マジセミドライブ

ウェビナー関連のニュースやITサービス＆ツールの最新情報を随時配信します。

TOP
記事一覧
「バグバウンティ」まとめ　～アプリセキュリティテスト強化手法～

IT用語解説

2021.11.24

「バグバウンティ」まとめ　～アプリセキュリティテスト強化手法～

「バグバウンティプログラム(バグ報奨金制度)」について紹介しています。
・概要
・実施手順例
・メリット
・デメリット

※「ペネトレーションテスト」に関するセミナー資料(28ページ)を
※無料ダウンロードできます。

「バグバウンティプログラム」とは

概要

「バグバウンティプログラム(バグ報奨金制度)」とは、バグハンター(倫理的ハッカー)に「自社製品(サービス)に対する調査案件」を公開し、報告したバグハンターに対して報奨金を支払う仕組みです。

企業は「対象アプリケーション内にプログラムバグや脆弱性が含まれているか？」のテストをバグハンターに実施してもらうことで、対象アプリケーション内の脆弱性を特定して修正する手段として利用します。

報奨金の額は、該当脆弱性の「重大度」や「影響度」によって変化します。

実施手順例

①企業：調査案件を公開—バグバウンティプラットフォームなどを利用
②バグハンター：調査実施
③バグハンター：企業に脆弱性レポートを送信
④企業+バグハンター：協力して脆弱性の存在を検証
⑤企業：修正パッチ適用→パッチが機能することをテスト
⑥企業：バグハンターに報奨金を支払う

「バグバウンティプログラム」のメリット

「バグバウンティプログラム」は、さまざまなメリットをもたらすため、公的部門や民間部門で人気が高まっています。

①脆弱性検出の増加

バグバウンティプログラムには「企業がアプリケーション内の多数の脆弱性を特定して修正できる」というメリットがあります。

さまざまなパターンで実施された多くの脆弱性レポートを収集できることにより、脆弱性を悪用されてハッキング攻撃に利用されてしまうリスクを大きく低減できます。

企業の信用や評判を保護できることにつながります。

②セキュリティインシデント発生よりも大幅に安価

報奨金コストは「その脆弱性を発見できなかったことによって引き起こされるサイバーセキュリティインシデント修復コスト」よりもはるかに安価となるケースが多々あります。

最高レベルの報奨金でも、データ侵害復旧コストよりも桁違いに安くなることがあります。

③脆弱性発見実績ベースコスト

「バグバウンティプログラム」では、バグハンターが何らかの脆弱性を発見した場合のみに報酬を支払います。

そのため、時間単位で支払う必要がある「セキュリティテスト作業委託」よりも安価となるケースがあります。

④熟練バグハンターの高度なスキルを活用できる

脆弱性特定を専門とする熟練バグハンターがプログラムに参加した場合は、自社スタッフでは発揮できない「高度な才能」を活用することが可能となります。

ただし、報奨金を高額に設定する必要があります。

⑤現実的な脅威シミュレーション

「バグバウンティプログラム」は、社外バグハンターが参加することで、「現実的な脅威シミュレーション」となります。

バグハンターによって実行される脆弱性評価は、より構造化されたエンゲージメントよりも現実的である可能性が高いことを意味します。

「バグバウンティプログラム」のデメリット

・自社内では発見できなかった脆弱性レポートが来た場合に初めて有効となる
・発見された脆弱性を迅速に修正できない場合、利用は向いていない
・報奨金額が適正ではない場合、参加者は集まらない
・大量の脆弱性レポートを仕分ける必要がある
・脆弱性レポートの多くが低品質となる可能性がある
・テスト環境から自社ネットワークに侵入されてしまうリスクがある
・発見された脆弱性が一般公開されてしまうリスクがある