ペネトレーションテストとバグバウンティプログラムの違いについて
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
オンラインビジネスを展開する企業が増えるにつれ、情報漏洩のリスクは高まり、その頻度も増しています。今回は、企業で一般的に使用されている2つのセキュリティテストの、主な違いについて紹介していきます。
ペネトレーションテストとバグバウンティプログラムのどちらのモデルが自社のビジネスニーズに最も適しているか比較検討していきましょう。
ペネトレーションテストとは?
一般的にペネトレーションテストは、外部のセキュリティ会社によって実施されます。ハッカーが企業のデジタル資産やシステムに侵入できる隙がないかを確認するために行います。
悪質なサイバー攻撃のリスクを減らすためには、ホワイトハッカーを使いアプリケーション、機能、システムをテストすることが望ましいです。
料金はテスト実行時間に応じて変わります。具体的には1日または1時間単位で料金が発生します。年に1回はペネトレーションテストを実行したほうが良いでしょう。
ペネトレーションテストは、企業のサイバーセキュリティへの取り組みを示すという意味で重要であり、また潜在的なハッキングの隙を明らかにし修正すべき点を教えてくれます。
バグバウンティプログラムとは?
バグバウンティプログラムは、バグハンターが企業のシステムに侵入する隙がないかを見つけるための、継続的なセキュリティテストモデルです。
バグバウンティプログラムは多様なスキルセットから構成されているため、より多くの範囲をカバーすることができます。企業は、バグハンターが脆弱性を特定した場合にのみ報酬を支払います。
一部の企業は、バグバウンティプログラムを自社ウェブサイトで公開し、そのプロセスを自社で管理していますが、多くの企業では、バグバウンティプラットフォームでプログラムを公開することが一般的です。
バグバウンティプラットフォームの仕組みは?
バグハンターがバグを発見した場合、企業に直接報告するのではなく、バグバウンティプラットフォーム経由で報告を提出します。トリアージチームは、レポートが有効かどうか、対象範囲内かどうかをチェックし、企業とバグハンターを仲介します。
バグバウンティプログラムはバグハンターが脆弱性を発見するためのインフラ及び法的枠組みを提供しているため、これまで数多くのバグハンターによってバグバウンティプログラムが実行されてきました。
また、ビジネスと連携し、予算管理などの側面からもアドバイスを行います。これらのステップによって、質の低い脆弱性レポートや無関係なレポートによる時間の無駄を大幅に削減することができます。
ペネトレーションテストとバグバウンティプログラムの違い
バグバウンティプログラムとペネトレーションテストは、どちらもハッカーに悪用される可能性のある脆弱性を特定することを目的として実行されていますが、いくつかの違いがあります。
一般的に、ペネトレーションテストはスポットで対応するのに対し、バグバウンティプログラムは継続的に行われます。また、ペネトレーションテストの終了時に安全を示す証明書を受け取ることができますが、必ずしも次にアップデートを行う際に有効であるとは限りません。そこで、バグバウンティプログラムがフォローアップとして有効に機能します。
ペネトレーションテストペンテストとバグバウンティプログラムの違い
ペネトレーションテストとバグバウンティプログラムのもう一つの大きな違いは、料金体系です。
バグバウンティプラットフォームでは、バグハンターは、未発見のバグを発見し報告した場合、それに応じた報酬を支払います。報酬の額は、その脆弱性がどの程度重大であるかによって異なります。一方、ペネトレーションテストはセキュリティ会社が提供するサービスに対して支払われるという特徴があります。
ペネトレーションテストとは異なり、バグバウンティプログラムは特定の方法に従うものではありません。例えば、intigriti(インティグリティ)のプラットフォームを利用する場合は、管理された環境下で、プログラムを掲載するための料金を支払います。これにより、バグハンターのコミュニティは、対象のシステム、サービスのセキュリティを評価します。
対象のシステム、サービスは、コミュニティ全体に公開することもできますし、非公開に設定することもできます。また、プライベートプログラムは、バグハンターが招待された場合のみ、その企業のプログラムに参加できます。
あなたのビジネスに最適なモデルは?
ペネトレーションテストとバグバウンティプログラムを比較する場合、考慮すべき重要な要因はいくつかあります。
バグバウンティは、バグハンターが脆弱性を報告するインセンティブを提供するため、責任ある情報開示ポリシーに従っている企業にとって好都合です。また、セキュリティテストに力を入れていることを表明することで信頼の獲得にも繋がります。
ペネトレーションテストは、サイバーセキュリティの一般的な強さを評価するために、伝統的に行われてきた方法です。しかし、どちらか一方でなければならないわけではなく、多くの企業は、両方の方法を統一して適用しています。
それぞれ異なるアプローチでセキュリティを適切に管理することが重要です。
出典:Intigriti
https://blog.intigriti.com/2021/05/04/penetration-testing-vs-bug-bounty-programs/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。