バグバウンティプログラムへのバグハンターの参加を最大化する5つの方法
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
Intigritiのカスタマーサクセスマネージャーとして、バグバウンティプログラムへのバグハンターの参加をどうすれば最大化できるのかという問いに直面することがよくあります。
Intigritiは「Ethical Hacker Insights Report 2021」の一環として、バグバウンティの対象を選ぶ主な理由を、バグハンターコミュニティに尋ねました。この記事では、バグバウンティプログラムをバグハンターにとってより魅力的なものにするための5つの方法を紹介したいと思います。
目次
バグハンターにとって、バグバウンティプログラムの魅力は何でしょうか
1. 対象範囲
バグバウンティプログラムには、必ず対象範囲があります。このセクションでは、バグハンターがテストできること、できないことについて詳しく説明していきます。対象範囲があることで、バグハンターは明確な情報を得ることができ、対象範囲が正確であればあるほど、企業は高品質のレポートを受け取る可能性が高くなります。
では、どのような対象範囲が良いのでしょうか?バグハンターは、好奇心旺盛でチャレンジを楽しむ人たちも多く、全員が収入を得るためにバグバウンティプラットフォームを利用しているわけではありません。70%がスキルアップのため、40%が新しい挑戦をするためにIntigritiのプラットフォームを利用しています。
そのため、対象範囲は大きな魅力になります。私たちのレポートによると、68%のバグハンターが、広い範囲を提供するプログラムを求めていると回答しています。同様に、43%は、新しい対象範囲を持つプログラムに最も興味があると答えてます。
これをどのようにプログラムに生かすか
過度に厳格な範囲では、一部のバグハンターがプログラムに関心を示さなくなる可能性があります。あるいは、バグハンターにアピールすることができないかもしれません。一方、テストするシステムや資産をより多く含む範囲は、下記のような理由により魅力的なターゲットとなります。
- バグハンターは、悪意のあるハッカーの活動を反映させるために、非認証範囲を含む利用可能なすべての範囲を使用して作業することを好む
- 自身の能力に挑戦しながら、学ぶ機会を得る
- バグハンターは、お客様の組織、構造についてより深く理解し、彼らが発見すればするほど、セキュリティ上の弱点がどこにあるのか、より多くの情報を収集することができる
- バグハンターがバグを見つけるために、より多くの情報を提供する
新しいテスト対象や機能を追加すれば、コミュニティの関心を維持し、継続的に参加させることが可能であると実証されています。ペネトレーションテストとは異なり、Intigritiではバグバウンティプログラムの範囲を拡大することは、無料でいつでも可能です。さらに、定期的なメール送信により、新しくリリースされた機能をコミュニティに紹介しています。
2. 報奨金の支払いについて
報奨金を得ることだけがインセンティブではありませんが、魅力的な要素であることは間違いありません。Intigritiのコミュニティの4分の3強(76%)のバグハンターは、何らかの金銭的な動機でバグバウンティに参加しています。例えば、バグハンターの20%は容易に解決できるプログラムを探し、23%は迅速な支払いを提供するプログラムを探し、3分の1(33%)は支払額が大きいプログラムを探しています。
これをどのようにプログラムに生かすか
バグハンターの確保には、価値に見合った対価を支払う必要があります。
相場をはるかに下回る懸賞金を提示するのは、バグがどのように評価されるべきかをすでに知っているバグハンターから良くない印象を持たれてしまいます。バグハンターの仕事を真剣に受け止めていない、価値を理解していない企業だと認識されてしまうのです。
バウンティテーブルの価格設定方法
バウンティテーブルでは、低、中、高、重要、例外的な脆弱性を警告したバグハンターに支払う金額を決定します。これがバグハンターのインセンティブになります。
バウンティテーブルの価格を設定する際には、いくつかの要因を考慮する必要があります。例えば、企業のシステムの成熟度をよく理解しておくべきです。
- 容易に解決できるバグの数は多いのか?
- 自分たちの資産は十分にテストされていると考えているか?ペネトレーションテストや複数のチームによるテストをどれくらいの頻度で行っているか?
