad社、Showpad社、Visma社、Tomorrowland、ブリュッセル航空、Kinepolis、欧州委員会など、数多くの大手企業のセキュリティレベルの変革に影響を与えています。Intigritiは、バグハッキングとバグバウンティプラットフォームのリーディングカンパニーとして認知されており、無数の産業分野にわたるあらゆる形や規模の組織をサポートすることで、サービスのポートフォリオを拡大し続けています。
IntigritiのCEO兼創設者であるStijn Jans は、「倫理的なハッキングへの投資は、企業の評判への投資です」と述べ、市場や地域性を熟知したバグバウンティプラットフォームを活用することの重要性についてコメントしています。「バグバウンティプログラムを実施することで、企業はセキュリティに関する問題点や不要なコストを削減し、新たな自信をもってオンラインで活動することができるようになります。」
出典:Intigriti
https://blog.intigriti.com/2021/06/02/intigriti-ethical-hacker-insights-report/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。