セキュリティの
学び場

バグバウンティとは？

サイバーセキュリティの分野では、日々進化する脅威に対抗するために新しい手法が模索されています。その中で注目を集めているのが、「バグバウンティ」です。

バグバウンティも既存の脆弱性診断も、組織のセキュリティ向上という目的では同じですが、その目的達成の手法が異なります。

バグバウンティはセキュリティに特化した専門家やホワイトハッカーが、インターネット上のシステムに潜在するセキュリティ上の問題を報告し、報奨金を獲得するプログラムです。

脆弱性診断やペネトレーションテストは、そのサービスを提供するセキュリティベンダーの調査活動やそれらの成果物である報告書に対し費用を払います。一方で、バグバウンティは、ホワイトハッカーが企業に報告をした脆弱性に対し報奨金を払います。

バグバウンティ自体は、1990年代には存在していたと言われています。2010年頃からは海外企業での採用も活発化し、より多くの人に認知されるようになりました。脆弱性診断の活用が当たり前になり、各企業がよりセキュリティを向上させるために別の手法を模索した結果、バグバウンティが求められるようになりました。

バグバウンティの4つの利点と2つの欠点

バグバウンティの４つの利点

１)様々な人の、様々な視点での調査

対象のシステムが多くの専門家やホワイトハッカーによって、多角的な視点で調査されることによる脆弱性の発見が期待できる点です。

２)報奨金形式の費用体系

報告された脆弱性のうち、技術的裏付けができた脆弱性に対してのみ企業の費用が発生する点です。

３)スケジュールの柔軟さ

対象のシステムを専門家やホワイトハッカーに調査・報告をしてもらう期間を企業側で調整することができる点です。

４)企業のセキュリティに対する意識の明示

バグバウンティの採用がセキュリティを向上させるだけでなく、外部に対して自社がセキュリティに対して真剣に取り組んでいるという姿勢を示せる点です。

バグバウンティの２つの欠点

１）体制構築の難しさ

バグバウンティを採用して、実際に専門家やホワイトハッカーに調査・報告をしてもらい、報奨金を払うという体制の構築が一企業で実施するには難しという欠点があります。バグバウンティに参加してもらう専門家やホワイトハッカーの調査や招待、対象範囲の設定、法律に準拠した制限・禁止事項などの設定、報奨金体系の設定、調査報告を受ける窓口やその内容を精査する組織の設立・運営、報奨金の支払いなど、今述べた以外にも多くの対応すべき事項があります

２）想定外の費用の発生

想定よりも費用がかかってしまう可能性があります。前述の体制構築に関連する費用はもちろんのこと、実際にバグバウンティを開始したら多くの脆弱性が報告され、窓口などの関連業務の人的費用や報告者へ支払う報奨金が想定よりも多くかかってしまう可能性もあります。

バグバウンティプラットフォーム

これらのバグバウンティの欠点を解決することを目的に、最近ではバグバウンティプラットフォームを利用する企業も増えてきています。

バグバウンティプラットフォームは企業と専門家やホワイトハッカーの間に入り、それぞれの活動を支援することができます。企業に対しては、バグバウンティプロジェクトの立ち上げの支援、窓口や報告された脆弱性の調査、報奨金支払いなどの代行業務などを提供しています。専門家やホワイトハッカーとしても、バグバウンティプラットフォームが自身の身元や評価を保証してくれたり、直接企業とのやりとりが必要なくなるなどの利点があります。

もちろんバグバウンティプラットフォームを利用したとしても、運用の費用はかかることに変わりはありませんが、一企業が独自でバグバウンティプロジェクトを準備・運用するよりは、費用対効果は高くなると考えられます。また、最近では国産のバグバウンティプラットフォームも登場しています。

まとめ

バグバウンティは、専門家やホワイトハッカーと協力体制を築き、より強固なセキュリティを目指すことに対する新しい手法として、企業や組織によって積極的に採用されだしています。現時点ではまだまだ欠点もありますが、将来的にはそれらを解決し、バグバウンティ本来の利点をより享受できるようになり、多くの企業で採用されることが予想されます。