- 他の対策としてどんなものがあるか?例えば、認証、スキャニングツール、ファイアウォールなど。
また、全体の予算の範囲を把握する必要があります。悪意のあるハッカーが脆弱性を発見した場合のコストを常に評価しながら、契約金額を懸賞金に費やし、懸賞金の支払い額をできるだけ高くすることをお勧めします。
優れたバグの収益は、バグハンターに提供される勲章のようなものです。平均して報告の2%前後が例外的とみなされますが、例外的な脆弱性は、悪意のあるハッカーに見つかると、完全に侵害された状態になる場合もあるので、全予算に見合う価値があります。
少数の重大な脆弱性は予想されるので、重大な脆弱性の本当の価値が企業にとって何であるかを確認してください。また、セキュリティの成熟度に基づいて、特定の資産に対してより高い報奨金レベルまたはより低い報奨金レベルを選択することができます。例えば、オンラインショップのブランドでは、公開Webサイト内で見つかった脆弱性は、Webショップの精算ページよりも低い階層に属すると判断することができます。
3. 排他的であること
バグハンターの21%が、プログラムへの参加の動機として、自分が評価されることを挙げているので、独占的な感覚がバグバウンティプログラムのもう一つの重要な推進力であることが分かります。
Intigritiのコミュニティの約3分の1(30%)が、個人的にバグバウンティプログラムに招待された、小規模なバグハンターの一員であることを楽しんでいると回答しています。これは、Intigritiのプラットフォームに登録しているバグハンターなら誰でも参加できる公開プログラムではなく、いわゆるプライベートバグバウンティプログラムです。
プライベートプログラムは、厳選されたバグハンターのみが参加することができ、そのバグハンターは特定のスキルセット、経験、専門知識を認められていることを意味します。バグハンターの数が少ない分、競争は激化します。前述したとおり、コミュニティの40%が自身の能力に挑戦することを望んでいます。
これをどのようにプログラムに生かすか
バグバウンティの世界に初めて参加する場合、最初のプログラムを非公開で開始することには、とてもメリットがあります。すぐに公開することは、誰にでもできることではありません。主に、脆弱性公開の分野で一定レベルの成熟度が必要なためです。公開プログラムは、世界中のバグハンターの目に留まり、企業のシステムに(多くの)トラフィックをもたらすでしょう。適切な仕組みがなければ、運用上の問題を引き起こす可能性があります。
私たちは通常、クライアントに、チームが大量の報告を処理できるようになるまで小規模に開始し、パッチを適用するようアドバイスします。チームがこのプロセスをより効率的に管理できるようになれば、ご希望に応じてプログラムを公開に切り替えることもできます。
4. 企業の対応力
Intigritiのコミュニティの回答によると、42%がレスポンスの良いチームを求めているそうです。Intigritiのインターフェースでは、バグハンターは平均的な初動時間を確認することができます。バグバウンティプログラムは、バグハンター個人から一度だけ提出されるものではなく、パートナーシップを構築するためのものです。
Intigritiのバグハンターで、Intigritiの歴代リーダーボードで6位につけているKuromatae666は、バグバウンティハンティングのターゲット選びをどのように行っているかを説明しています。
「私がターゲットを選ぶとき、最も重要視するのは、要する時間も含めてその企業がどのように対応するかです。時には、最初に1つか2つの脆弱性だけを報告し、その対応を見てから他の脆弱性を報告することもあります。第一印象が大切なのです。」
企業は、バグハンターのコミュニティを維持したいと思うはずです。プログラムのいくつかの側面を繰り返しテストするように、バグハンターは以前提出したレポートのパッチをテストすることさえあるのです。
現在、我々のプラットフォーム・リーダーボードで2位につけているPieterが、どのようにバグハンターとして活動しているかについて、さらに詳しく説明してくれています。
「通常、私はあるターゲットで仕事をし、4、5個のバグを見つけ、次に進みますが、半年後に再びそのターゲットに戻ることがあります。私が報告した以前のバグを同社のセキュリティチームがどのように修正したのか、また、アップデートを行った際に新たなバグが出現していないのか、興味があるからです。」
このようにバグハンターと繰り返し連携することで、企業はバグハンターとの信頼関係を築き、ロイヤリティを高めていくのです。
これをどのようにプログラムに生かすか
レポートへの迅速な対応を徹底することです。この「迅速」の意味するところを説明するために、いくつかの統計データをご覧ください。Intigritiのトリアージチームが脆弱性レポートをレビューし、承認または拒否するまでにかかる時間は、平均して24時間未満です。企業がレポートを受理または拒否する場合、平均応答時間は48時間です。
提出されたレポートの処理速度を理解する一つの方法は、実際にテストしてみることです。最初は少人数のバグハンターから始めて、対応余地がある場合、さらに参加者を募ります。迅速な決定ができない場合でも、バグハンターとのコミュニケーションは欠かさないようにしましょう。参加に感謝し、近日中に最新情報をお届けすることを伝えましょう。
5. 企業ブランド
すでに有名なブランドであれば、この魅力的なポイントを活かせます。私たちのコミュニティでは22%が、参加するバグバウンティープログラムを選択する際に、身近なターゲットを求めています。しかし、バグハンターにアピールするために世界的に有名である必要はありません。
バグハンターは、自分が顧客であったり、深く関わっているプログラムに参加することを好みます。このため、企業はバグハンターにプラットフォームでプログラムを公開するだけでなく、コミュニティとの絆を確立することをお勧めしています。
これをどのようにプログラムに生かすか
バグハンターの参加を促す第一歩は、このプラットフォームにいるだけですでに始まっているのです。Intigritiのバグハンター、Pieterがその理由を説明します。
「『これは脆弱に見える 』という反応は、あらゆる種類のウェブサイトに対して常に持っているものです。しかし、私は脆弱性開示のプロセスがない場合は、ターゲットにすることはありません。」
しかし、参加者を最大化したいのであれば、エンゲージメントを高める方法があります。例えば、Intigritiでは、地元のバグハンターを招き、地元のブランドをターゲットにしたパートナーシップに重点を置いています。また、脆弱性報奨プログラム、リーダーボード、ハッキングイベント、教育などを通じて、エンゲージメントを高めています。
バグハンターのコミュニティは、ソーシャルメディア上でも強い発言力を持っており、セキュリティ第一の企業であるというメッセージをより遠くまで伝えることができます。コミュニティとオープンにコミュニケーションし、迅速に対応することで、築き上げた評判を維持しましょう。
https://blog.intigriti.com/2021/08/02/maximise-ethical-hacker-participation-bug-bounty-program/
——————————————–
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
