【事例】キネポリス社、バグハンターのグローバルネットワークを通じてITセキュリティの向上を実現
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
国際的な大手映画会社が、Intigritiの倫理的ハッキングプラットフォームで世界中のバグハンターと連携しています。その理由とは?顧客データを保護し、システムのセキュリティを向上させるためです。キネポリス社は、従来のセキュリティテスト手順で素晴らしいパートナーシップを築いていましたが、さらにもう一歩踏み込むことにしました。
「Intigritiのバグハンターのグローバルネットワークにアクセスすることは、私たちが必要としていたセキュリティのパズルの欠片でした。」
– キネポリスグループ CIO Bjorn Van Reet氏
課題:Webサイトとシステム全体のITセキュリティの向上
キネポリス社にとって、お客様との主な接点はWebプラットフォームです。そのシステムを安全に保つことは最も重要であるため、この映画館はすでにITセキュリティの課題を解決するために、ペネトレーションテストのパートナーと協力していました。
ペネトレーションテストは、ソフトウェアのリリースやメジャーアップデートの前に実施されることが多いです。これは、指定されたセキュリティ専門家がコードを調査し、決められた期間内に、決められた方法論に従って脆弱性をチェックするものです。しかし、企業は、次のソフトウェアのリリースやアップデートの後に、ペネトレーションテストの証明書が述べるのと同じセキュリティ標準になると仮定することはできません。そこで、バグバウンティプログラムがフォローアップとして有効に機能するのです。
「ペネトレーションテストは、ある瞬間のスナップショットである。ITセキュリティは、業界全体の中で最も速く動く部分の1つです。私たちは、システムと人々のために全体的なセキュリティを高めたいと考えていました。」
– キネポリスグループ CIO Bjorn Van Reet氏
解決策:思いもよらない分野への挑戦
キネポリス社は、Intigritiのプラットフォーム上でバグバウンティプログラムを実施することを決定しました。クラウドソーシングのバグハンターを招き、安全かつ管理された方法でシステムの脆弱性を探したのです。バグハンターと協力することは、軽い気持ちで決めたわけではありません。Bjorn Van Reet氏はこのように話しました。
「Intigritiを始めるにあたって、最大のチャレンジは未知のものに対する恐れでした。私たちのシステムを24時間365日、特に本番環境で直接テストすることを許可するのは、飛行機から飛び降りるようなものだと感じていました。
しかし、自分のWebサイトを公開したら、それは世界に公開されるので、善意の人たちだけでなく、悪意のあるハッカーもアクセスできるのです。私はすぐに、可能な限りすべてのものを保護するよう努力する方がよいと判断しました。 」
Intigritiのプラットフォームは、外部のバグハンターとキネポリス社とのコミュニケーションの中心的な存在です。バグハンターが脆弱性を発見すると、その調査結果をプラットフォームに提出し、Intigritiのトリアージ部門が、その脆弱性が本物かどうか、適切に文書化されているかどうかをチェックすることができます。
そのメリットは明らかです。Van Reet氏は次のようにも話します。
「Inthigritiのトリアージプロセスによって、向き合うべき問題だけが当社のITセキュリティチームに提出されるので、彼らは直ちに解決策に取り組むことができるのです。」
成果:共同作業でシステムの安全性を確保
Intigritiのバグハンターとキネポリス社は、「エンドユーザーにとって安全なシステムを維持する」という共通の目標があります。そして、Intigritのバグバウンティプラットフォームを利用した結果、キネポリス社内のITセキュリティチームは、高品質のセキュリティテストを実施するための十分なサポートが得られると実感しています。
出典:Intigriti
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
