なぜ「素性の知れないハッカー」に金を払うのか? 報奨金制度の意外な実利:バグバウンティ導入の費用対効果
企業のIT資産に潜む脆弱性を外部の専門家が発見し、報酬をやりとりする「バグバウンティプログラム」。自社でプログラムを運営する、もしくはプラットフォームを利用する場合のポイントやメリットを整理する。
企業のネットワークやIT資産に存在するセキュリティ上の弱点を発見し、修正するための取り組みに「バグハント」や「バグバウンティ」がある。脆弱(ぜいじゃく)性を発見した専門家やホワイトハッカーには金銭的な報酬が付与され、報酬額は脆弱性の深刻度によって決まる。企業自体がバグバウンティプログラムを運営している場合や、企業の依頼を受けた第三者が運営するバグバウンティのプラットフォームがある。
バグバウンティプログラム、やった方がよい?
バグバウンティプログラムは、通常の脆弱性スキャンやペネトレーションテストを補完する取り組みとして有効だ。社内チームが見落とした問題を発見できる可能性があるからだ。
ソフトウェアを利用している際、プログラムの挙動に違和感を覚える場面に遭遇することがある。また、プロのペネトレーションテスターや趣味で活動するホワイトハッカーが、製品やサービスの仕組みを詳しく理解するために調査することがある。こうした場面で、脆弱性が見つかることがある。
脆弱性を見つけたら、ベンダーに問題を報告すればよい。しかし、経済的なインセンティブがない場合、問題の報告が遅れたり、そもそも報告されなかったりする可能性がある。そこで、発見された脆弱性を確実に拾うための選択肢となるのがバグバウンティプログラムだ。
世界中のバグハンターの知識や経験を活用できる点もバグバウンティプログラムの魅力だ。企業によっては、常勤のセキュリティチームを増員したり外部サービスにセキュリティテストを委託したりするよりも、費用対効果が高い場合もある。また、定期的に実施する脆弱性スキャンやペネトレーションテストとは異なり、バグバウンティプログラムを使えば製品やサービスを継続的にテストできる点もメリットだ。
ただし課題もある。バグバウンティプログラムは運用が複雑になりやすく、プログラムの設計が不十分な場合には法的問題やコンプライアンス上の問題が発生する可能性がある。悪意のある攻撃者に悪用されるリスクや、データプライバシーに関する懸念も存在する。さらに、脆弱性が多数報告された場合には報酬コストが増大する恐れもある。
自社で運用するか、プラットフォームを使うか
バグバウンティプログラムを自社で運用するか、外部のプラットフォームを利用するかも重要だ。代表的なプラットフォームには「HackerOne」や「Bugcrowd」などがある。
自社運用の場合、プログラムの範囲やルール、コミュニケーション、報酬体系などを管理できるのがメリットだ。外部プラットフォームの利用料金を支払う必要もない。
自社のセキュリティポリシーや目的に合わせて柔軟にカスタマイズできる点も考慮したい。機密データや知的財産を社内にとどめることができ、第三者への情報露出を抑えられる。長期的な信頼関係を構築できる専門家コミュニティを運営できる可能性もある。
ただし、自社運用には多くのリソースが必要となる。プログラムの設計と運用、専門家コミュニティへの周知、審査、脆弱性報告の検証などを自社で全て実施する必要がある。
脆弱性の報告方法や必要な情報を定義する作業も必要だ。報告には、脆弱性の説明や再現方法、潜在的リスク、スクリーンショットやログ、概念実証コードなどの証拠を求める。対応の目安時間や報告後のプロセスも示すことが望ましい。
報酬体系の設定も重要な要素だ。インセンティブは金銭報酬だけでなく、表彰や企業グッズの提供といった選択肢もある。
一方、第三者プラットフォームを利用すれば、費用は発生するが運用負担は軽減できる。ホワイトハッカーのコミュニティが既に存在するため、報告から検証までのプロセスを効率化できるのも魅力だ。
バグバウンティプログラムは使った方がいいのか
バグバウンティプログラムは、組織の攻撃対象領域のセキュリティを強化する有効な手段となる。外部のバグハンターの協力を得ることで、攻撃者に悪用される前に脆弱性を発見できる可能性が高まるためだ。ただし、バグバウンティプログラムは脆弱性スキャンやペネトレーションテストなど既存のセキュリティ対策を置き換えるものではない。あくまで補完的な手法として活用する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.