マジセミドライブ

ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。

IT用語解説

2021.11.24

「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~

「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~

「 バグバウンティ プログラム(バグ報奨金制度)」について紹介しています。
・概要
・実施手順例
・メリット
・デメリット

※「ペネトレーションテスト」に関するセミナー資料(28ページ)を
※無料ダウンロードできます。

「バグバウンティプログラム」とは

概要

「バグバウンティプログラム(バグ報奨金制度)」とは、バグハンター(倫理的ハッカー)に「自社製品(サービス)に対する調査案件」を公開し、報告したバグハンターに対して報奨金を支払う仕組みです。

企業は「対象アプリケーション内にプログラムバグや脆弱性が含まれているか?」のテストをバグハンターに実施してもらうことで、対象アプリケーション内の脆弱性を特定して修正する手段として利用します。

報奨金の額は、該当脆弱性の「重大度」や「影響度」によって変化します。

実施手順例

①企業:調査案件を公開—バグバウンティプラットフォームなどを利用
②バグハンター:調査実施
③バグハンター:企業に脆弱性レポートを送信
④企業+バグハンター:協力して脆弱性の存在を検証
⑤企業:修正パッチ適用→パッチが機能することをテスト
⑥企業:バグハンターに報奨金を支払う

「バグバウンティプログラム」のメリット

「バグバウンティプログラム」は、さまざまなメリットをもたらすため、公的部門や民間部門で人気が高まっています。

①脆弱性検出の増加

バグバウンティプログラムには「企業がアプリケーション内の多数の脆弱性を特定して修正できる」というメリットがあります。

さまざまなパターンで実施された多くの脆弱性レポートを収集できることにより、脆弱性を悪用されてハッキング攻撃に利用されてしまうリスクを大きく低減できます。

企業の信用や評判を保護できることにつながります。

②セキュリティインシデント発生よりも大幅に安価

報奨金コストは「その脆弱性を発見できなかったことによって引き起こされるサイバーセキュリティインシデント修復コスト」よりもはるかに安価となるケースが多々あります。

最高レベルの報奨金でも、データ侵害復旧コストよりも桁違いに安くなることがあります。

③脆弱性発見実績ベースコスト

「バグバウンティプログラム」では、バグハンターが何らかの脆弱性を発見した場合のみに報酬を支払います。

そのため、時間単位で支払う必要がある「セキュリティテスト作業委託」よりも安価となるケースがあります。

④熟練バグハンターの高度なスキルを活用できる

脆弱性特定を専門とする熟練バグハンターがプログラムに参加した場合は、自社スタッフでは発揮できない「高度な才能」を活用することが可能となります。

ただし、報奨金を高額に設定する必要があります。

⑤現実的な脅威シミュレーション

「バグバウンティプログラム」は、社外バグハンターが参加することで、「現実的な脅威シミュレーション」となります。

バグハンターによって実行される脆弱性評価は、より構造化されたエンゲージメントよりも現実的である可能性が高いことを意味します。

「バグバウンティプログラム」のデメリット

・自社内では発見できなかった脆弱性レポートが来た場合に初めて有効となる
・発見された脆弱性を迅速に修正できない場合、利用は向いていない
・報奨金額が適正ではない場合、参加者は集まらない
・大量の脆弱性レポートを仕分ける必要がある
・脆弱性レポートの多くが低品質となる可能性がある
・テスト環境から自社ネットワークに侵入されてしまうリスクがある
・発見された脆弱性が一般公開されてしまうリスクがある

関連セミナー紹介

セミナータイトル

ホワイトハッカーが高品質な脆弱性診断を行う、クラウドソース・ペネトレーションテストとは?
~従来の脆弱性診断の問題点、バグバウンティとの違い~

開催日

2020/06/10(水)

セミナー資料

資料タイトル

ホワイトハッカーが高品質な脆弱性診断を行う、
クラウドソース・ペネトレーションテストとは?
~従来の脆弱性診断の問題点、バグバウンティとの違い~

資料ページ数

28ページ

資料イメージ

資料アジェンダ

■情報化が進む中でのICTの重要性

■1.従来の脆弱性診断では不正アクセスを防げない!?
・現在のセキュリティリスク
・脆弱性診断とは
・脆弱性診断の仕組み
・脆弱性診断は思ったよりも難しい
・脆弱性をゼロに近づけるには

■2.「バグバウンティ(バグ報奨金制度)」とは?
・バグバウンティ(脆弱性報奨金制度)とは
・バグバウンティ(脆弱性報奨金制度)の課題
・アプリケーションのセキュリティレベルをあげるには

■3.米ペンタゴンが指名するクラウドソース・ペネトレーションテストとは?
・Hack the Pentagon
・Synack Red Teamの選考過程
・Synackについて
・Synack Pen-Test Platform
・Synack Pen-Test 特長
・Synack ポータル:ダッシュボード
・Synack ポータル:ARS(攻撃耐性スコア)
・Synack ポータル:特定検査対象の検査状況
・Synack ポータル:脆弱性レポート(概要と影響度)
・Synack ポータル:脆弱性レポート(再現手順)
・Synack ポータル:脆弱性レポート(Patch Verification)

■本日のまとめ

資料ダウンロード(無料)はこちらから

「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~

最後に

今後も毎日のように、多くのIT関連セミナーが開催されます。ご自分のビジネスを強化できるセミナーを見つけて、ぜひ参加してみてください!

→マジセミTOPページ


参考サイト
→hackedu.com →What Are Bug Bounty Programs, And Why Are They Becoming So Popular?
→freecodecamp.org →What is a Bug Bounty Program? How Bug Bounties Work and Who Should Use Them
→hackerone.com →What Are Bug Bounties? How Do They Work? [With Examples]

この記事のタグ一覧

おすすめの記事

【デジタル寺田の3分用語解説】 「 AIエージェント 」は、人間の管理職の代わりになるか?🤖

デジタル寺田の3分用語解説

2025.03.11

【デジタル寺田の3分用語解説】 「 AIエージェント 」は、人間の管理職の代わりになるか?🤖

「 AIエージェント 」は営業マネージャーの業務をどこまで代行できるのか?「データ分析」「フィードバック」「自動日程調整」の可能性を探り、未来の管理職のあり方を考察します。AIが進化する中で、人間の役割はどう変わるのか詳しく解説します。

【デジタル寺田の3分用語解説】 「 心理的安全性 」が無い職場とは?🤐

デジタル寺田の3分用語解説

2025.03.17

【デジタル寺田の3分用語解説】 「 心理的安全性 」が無い職場とは?🤐

「 心理的安全性 」が低い職場とはどのような環境なのか、具体的な特徴を解説します。「質問しづらい雰囲気」「失敗を報告できない隠蔽体質」「発言をためらう風土」など、心理的安全性の欠如がもたらす影響を詳しく紹介し、安全な職場づくりの重要性も解説します。

【デジタル寺田の3分用語解説】 「 ウェルビーイング 」とは?😊

デジタル寺田の3分用語解説

2025.03.10

【デジタル寺田の3分用語解説】 「 ウェルビーイング 」とは?😊

「 ウェルビーイング 」とは、身体的・精神的な健康だけでなく、社会的・経済的にも満たされた状態を指します。企業にとっては、健康経営の推進により生産性向上や離職率低下などのメリットがあります。本記事では、ウェルビーイングが注目される背景や企業の具体的な取り組みについて詳しく解説します。