【事例】Cake社がセキュリティの透明性を高めるためにバグバウンティプログラムをどのように使用したか

バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。

「バグバウンティプログラムの導入は、当社の価値観と密接に関連しています。それは、私たちがセキュリティについてオープンでありたいと考えていることを示しています。また、群衆の知恵を利用して、できるだけフィードバックを得たいと考えています。」

バグバウンティに関するCake社の経験談

Cake社について

独立した無料の銀行アプリであるCakeは、ユーザーがすべての銀行口座を一元的に接続し、取引の概要を明確に把握し、消費習慣を自動的に把握することができます。また、購入した商品のキャッシュバックを得る機会を提供することで、銀行口座を再び収益性の高いものにします。

Cake社の商業モデルは、ユーザーデータを公開して、消費者が何に使っているかについてのレポートや統計を作成し、それを企業に販売するものです。このアプリは「全てのユーザーデータのプライバシーとセキュリティ」が大きなセールスポイントなので、ユーザーデータは匿名化され集計されます。

課題:ユーザーデータの継続的な安全性の確保

金融サービスや商品の構築には、運用リスクやセキュリティリスクがつきものですが、Cake社も例外ではありません。この金融バンキングアプリは、約14万件の銀行口座にアクセスし、1億5000万件以上の取引を処理し、その総額は360億ユーロにのぼります。

Cake社の共同設立者でありエンジニアリング責任者のPieter Schelfhoutは、銀行アプリにおけるセキュリティの重要性について説明しています。

「ユーザーデータのセキュリティとプライバシーは、私たちが非常に機密性の高い情報にアクセスするために重要です。金融分野で何かを構築する場合、構築したものが安全であるかを確認する必要があります。」

そのためPieter氏は、バグハンターがCake社のシステムを継続的に診断し、自分のチームが見逃してしまうような脆弱性を暴くことを奨励したいと考えたのです。

そこで、彼はIntigritiのプラットフォーム上で一連のバグバウンティプログラムを立ち上げることにしました。Cake社と同様、Intigritiもベルギーの新興企業で大きな野心を抱いています。Pieter氏は、セキュリティテストの設定に柔軟性がある会社と一緒に仕事をすることを強く希望していました。

解決策:プライベートとパブリックのバグバウンティプログラムの開始 

Cake社の最初のプログラムはIntigritiで公開され、消費者向けアプリに焦点を当てたものです。このプラットフォーム上のバグハンターは継続的に問題を報告することができ、Pieter氏のチームは常にアプリのセキュリティ体制について最新の知見を得ることができます。

また、アプリのバックエンドアプリケーションに焦点を当てたプライベートプログラムをIntigritiを通じて実施しています。このプログラムは、一部のバグハンターが参加しており、セキュリティ脆弱性を安全にテストできるようにログイン情報を共有することから始まりました。

結果:潜在的なセキュリティ問題の迅速な解決 

このプログラムにより、Pieter氏のチームはアプリの攻撃対象領域をより詳細に把握することに成功し、下記のように述べています。

「バグバウンティプログラムを利用し、バグハンターのコミュニティに頼る最大の利点の1つは、自分のアプリケーションについて様々な視点を得られることです。私たちのバグバウンティプログラムは成功しており、Intigritiのおかげで、問題をいくつか発見し、すぐに修正することができました。」

また、Pieter氏は、彼のチームがプラットフォームやコミュニティから受けるアプリケーションのテストに満足している理由も下記のように説明しています。

「情熱的なバグハンターたちと一緒に仕事をしているからです。彼らは、発見したことについて非常に詳細なレポートを書いてくれます。また、彼らは、私たちのチームで問題を修復し解決した後に、再びその問題をテストするのです。」

バグバウンティは、透明性と開放性の価値と密接に連携している

Cake社のビジョンは、ユーザーが金融知識を向上させるためのツールをより多く開発することです。この目標を達成するためのロードマップの一部として、ユーザーに対する透明性と開放性は不可欠です。Pieter氏はバグバウンティプログラムは、そのための重要な要素であることを以下のように説明しています。

「バグバウンティプログラムは、私たちの価値観と密接に結びついています。私たちは単にセキュリティ対策をしたいだけでなく、セキュリティについてオープンでありたいと考えていますし、できるだけ多くのフィードバックを得るために群衆の知恵を活用しようと考えています。」

出典:Intigriti

https://blog.intigriti.com/2021/11/09/cake-bug-bounty-programs-tool-security-transparency/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

4万人のバグハンターによる
世界レベルでのセキュリティ・サービス品質を実現
Securify Bugty

ブログ一覧へ戻る

サービスに関するご質問・ご相談など
お気軽にお問い合わせください