Intigritiリーダーボードとは何か、それが企業のバグバウンティプログラムにどのような影響を与えるか
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
バグハンターはオリンピックのアスリートに似ています。
競争相手は?
バグバウンティプログラムの奥深くに埋め込まれた、隠れた脆弱性です。
賞品は?
バウンティ(報奨金)です。
彼らは進化論のようなスピードで進化し続ける脆弱性を舞台に活躍をしています。
さらに、Intigritiではリーダーボードという競争を加えることで、バグハンターがバグハンティングをより面白く実施できる環境を提供しています。
今回の記事では、Intigritiのリーダーボードがどのようなものか、より詳しく説明していきます。また、バグバウンティプログラムやバグハンターコミュニティにどのような利益をもたらすかについても紹介していきます。
目次
リーダーボードとは?
Intigritiのリーダーボードには、プラットフォームのバグハンターと業績やランク、評判が掲載されています。Intigritiのバグハンターが優れた業績を上げたとき、あるいはリーダーボードの上位にランクインしたとき、イラスト入りのポートレートが贈られます。また、デジタルデータだけでなく、ポスターにしてお渡ししています。
リーダーボードでより高いランクを獲得するためには、バグハンターは、強力なストリークと高い有効性比率を維持しながら、できるだけ多くのレピュテーションポイントを獲得する必要があります。以下では、これらがどのようなものか説明します。
評価ポイント
Intigritiは、金銭的な報酬とは別に、バグハンターがバグを発見すると、レピュテーションポイントという形で報酬を与えます。報奨されるレピュテーションポイントの量は、レポートの重要度に依存し、重要度が高ければ高いほど、バグハンターはより多くのレピュテーションポイントを獲得することができます。
有効比率
Intigritiがバグハンターの質を測るもう一つの指標は、有効性比率です。
これは、そのバグハンターが提出した投稿の総量に対する有効な投稿の割合を指します。
ストリーク
ストリーク指標は、バグハンターが過去90日間に提出した全投稿のうち、上位の深刻度を探るもので、これらの投稿があったとします。
- 企業にて受理
- 重複しているとして却下
Intigritiのリーダーボードは、プラットフォーム上のすべてのアクティビティをカウントしています。また、90日間のリーダーボードや企業プログラムのリーダーボードなど、他にも多くのリーダーボードも存在します。
Intigritiのリーダーボードは、プラットフォーム上の企業にどのような利益をもたらすのか?
主に、リーダーボードはプラットフォーム上での活動を増加させます。
その結果、Intigritiで利用可能な多くのバグバウンティプログラムへの貢献が促進されることに繋がります。以下に、その3つの方法を説明します。
1. バグハンターは良い仕事をした時に評価される
TelenetグループのサイバーセキュリティマネージャーであるEric de Smedt氏は次のように説明しています。「Intigritiは、バグハンターが認められるためのプラットフォームを提供しています。」IntigritiのEthical Hacker Insights Report 2021の調査結果に基づくと、これはバグハンターにとって重要な動機であることが分かっており、Intigritiのコミュニティの21%にとって認知度が重要な推進力であることがわかりました。
Intigritiは、長年にわたってこの分野に貢献してきたバグハンターたちを評価するよう努めていますが、それとは別に、新進気鋭のバグハンターの活躍にもスポットライトを当てています。
例えば、レピュテーション順位は、リーダーボードが作成されてからのスコアを表示します。この指標は、コミュニティ内のバグハンターの特定期間内での評価を示す指標となります。90日フィルターは、過去90日間にそのバグハンターが集めた評価ポイントの数を表示します。
この指標は、プラットフォーム上での最近の活動状況を示すものです。また、新進気鋭の才能が注目されるチャンスを与えることもできます。
2. 切磋琢磨することでエンゲージメントの機会が増える
このように、バグハンターはプラットフォームを通じて評価を得る方法があればあるほど、モチベーションが上がると感じているようです。リーダーボードはその典型的な例であり、多くのバグハンターが現在のスコアを更新することに意欲を燃やしています。
リーダーボードでの順位を上げるためには、バグハンターはこのプラットフォームに関わり続け、バグバウンティプログラムに参加し、高品質の脆弱性レポートを作成することしかありません。
「バグハンターが常に向上心を持ち、ハッキング仲間を上回ろうとする姿を見るのは望ましいことです。このような健全な競争がコミュニティを活性化させ、お客様にさらなる価値を提供するのです。」
ーIntigriti ハッカーイネーブルメントマネージャー Pascal Schulz氏
Intigritiの90日間のリーダーボード(2021年8月)内では、トップ10のバグハンター全員が例外的または重大なストリークを持っています。
3. バグハンターの継続的なモチベーション
また、バグハンターがリーダーボードに入る評価ポイントは、企業やIntigritiが招待制(非公開)のバグバウンティプログラムに参加するハッキング人材を発掘するための材料としても機能します。スコアが高いほど、より良い立場のバグハンターが選ばれます。IntigritiのEthical Hacker Insights Report 2021が明らかにしたように、招待制のバグバウンティプログラムはバグハンターへの強力なアピールポイントになります。
Intigritiのコミュニティでは、30%がこの招待制(非公開)を理由にバグバウンティープログラムを選んで参加しています。しかし、プライベートプログラムへの参加は、バグハンターにとってゴールではありません。バグハンターは、Intigritiのライブハッキングイベント(ハッカーは無料で参加できます)への参加権を獲得することもできます。
イベント主催者の目に留まるためには、このプラットフォームで目立つ必要があります。これまで、90日間のリーダーボードでトップの成績を収めたバグハンターは、Intigritiの受賞歴のあるハッカー部長、Inti De Ceukelaireが開催するイベントに独占的に招待されてきました。
Intigritiのライブハッキングイベント「1337UP 1119」に参加したバグハンターが、その見どころを語ってくれました。
「これは私にとって夢のような経験でした。そして、バグハントにもっと時間を割こうという気になりました。出会ったバグハンターたちの印象的で創造的なバグにより、私のレベルを更に上げてくれました。このようなインスピレーションを与えてくれたことに感謝します!
また、バグバウンティハンティングに長年取り組んできたリーダーボード上位のバグハンターは、Intigritiのプラットフォームについて開発者にフィードバックするよう招待されています。これは、Intigritiが成長する過程で、バグハンターがコミュニティや製品をどのように形成し、発展させていくのかという影響を与えるチャンスとなります。」
継続的なセキュリティテストには、継続的に活動するバグハンターのコミュニティが必要である
Intigritiのバグハンターのコミュニティは急速に拡大していますが、最大手になることが第一の目的ではありません。Intigritiの目的は、発見が困難な脆弱性を表面化させることに純粋な情熱を持ち、非常に熱心なバグハンターのネットワークを構築することです。献身的で熱心なバグハンターの集団を作ることで、企業が年間を通じて攻撃対象領域をより明確に把握できるよう支援することができるのです。
出典:Intigriti
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
