脆弱性開示プログラムとバグバウンティ:どちらがベストか?
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
バグハンターは、セキュリティ上の欠陥を発見し企業に報告するために多大な時間を費やしています。彼らがストレスなく、かつ感覚的にセキュリティの脆弱性を開示できる方法を構築することは非常に重要です。それにより、レスポンシブル・ディスクロージャーを促すだけでなく彼らの貢献度を最大限に高めることができます。その結果、プロセスのボトルネックが解消され、より迅速にバグを修正することが可能になります。
脆弱性開示レポートの受信と管理にはいくつかの方法を選択することができますが、様々な選択肢を凝縮すると、最終的には大きく2つの選択肢に絞られます。
- 脆弱性開示ポリシーの自己公表
- バグバウンティプラットフォームなどのサードパーティベンダーを通じて公開し、ホストする
今回は脆弱性情報公開プログラムとバグバウンティプログラムの違いと両者の課題とメリットについて解説します。
この記事を通してどちらの方法が自社のビジネスニーズに最も適しているのか、明確に分かるようになれば幸いです。
目次
脆弱性開示プログラムとバグバウンティプログラムの違い
脆弱性開示プログラムにおける連絡先の公開方法
この方法は、脆弱性開示ポリシーを通じて、企業の連絡先をWebサイトで公開するものです。バグハンターは、この情報を利用し企業のシステムで発見した脆弱性を警告することができます。
もちろん、脆弱性開示ポリシーによってプロセスの概要を示すことは、脆弱性開示プログラムを成功させるための要素の半分に過ぎません。このためには、コミュニケーションが重要です。両者の潜在的な不一致を回避するためには、次のことが重要です。
- 受領確認のための初回リクエストに対応する
- 追加情報が必要な場合のために、オープンなコミュニケーションラインを維持する
- トリアージを行うためのタイムラインの提供
- 脆弱性の確認または拒否
- パッチ導入のスケジュール
- 報奨金の詳細を確認する
- 必要であれば、バグハンターに再試験を依頼する
- 問題が修正されたら、レポートを更新する
もちろん、バグハンターへの支払いや報奨金も、適切な時期に、適切な金額で行う必要があります。
メリット
脆弱性開示ポリシーは、セキュリティ上の問題が発見されないリスクを軽減するだけでなく、企業にとって次のようなメリットがあります。
- 脆弱性報告プロセスの合理化
- 情報セキュリティとデータ保護へのコミットメントを示す
- ステークホルダーや顧客との信頼関係構築
- バグハンターが企業のサービスをテストする際のルールを確立する
また、バグハンターにとっても、脆弱性を公表するためのインセンティブになります。さらに、セーフバーバー協定の一環として、自分たちのハッキングに対して法的措置がとられないという安心感も得られます。
脆弱性開示ポリシーのセルフマネジメントの課題
脆弱性開示ポリシーを自分でホスティングして管理することの最大の難点は、多大な時間と労力の投資を必要とすることです。例えば、受信したレポートの管理とトリアージは、社内のセキュリティチームに責任があります。
情報開示プログラムを立ち上げた当初は、多くの企業が大量のレポートを受け取ることができますが、一段落すると、コミュニティ内の熟練したバグハンターはバグバウンティ・プラットフォームの外には目を向けないため、質の高い報告もなくなります。このため、不要な報告に費やす時間が増えてしまいます。
成功した脆弱性の管理にも、時間的な投資が必要です。たとえば、バグハンターが約束した時間内に適切な報奨金を受け取れるようにする必要があります。これは、良好な協力関係を維持するために重要です。
また、企業によって報告がさまざまな脆弱性開示ポリシーの連絡ルートにより遠回りし、適切な担当者に届くまで時間がかかってしまうという問題を抱えることがあります。例えば、多くの企業はバグを報告するための電子メールアドレスをバグハンターに提供します。しかし、メールボックスが脆弱性報告をスパムと勘違いしてしまい、見逃すことも多いのです。
バグバウンティプログラムによる脆弱性の開示
脆弱性開示ポリシーでは、バグハンターがレポートを提出することができますが、バグバウンティプログラムではバグハンターのコミュニティがセキュリティテストを実施することを積極的に奨励します。バグハンターは、影響度と品質に基づく潜在的な収益構造によって報奨金を与えられます。
バグバウンティプラットフォームを利用するメリット
バグバウンティプログラムを通じて脆弱性の開示を奨励する企業は、システムをテストすることを熱望する何万人もの検証済みのバグハンターを利用することができます。多くのバグハンターは、公式のバグバウンティ・プラットフォームを利用して脆弱性を探すことを選択します。これは、レポートを提出し報奨金を得るための明確で管理された方法を提供するためです。また、信頼できるインフラと法的な枠組みも提供されるため、成功につながります。
サードパーティベンダーを通じてバグバウンティプログラムを開始するもう一つの大きなメリットは、それに付随するクライアントサポートです。すべてのクライアントは、カスタマーサクセスチームやトリアージチームにアクセスすることができます。
カスタマーサクセスチームは何をするチームなのか?
