バグハンターから価値のあるバグバウンティレポートを入手する方法
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
バグバウンティプログラムは、デジタル資産のセキュリティを継続的にテストするための素晴らしい方法です。しかし、報告のほとんどが低品質または無効である場合、チームの負担になります。この記事では、バグバウンティのレポートの価値を向上させるためのポイントを提供します。
バグバウンティプログラムを開始する前に、品質管理をどのように行うかを検討します。そうすることで、時間を浪費する報告を避け、チームがより早くバグを修正することに集中できるようになります。
このページでは、実践可能な4つのポイントをご紹介します。
1. 明確で詳細なバグバウンティポリシーを作成する
まず最初にすべきことは、明確で詳細なバグバウンティポリシーを作成することです。バグハンターは、企業の優先事項を理解していないため、無効な課題を提出することがあります。企業が気にかけている問題にバグハンターの時間を費やすようにするには、詳細なバグバウンティポリシーを作成する必要があります。バグバウンティポリシーに含めるべき重要な情報は、次のとおりです。
- テストしてほしい資産とドメイン
- テストされたくない資産とドメイン
- 報告されたい問題と脆弱性の種類
- 報告されたくない問題、および情報提供または無効と分類される問題
- 報告形式や開示方針などの参加ルール
- バグの種類ごとの懸賞金額
優れたバグバウンティポリシーは、バグハンターの誤解による、企業が気にも留めないような内容のレポートの提出を防ぐことができます。
2. バグバウンティ報告例の公開
バグバウンティ報告書を改善するための次のステップは、サンプルを開示することです。プログラムに提出された優れたレポートを、バグの種類、トリアージタイムライン、報奨金額とともに公開することができます。これらの開示されたレポートは、企業が求めているものの肯定的な例となり、バグハンターは企業がどのような発見を評価し、報酬を与えているかを理解することができます。
また、バグバウンティ報告書の例を開示することは、バグバウンティプログラムの透明性と開放性の雰囲気作りに役立ちます。バグハンターは、自分の成果が評価され報われることを理解すれば、モチベーションが高まるでしょう。
また、無効な発見や紛らわしい表現を含む報告など、良くない事例を公開することもできます。バグハンターは、報酬につながらないことがわかれば、こうしたレポートの提出に慎重になるはずです。また、悪いレポートに関するフィードバックを公開することで、ハッカーコミュニティがあなたの製品や事業について啓蒙することにもつながります。
3. バグハンターとの長期的な関係の維持
バグバウンティプログラムのメリットを最大化するための最善の戦略の1つは、優秀なバグハンターと長期的な関係を築くことです。バグバウンティプログラムには、非常に重要で価値のある脆弱性を常に報告する一握りの「スターバグハンター」が存在することがよくあります。
バグバウンティプログラムのS/N比を最大化するために、エキスパートバグハンターに感謝の意を示し、関係を構築・維持するように努めましょう。これは金銭的なインセンティブである必要はありません。ただし、有効なバグ報告には必ず公正かつ期限通りにインセンティブを与えることを目指すべきです。その他の感謝の示し方としては、プロフェッショナルな対応、問題の迅速なトリアージ、修正の進捗に関する最新情報の提供などがあります。そうすることで信頼が生まれ、優秀なバグハンターをプログラムに引きつけることができます。
エキスパートバグハンターとの関係を深めるだけでなく、初心者にレポートに対するフィードバックを提供することで、彼らのレベルアップを支援しましょう。バグハンターは、特定の脆弱性や特定の製品について学ぶことで、より価値のあるレポートを提出するようになる傾向があります。現在、価値のあるレポートを提出していないバグハンターも、将来的にはスターバグハンターになる可能性があります。このような関係を築くことは、将来的に資産につながることが多いです。
4. トリアージプロセスを管理するためにバグバウンティプラットフォームを使用する
最後に、どのようなバグバウンティプログラムでも、無効な報告、有益な報告、重複した報告が常に存在し、これらの報告の管理には時間がかかることがあります。開発者やセキュリティチームが実際の脆弱性に時間を割けるようにするためには、マネージド・バグバウンティ・サービスを利用するとよいでしょう。
マネージド・バグバウンティ・サービスは、バグバウンティプログラムの運営・管理に伴う管理負担を軽減します。バグバウンティプラットフォームのプロセスの大部分を自動化し、専門家チームが偽陽性報告に対処します。例えば、インティグリティでは、セキュリティの専門家集団がプログラムに提出されたレポートをフィルタリングし、重要なものだけを企業へ転送します。
出典:intigriti
https://blog.intigriti.com/2021/04/08/valuable-bug-bounty-reports-from-researchers/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するintigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。