【事例】ブリュッセル航空、バグバウンティを活用し、ペネトレーションテストでは検出できない重要な脆弱性を発見

Sreake編集部

2022.4.21

お客様の声:ブリュッセル航空

ブリュッセル航空は、ルフトハンザ・グループの一員です。

ヨーロッパとアフリカの100以上の都市、ニューヨーク、ワシントンD.C.、トロントに毎日約300便を運航している航空会社です。

新しいセキュリティテストのあり方への険しい道のり

Jean-François Simons氏は、ブリュッセル航空のCISOを9年以上務めています。

彼がバグバウンティと倫理的ハッキングに注目したのは、数年前のことです。しかし、このコンセプトをブリュッセル航空に導入するには、ある程度の説得が必要でした。

経営陣にとって、クラウドソーシングのセキュリティ専門家に未発見の問題を発見させるというのは、一見すると簡単な決断ではなかったようです。

Jean-François Simons:悪質なハッカーが脆弱性を見つけても、もちろん報告はしてくれないので、その前にITセキュリティを強化するためにバグハンターのサポートが必要です。

プロジェクトの範囲をIntigritiで明確に定義することで、プロジェクトは軌道に乗りました。脆弱性を発見したバグハンターに支払われる可能性のある報奨金の上限を設定したこともそうです。

明確な対象範囲とあらかじめ設定された予算で、バグバウンティプログラムは良いスタートを切ることができました。

Intigritiを使うのは、これまでとはまったく違うやり方でした。ハッカーのためにプラットフォームを開放するのではとみんな怖がっていて、報奨金のコスト面でも心配されました。 

ペネトレーションテストは貴重だが、バグハンターは特定領域のスペシャリストである

Jean-François Simons:テストに備えることができました。ペネトレーションテストは、バグバウンティプログラムに参加する前に受けるセキュリティテストだと考えています。クリーンアップのようなものです。いきなりバグバウンティに手を出すと、不愉快な思いをするかもしれませんからね。私たちは過去に複数のペネトレーションテストを行ったことがあります。だから、バグバウンティプログラムの準備は万端だと確信していたのですが……。

しかし、すぐに重大な発見があり、その対策が必要でした。

Jean-François Simons:ペネトレーションは良かったのですが、バグハンターは特定の分野の専門家です。クロスサイトスクリプティングやSQLインジェクションなどを行う者もいます。彼らが発見した脆弱性は、非常に専門的で高度な技術を持った人でなければ発見できないものでした。ペネトレーションテストもSQLインジェクションを高いレベルで行いますが、それらのテストでは、バグバウンティで見つかった脆弱性を発見することはできませんでした。私は、ペネトレーションテストは、システムの一般的なセキュリティを向上させるための逐次レビューだと考えていますので、その後バグバウンティで各分野の専門家に委ねます。

プラットフォームが持つ力

ブリュッセル航空にとってIntigritiの価値は、バグや脆弱性を発見することだけではありません。

Jean-François Simons:バグバウンティプログラムを利用することで、さらに一歩踏み込もうとしていることがわかります。万が一、大きな問題に直面したときにも、バグバウンティを利用することができます。バグハンターと協力することでただ座って何かが起こるのを待つのではなく、本当に努力していることを示すことができます。

さらに、バグバウンティはブリュッセル航空のデボップスチームとデジタルチームに、新たなコラボレーションの機会を提供しています。人々は、発見されたものから学ぶのです。Intigritiは「制裁ツール」ではありません。プラットフォーム上での緊密なコラボレーションに大きな付加価値があるのです。どんな質問にも、必ず誰かが答え、必要ならエスカレートしてくれます。問題が発見された場合は、社内外のチームが協力して解決にあたります。

バグハンターと協力した結果、ブリュッセル航空ではより多くのIT担当者が現在進行形のことを意識し、情報セキュリティの向上に積極的に貢献するようになりました。

出典:Intigriti

https://blog.intigriti.com/2020/04/07/brussels-airlines-leverages-the-power-of-bug-bounty-through-intigriti-platform-to-discover-critical-vulnerability-not-detected-by-pentests/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

ブログ一覧へ戻る

サービス詳細や料金についての
ご質問・ご相談など
お気軽にお問い合わせください

資料請求・お問い合わせ