マジセミドライブ
ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。
IT用語解説
2021.11.24
「 バグバウンティ 」まとめ ~アプリセキュリティテスト強化手法~
「 バグバウンティ プログラム(バグ報奨金制度)」について紹介しています。
・概要
・実施手順例
・メリット
・デメリット
※「ペネトレーションテスト」に関するセミナー資料(28ページ)を
※無料ダウンロードできます。
コンテンツ
「バグバウンティプログラム」とは
概要
「バグバウンティプログラム(バグ報奨金制度)」とは、バグハンター(倫理的ハッカー)に「自社製品(サービス)に対する調査案件」を公開し、報告したバグハンターに対して報奨金を支払う仕組みです。
企業は「対象アプリケーション内にプログラムバグや脆弱性が含まれているか?」のテストをバグハンターに実施してもらうことで、対象アプリケーション内の脆弱性を特定して修正する手段として利用します。
報奨金の額は、該当脆弱性の「重大度」や「影響度」によって変化します。
実施手順例
①企業:調査案件を公開—バグバウンティプラットフォームなどを利用
②バグハンター:調査実施
③バグハンター:企業に脆弱性レポートを送信
④企業+バグハンター:協力して脆弱性の存在を検証
⑤企業:修正パッチ適用→パッチが機能することをテスト
⑥企業:バグハンターに報奨金を支払う
「バグバウンティプログラム」のメリット
「バグバウンティプログラム」は、さまざまなメリットをもたらすため、公的部門や民間部門で人気が高まっています。
①脆弱性検出の増加
バグバウンティプログラムには「企業がアプリケーション内の多数の脆弱性を特定して修正できる」というメリットがあります。
さまざまなパターンで実施された多くの脆弱性レポートを収集できることにより、脆弱性を悪用されてハッキング攻撃に利用されてしまうリスクを大きく低減できます。
企業の信用や評判を保護できることにつながります。
②セキュリティインシデント発生よりも大幅に安価
報奨金コストは「その脆弱性を発見できなかったことによって引き起こされるサイバーセキュリティインシデント修復コスト」よりもはるかに安価となるケースが多々あります。
最高レベルの報奨金でも、データ侵害復旧コストよりも桁違いに安くなることがあります。
③脆弱性発見実績ベースコスト
「バグバウンティプログラム」では、バグハンターが何らかの脆弱性を発見した場合のみに報酬を支払います。
そのため、時間単位で支払う必要がある「セキュリティテスト作業委託」よりも安価となるケースがあります。
④熟練バグハンターの高度なスキルを活用できる
脆弱性特定を専門とする熟練バグハンターがプログラムに参加した場合は、自社スタッフでは発揮できない「高度な才能」を活用することが可能となります。
ただし、報奨金を高額に設定する必要があります。
⑤現実的な脅威シミュレーション
「バグバウンティプログラム」は、社外バグハンターが参加することで、「現実的な脅威シミュレーション」となります。
バグハンターによって実行される脆弱性評価は、より構造化されたエンゲージメントよりも現実的である可能性が高いことを意味します。
「バグバウンティプログラム」のデメリット
・自社内では発見できなかった脆弱性レポートが来た場合に初めて有効となる
・発見された脆弱性を迅速に修正できない場合、利用は向いていない
・報奨金額が適正ではない場合、参加者は集まらない
・大量の脆弱性レポートを仕分ける必要がある
・脆弱性レポートの多くが低品質となる可能性がある
・テスト環境から自社ネットワークに侵入されてしまうリスクがある
・発見された脆弱性が一般公開されてしまうリスクがある
関連セミナー紹介
セミナータイトル
ホワイトハッカーが高品質な脆弱性診断を行う、クラウドソース・ペネトレーションテストとは?
~従来の脆弱性診断の問題点、バグバウンティとの違い~
開催日
2020/06/10(水)
セミナー資料
資料タイトル
ホワイトハッカーが高品質な脆弱性診断を行う、
クラウドソース・ペネトレーションテストとは?
~従来の脆弱性診断の問題点、バグバウンティとの違い~
資料ページ数
28ページ
資料イメージ
資料アジェンダ
■情報化が進む中でのICTの重要性
■1.従来の脆弱性診断では不正アクセスを防げない!?
・現在のセキュリティリスク
・脆弱性診断とは
・脆弱性診断の仕組み
・脆弱性診断は思ったよりも難しい
・脆弱性をゼロに近づけるには
■2.「バグバウンティ(バグ報奨金制度)」とは?
・バグバウンティ(脆弱性報奨金制度)とは
・バグバウンティ(脆弱性報奨金制度)の課題
・アプリケーションのセキュリティレベルをあげるには
■3.米ペンタゴンが指名するクラウドソース・ペネトレーションテストとは?
・Hack the Pentagon
・Synack Red Teamの選考過程
・Synackについて
・Synack Pen-Test Platform
・Synack Pen-Test 特長
・Synack ポータル:ダッシュボード
・Synack ポータル:ARS(攻撃耐性スコア)
・Synack ポータル:特定検査対象の検査状況
・Synack ポータル:脆弱性レポート(概要と影響度)
・Synack ポータル:脆弱性レポート(再現手順)
・Synack ポータル:脆弱性レポート(Patch Verification)
■本日のまとめ
資料ダウンロード(無料)はこちらから
最後に
今後も毎日のように、多くのIT関連セミナーが開催されます。ご自分のビジネスを強化できるセミナーを見つけて、ぜひ参加してみてください!
参考サイト
→hackedu.com →What Are Bug Bounty Programs, And Why Are They Becoming So Popular?
→freecodecamp.org →What is a Bug Bounty Program? How Bug Bounties Work and Who Should Use Them
→hackerone.com →What Are Bug Bounties? How Do They Work? [With Examples]
この記事のタグ一覧
フリーワード検索
カテゴリー一覧
アクセスランキング
- 🏆ランク1位🏆
【ツール紹介】無料オープンソース「 ビデオ監視 ツール 」まとめ3選 - 🏆ランク2位🏆
【無料で使える】「 OCR 」ツールまとめ - 🏆ランク3位🏆
【無料で使える】「 マルウェア 」対策ツールまとめ - 🏆ランク4位🏆
【AIツール実験室】楽曲作成ツール「 Suno AI 」〜AI生成ミュージックフェス〜 - 🏆ランク5位🏆
【無料で使える】「 翻訳 」ツールまとめ - 🏆ランク6位🏆
【OSS情報】ディスクイメージング(クローニング)ツール「 Clonezilla 」 - 🏆ランク7位🏆
【無料で使える】「 プロジェクト管理 」ツールまとめ - 🏆ランク8位🏆
【ChatGPTプラグイン探訪】「 Show Me Diagrams 」〜データ視覚化〜 - 🏆ランク9位🏆
【無料で使える】「 メール 」ソフトウェアまとめ - 🏆ランク10位🏆
【OSS情報アーカイブ】OSV-Scanner
おすすめの記事
ウェビナーまとめ
2024.05.15
経営活動に活用できる 原価管理 を実現するには? 〜製造業の現実的な課題に向き合い、現場視点から改善する原価管理手法の必達プロセスをご紹介〜
2024年3月12日に三菱電機ITソリューションズ株式会社とアットストリームパートナーズ合同会社の共催で、組立加工製造業向けのセミナー「なぜか高くなる原価を管理する 不確実性の時代を乗り切るためのコスト戦略とは」が開催されました。本セミナーでは、製造業における原価管理の現状と改善手法について深く掘り下げ、経営活動への具体的な活用方法を提示しました。今回は、その講演の要点をお伝えします。