IoTやAIが普及するにつれ、企業のシステム依存度が高まり、セキュリティリスクも高まります。特に、デジタルサービスは24時間365日、無休で脆弱性情報に目を光らせなければならないといえます。

今やデジタル業界に関わらず、あらゆる企業にとってシステムの不具合は致命傷となりかねません。そのような中、注目を集めているのが、外部技術者を専門的に活用できる「バグバウンティ」というシステムです。今回は、バグバウンティの概要や導入事例、メリットや導入の際の注意点をまとめましたので、セキュリティ対策に携わる企業の担当者やコンサルタントの方は、ぜひご覧ください。

　

　

バグバウンティ とは？

バグバウンティとは、企業がバグハンター（ホワイトハッカー）と呼ばれる世界中の技術者に自社システムの脆弱性（バグ）を発見・報告してもらい、対価として報奨金を支払う仕組みです。

バグ × バウンティ（報奨金）から、「バグ報奨金制度」と呼ばれることもあります。

米国では2021年、バグ報奨金として総額40億円以上支払われたそうです。最近ではバグハンターを専業とし、生計を立てている技術者も多くなってきており、専業の他にも副業や腕試しとしてもハンター達の注目を集めるようになってきました。

　

　

バグバウンティの活用事例

海外では、GAFA や Microsoft 、ExpressVPNなどの大手がバグバウンティ懸賞金システムを利用しています。

また、国内でもバグバウンティの導入が進んでおり、例えば LINE や サイボウズ、SKYSEA Client View の Skyなどがバグハンターを随時募集しています。サイボウズでは、「サイボウズ脆弱性報奨金制度」が2014年よりスタートしており、報奨金は1件あたり上限1,000,000円となっています。

　
これは、サイボウズが自社で提供しているサービス内に存在する、「ゼロデイ脆弱性」を早期発見することを目的としています。

その他、さまざまな企業がバグバウンティを活用していますが、ここではChatWorkとビットバンクのバグバウンティ活用事例をご紹介します。

　

事例１

導入社が16万社を超える、中小企業向けチャットサービス「ChatWork」でも、セキュリティ対策は運営会社の責任の一つと考え、バグバウンティを取り入れています。

　
当初、無報酬からバグハンターの募集を始めたところ、47件の報告のうち脆弱性と認められたものが5件あったことから、正式にバグバウンティの予算を組み、積極活用が可能になったそうです。

また、ChatWorkでは、時間をかけずにバグ報酬金のプログラムを立ち上げられるBugBounty.jpというプラットフォームを活用しています。BugBounty.jpはプログラム立ち上げの他にも、バグハンターとのコミュニケーションや報酬金支払いなどもプラットフォーム上で行えるため、運用開始までの工数を削減できたそうです。

　

事例２

暗号通貨取引所のビットバンクは、セキュリティ品質向上と、それに伴う顧客からの信頼向上のため、バグバウンティを導入しています。こちらもChatWork同様、BugBounty.jpを利用しており、BugBounty.jpによってまとめられた脆弱性に関する報告ごとにセキュリティチーム内で脅威の深刻さを判断し、必要に応じて社内の開発チームに修正対応を求めるといった活用方法のようです。

外部のバグハンターが脆弱性に関する情報を企業へ提供し、社内の技術者で対策を進めるという、内部ハッカーと外部ハッカーの連携によって、セキュリティを強化している事例といえます。

　

　

バグバウンティ導入メリットと注意点

続いて、バグバウンティの導入メリットと注意点についてみていきましょう。まず、導入メリットとしては以下のようなことがあげられます。

　

①セキュリティを強化できる

攻撃者の視点で対象システムのテストを行い、早い段階でバグを発見することができる。

　

②セキュリティを維持できる

脆弱性を修正するサイクルによって、セキュリティの安定性を維持できる。

　

③外部の有能な技術者を手軽に活用できる

経験豊富な外部ハンターとつながることができ、他の手法で見つからなかった脆弱性を見つけてもらえる。

　

④膨大なコストを圧縮できる

事前に組んだ予算内でハンターに脆弱性を見つけ出してもらうことができ、セキュリティ対策コストを圧縮しやすい。

　

そして、バグハンターのほとんどが、ただ単に報酬金が目的でバグバウンティ制度へ登録しているのではなく、自分の能力に挑戦するために参加していることが多い事から、想定以上の力を発揮してくれるといったこともメリットとしてあげられるでしょう。

　

　

導入の注意点

次に、バグバウンティ導入の注意点について解説します。

バグバウンティ導入の際に注意すべき点として、業務を外部委託し、プロジェクトを完成させるまでに大規模インフラが必要となります。

ただ単に、脆弱性を発見したことに対して報償金を支払うのではなく、バグハンターと作業を共有するため、相手側のコミュニケーション能力も考慮の対象となるわけです。世界中のハンターの起用を希望する場合、日本語で対応が可能なプラットフォームや日本の営業所経由で起用可能なハンターの活用も視野に入れておくべきといえます。

　

　

海外ではバグを装った事件も

残念ながら、バグバウンティの制度を悪用する人間も世界には存在します。フランスでは、大手企業を狙った架空のバグ報酬金請求なども発生しています。この報告には、※Qualys SSL Labs のストックレポートのスクリーンショットとリンクが記載されていましたが、こちらの企業では、企業によるバグハウンティのみを取り扱っていたことから、架空請求であることが判明しました。

この事件を参考にすると、企業が面識のないバグハンターを起用する際には、やはり国内のバグハウンティングを専門とするプラットフォームを活用するのが好ましいといえます。業績と信頼のあるプラットフォームを活用することで、最悪の事態を事前に回避することが可能になります。

※Qualys SSL Labs 社が提供する、SSLサーバ証明書の設定状況の確認や安全性診断などが無料で行えるサイト

　

　

まとめ

世の中のIT化の加速とともに高まる、企業のセキュリティリスク。

今回は、企業のセキュリティ対策として注目を集めているバグバウンティについて、概要から活用事例、導入時の注意点などを解説しました。

ビジネスは顧客の信頼があってこそ。自社システムのセキュリティ強化と維持はその土台となるものです。従来、セキュリティ対策は膨大なコストがかかるものでしたが、バグバウンティを活用することで、コストを抑えつつ、セキュリティの強化・維持を実現できる時代になりました。セキュリティ対策を検討されている方は、セキュリティ対策のオプションとしてバグバウンティ活用を検討してみてはいかがでしょうか。