バグバウンティ

掲載:2023年11月13日

改訂:2023年11月10日

用語集

「バグバウンティ(Bug Bounty)」とは、企業や組織が提供するシステムやソフトウェアのセキュリティ上の脆弱性を発見し、その情報を報告してもらうことに対し、報奨金を支払う仕組みのことです。「脆弱性報奨金制度」や「バグ報奨金制度」とも呼ばれます。近年、サイバーセキュリティの脅威が増加の一途を辿っているため、そのリスクを最小限に抑えるために活用されています。

         

ホワイトハットハッカーの活用

このような制度は1990年代から存在していましたが、現在は企業や組織が積極的にホワイトハッカーを募集して、バグバウンティを実施するようになりました。ホワイトハッカーとは、その技術や知識を善良な目的に使うハッカーです。セキュリティについて高いスキルを持つ人材であるため、そのスキルを企業のIT資産を守るために活かそうとバグバウンティの利用が進んでいます。バグバウンティに参加するホワイトハッカーは、多様な経歴やスキルを有しているため、企業内部で見逃してしまうような脆弱性も発見できる可能性があります。早急に脆弱性を発見し報告してもらうことで、脆弱性による被害の拡大を最小限に抑えることもできます。

導入時の注意点とは?

バグバウンティを運営する際は、脆弱性を検証する対象範囲や手順を明確にすることが求められます。自由な脆弱性の調査は、システムやソフトウェアの停止などにつながりかねません。また、データが物理的・論理的に破損してしまうことも考えられます。「検証を許可する環境」「検証を禁止する機能」「負荷のかかる検証手法の禁止」などを明確にしなければ、バグバウンティを導入することで、むしろトラブルを引き起こす可能性があります。

一方で、バグバウンティの大きなメリットとしては、コストパフォーマンスの高さがあります。従来の一般的なセキュリティ対策とは異なり、バグバウンティは脆弱性を発見するごとに報酬を支払います。つまり、脆弱性が発見されない限りは、参加者に対して報酬を支払う必要がありません。脆弱性の診断には、莫大な費用が投じられることがありますが、バグバウンティならば必要最小限に抑えられるでしょう。

とはいっても、バグバウンティの報酬は適切な金額を設定することが重要です。あまりに安価な報酬であると、ハッカーなどが積極的に参加してくれない可能性があります。特に、ホワイトハッカーの中には、バグバウンティで生計を立てている人もいるようです。このような人材は、報酬の低いバグバウンティには参加してくれないでしょう。優秀な人材ほど、報酬の高いバグバウンティに参加する傾向にありますから、予算を圧迫しない範囲内で高めに設定することが理想的です。