【事例】MuuseLabs社、Intigritiの倫理的ハッキングプラットフォームで子どものIoTデバイスを保護

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

子供向けデバイスをオンラインで販売するモノのインターネット(IoT)新興企業であるMuuseLabs社は、サイバーセキュリティ戦略を確保する必要がありました。しかし小規模なチームであったので、通常の業務を遂行しながら、独自のセキュリティプログラムを実行することはできませんでした。そこで、同社はIntigritiに支援を依頼しました。

MuuseLabs社について

MuuseLabs社は、テクノロジーと優しさを融合させ、次の進化を遂げるファミリーエンターテイメントを構築するハイテクIoT企業です。同社は、Google社、Huawei社、Barco社の元社員で、技術に精通した3人の父親達によって2014年に設立されました。 

同社は、画面を通して子どもたちを孤立させるのではなく、子どもたちの想像力を引き出すような体験を生み出すことを目指し、家族向けのエンターテインメントデバイスを構築しています。彼らのミッションは、一体感、安全性、目的意識をもたらすことでした。このミッションを念頭に置いて、彼らは子供向けのスクリーンフリーの音楽プレーヤーを作りました。それがJookiです。スピーカーに付属する小さなフィギュアの一つを子供がデバイスに置くと、音楽が流れ始めます。親が自分で音楽やオーディオブックをJookiにアップロードしたり、Spotify Premiumでストリーミング音楽を聴くことも可能です。

子供向け製品を作る際のセキュリティの重要性 

MuuseLabs社 CTO Will Moffat:Jookiを通じて、子ども部屋にテクノロジーを導入するのですから、安全でなければなりません。セキュリティに重点を置き、お客様に信頼していただく必要があります。

バグバウンティプログラムはどのように信頼を生み出すか

Muuse研究所が信頼を得る方法のひとつに、Inttigritiとのバグバウンティプログラムがあります。高度なスキルを持つ専任のセキュリティ専門家チームが24時間365日、自社のITインフラを監視していることは、攻撃対象領域を継続的にテストしていることを示すものです。これにより、「見てください、私たちは世界トップクラスのプログラムを実施しているのです。私たちは信頼できるのです。」とお客様にも言えるでしょう。

ペネトレーションテストと継続的評価

MuuseLabs社はペネトレーションテストを評価しましたが、同社の製品は(機能やセキュリティの面で)継続的に進化しているため、バグバウンティプログラムのサービスを好んで利用しています。

Will Moffat(CTO MuuseLabs)とYannick Merckx(Success Manager intigriti)

少人数のスタートアップがクラウドソーシングでセキュリティを管理する方法

Will Moffat:小さなチームなので、自分たちでセキュリティプログラムを実行することはできませんでした。質の高いバグレポートのソースが必要だったのです。そこで、投資家の一人がIntigritiを強く薦めてくれたのです。

最大の変化は、定期的なセキュリティレビューから継続的なセキュリティ改善へと移行したことです。これは品質面で本当に大きな進歩でした。Googleをはじめ、高い評価を得ている企業での開発経験は豊富ですが、バグハンターに見守られていることを知ると、さらに安全性を高めるために余念がありません。

結果:実用的なレポートが迅速な意思決定を可能にする

現在、Will Moffat氏とそのチームは、品質の高いバグハンターにアクセスし、実用的なトリアージレポートを入手することができます。また、同氏は、バグハンターが異なる考え方をする傾向があることにも同意しています。彼らは、MuuseLabsにとって重要かつ高セキュリティな問題を提起し、自分たちでは十分に評価していなかった方向性をチームに示してくれました。

Will Moffat:私たちは、クリスマスの前にたくさんのJookiを販売します。Intigritiのバグハンターが、数ヶ月前に当社のeコマースサイトに致命的なバグを発見したのです。そのバグにパッチを当てて修正することで、クリスマス期間の売上を落とさずに済んだので、とても感謝しています。

MuuseLabs の中核であるWill Moffat(CTO)、Pieter Palmers(COO)、Theo Marescaux(CEO):子供たちに囲まれて。

スタートアップ企業のセキュリティ

MuuseLabs社は、小さなチームだからといって、セキュリティに真剣に取り組む必要がないわけではないことを示しています。最近では、バグバウンティプログラムが業界のベストプラクティスになっています。Will Moffat氏は「顧客がデータを失い、信頼を失い、あなたに対する信用を失う原因になりたくはないのです。」と考えているそうです。

出典:Intigriti

https://blog.intigriti.com/2020/03/26/muuselabs-protects-childrens-iot-devices-through-intigritis-ethical-hacking-platform/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現
Securify Bugty

ブログ一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

料金プランを詳しく見る