倫理的ハッキングとバグバウンティによる資産の保護

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

バグハンターコミュニティの代表として、Arne Swinnen氏、企業内のIT専門家としては、ルーヴェン大学病院のITマネージャーであるReinoud Reynders氏とTelenetグループのサイバーセキュリティマネージャーであるEric de Smedt氏に話を伺いました。

バグバウンティとは?

Arne Swinnen:バグバウンティは、バグハンターがIntigritiのようなプラットフォームを介して企業のシステムを調査するというコンセプトです。脆弱性を報告することで、企業はシステムを修正することができるのです。

高速開発する時代のセキュリティ

Reinoud Reynders:ルーヴェン大学病院にとって、セキュリティは非常に重要です。私たちは、ペネトレーションテストや脆弱性テストなどの古典的なテストを数多く行っていますが、私たちのアプリは絶えず更新されているので、それだけでは信頼性が十分ではありませんでした。それよりも、バグバウンティプラットフォームを使って、進化の早いアプリを保護し続ける方がずっと効果的です。プラットフォーム上のバグハンターは、継続的にバグやセキュリティリークを探してくれます。

バグハンターは問題を探すのがモチベーション

Arne Swinnen: バグハンティングは、会社のシステムの問題点を責任を持って探す挑戦だと考えています。また、報奨金を得ることができるので、面白さもあります。特定の企業の問題を見つけることができるということは、私にとっても良い経験になります 。

バグバウンティとペネトレーションテスト

Reinoud Reynders:また、支払いに対しても違いがあります。バグバウンティプラットフォームの場合はバグハンターが何かを見つけることができた場合のみ、報奨金を支払います。もしペネトレーションテストを依頼するとしたら、テスト期間に対して支払いが発生しますが、結果が出るかは分かりません。

Eric de Smedt:Intigritiでは、公開プロジェクトを立ち上げて、それをテストすることも可能です。また、より集中的なセキュリティテストのために特定のプロジェクトを作成したり、特定のプロジェクトに特定のバグハンターを招聘することもできます。

バグハンターのコミュニティ

Arne Swinnen: バグハンターは皆、専門分野を持っています。それがバグバウンティプラットフォームのコンセプトの強みです。会社のシステムを、バグハンターたちにより、あらゆる角度から見れば、より多くの問題が見つかるでしょう。

多くの企業におけるセキュリティ手法としてのバグバウンティ

Eric de Smedt:オンラインサービスを提供するすべての企業は、バグバウンティプラットフォームを利用することができます。特に、ウェブショップや、顧客が商品を注文するビジネスモデルを持つアプリケーションはそうです。

脆弱性の発見は、セキュリティプロセスの一部

Reinoud Reynders:バグハンターはすでに私たちのシステム内でいくつかの脆弱性を発見しています。私にとっては、バグバウンティプラットフォームとの連携が、当社のセキュリティプロセスの重要な一部であることを証明するものであり、今後もバグハンターと連携していくつもりです。

バグバウンティに関するTelenet社とルーヴェン大学病院の経験談

出典:Intigriti

https://blog.intigriti.com/2021/07/22/securing-assets-through-ethical-hacking-and-bug-bounty/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現
Securify Bugty

ブログ一覧へ戻る

サービスに関するご質問・ご相談など
お気軽にお問い合わせください