カスタマーサクセスチームは、企業がプログラムを最大限に成功させるための最適化を支援します。例えば、プログラムの範囲を明確に定義し、バグハンターへの補償やセキュリティ上の欠陥の重大性の概説方法などについて、お客様と協力してアドバイスをします。また、公開型プログラム(誰でも参加できる)か非公開型プログラム(企業側が参加者を選別する)かの選択を支援することもできます。
中でも重要なのは、予算が適切に管理されていることを確認することです。例えば、インティグリティの場合、プログラムに割り当てる予算はユーザーが決め、カスタマーサクセスチームはユーザーが使いすぎないようにします。また、協力してくれたバグハンターへの迅速な支払いも、このプラットフォームが担ってくれます。
トリアージとは何をすることなのか?
バグハンターがプログラムに参加し、バグを発見すると、プラットフォームを通じてレポートを提出します。しかし、ユーザーのチームに直接レポートを提出するのではなくトリアージチームがまず、そのレポートが有効かどうか、重複していないか、範囲内かをチェックします。これにより、社内のチームは、有効なレポートのみを受け取ることができます。
以下は、レポートをクライアントにエスカレーションする前に行うステップの要約です。
- 報告書のレビュー
- セキュリティ問題の影響度の評価
- 脆弱性が再現可能性の判断
- そのバグが有効な脆弱性であるかの確認
- 報告書に含まれる情報の承認(クライアントにとって意味のあるものであることを確認するため)
- さらに情報を要求する (必要な場合)
- 重複した脆弱性の提出を防ぐ
- 会社のプログラム内容に基づき、範囲外の報告の辞退
- 影響度に応じた脆弱性の重大性の評価
- クライアントとバグハンターの仲介
これらのステップは、企業の時間を大幅に短縮するだけでなく、企業とバグハンターの間に、適切な関係を築くのに役立ちます。
Intigritiのプログラム・マネージャー兼トリアージャーのQuinten Van Inghは、このことについての詳細を下記のように話しています。
「ロボットではなく、人と会話しているような感覚を、どちらのコミュニティにも持ってもらうことが重要です。トリアージャーというのは、何かが有効か無効かを指摘するだけではありません。私たちが下すすべての決定には、詳細な説明が必要です。私たちは、できる限りお役に立ちたいと考えています。」
これにより、バグハンターをユーザーのプログラムに何度も参加させることができ、ひいては、ユーザーのビジネスが継続的なセキュリティ・テストを行うために信頼できるコミュニティを構築することができます。
課題点
ほとんどのバグハンターは報奨金を得るためにバグバウンティプラットフォームを利用しています。しかし、予算が少ないと言って中小企業が、バグバウンティプログラムを利用して脆弱性の開示を管理することを躊躇するべきではありません。報奨金は、バグバウンティハンターにとって数ある動機の1つに過ぎません。例えば、Ethical Hacker Insights Reportは、バグバウンティプラットフォームがバグハンターの学習と開発の場としても人気があることを示しました。
Intigritiでは、たとえ金銭的なインセンティブがないプログラムであっても、脆弱性の提出に成功したバグハンターにはレピュテーションポイントが付与されます。これにより、有料プログラムやライブハッキングイベントへの招待を受けたり、SWAGなどのグッズをもらったりすることができるのです。
最後に、バグバウンティプログラムを通じて脆弱性開示プログラムを管理するには、それをホストするプラットフォームにコントリビュータがサインアップすることが必要です。しかし、このことは、企業が敬遠する理由にはなりません。バグバウンティ・プラットフォームにサインアップして報告書を提出することで、脆弱性は品質保証のプロセスに入り、バグハンターは成功の可能性を高めるために十分なサポートを受けることができるのです。また、バグハンターは、身元確認に合格する必要があるため、連携においてのセキュリティ面も追加されます。
脆弱性開示のための協調的アプローチ
スムーズなバグハンターとのやり取りには、適切な体制とツールの導入が欠かせません。電子メールやスプレッドシートを使ってレポートを管理する企業もあれば、脆弱性開示ポリシーは公開するものの、バグバウンティプログラムを利用してバグハンターにレポートを提出させる企業もあります。
脆弱性開示プログラムとバグバウンティプログラムの比較。どちらの方法を取るかは、目標と成功の管理方法によって異なります。
出典:Intigriti
https://blog.intigriti.com/2021/05/19/vulnerability-disclosure-programs-vs-bug-bounty/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。