倫理的ハッキングとバグバウンティによる資産の保護

Sreake編集部

2022.3.23

バグハンターコミュニティの代表として、Arne Swinnen氏、企業内のIT専門家としては、ルーヴェン大学病院のITマネージャーであるReinoud Reynders氏とTelenetグループのサイバーセキュリティマネージャーであるEric de Smedt氏に話を伺いました。

バグバウンティとは?

Arne Swinnen:バグバウンティは、バグハンターがIntigritiのようなプラットフォームを介して企業のシステムを調査するというコンセプトです。脆弱性を報告することで、企業はシステムを修正することができるのです。

高速開発する時代のセキュリティ

Reinoud Reynders:ルーヴェン大学病院にとって、セキュリティは非常に重要です。私たちは、ペネトレーションテストや脆弱性テストなどの古典的なテストを数多く行っていますが、私たちのアプリは絶えず更新されているので、それだけでは信頼性が十分ではありませんでした。それよりも、バグバウンティプラットフォームを使って、進化の早いアプリを保護し続ける方がずっと効果的です。プラットフォーム上のバグハンターは、継続的にバグやセキュリティリークを探してくれます。

バグハンターは問題を探すのがモチベーション

Arne Swinnen: バグハンティングは、会社のシステムの問題点を責任を持って探す挑戦だと考えています。また、報奨金を得ることができるので、面白さもあります。特定の企業の問題を見つけることができるということは、私にとっても良い経験になります 。

バグバウンティとペネトレーションテスト

Reinoud Reynders:また、支払いに対しても違いがあります。バグバウンティプラットフォームの場合はバグハンターが何かを見つけることができた場合のみ、報奨金を支払います。もしペネトレーションテストを依頼するとしたら、テスト期間に対して支払いが発生しますが、結果が出るかは分かりません。

Eric de Smedt:Intigritiでは、公開プロジェクトを立ち上げて、それをテストすることも可能です。また、より集中的なセキュリティテストのために特定のプロジェクトを作成したり、特定のプロジェクトに特定のバグハンターを招聘することもできます。

バグハンターのコミュニティ

Arne Swinnen: バグハンターは皆、専門分野を持っています。それがバグバウンティプラットフォームのコンセプトの強みです。会社のシステムを、バグハンターたちにより、あらゆる角度から見れば、より多くの問題が見つかるでしょう。

多くの企業におけるセキュリティ手法としてのバグバウンティ

Eric de Smedt:オンラインサービスを提供するすべての企業は、バグバウンティプラットフォームを利用することができます。特に、ウェブショップや、顧客が商品を注文するビジネスモデルを持つアプリケーションはそうです。

脆弱性の発見は、セキュリティプロセスの一部

Reinoud Reynders:バグハンターはすでに私たちのシステム内でいくつかの脆弱性を発見しています。私にとっては、バグバウンティプラットフォームとの連携が、当社のセキュリティプロセスの重要な一部であることを証明するものであり、今後もバグハンターと連携していくつもりです。

バグバウンティに関するTelenet社とルーヴェン大学病院の経験談

出典:Intigriti

https://blog.intigriti.com/2021/07/22/securing-assets-through-ethical-hacking-and-bug-bounty/

———————————————

バグバウンティプログラムを活用してみる

スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。

バグバウンティ運用代行サービス『Bugty』

ブログ一覧へ戻る

サービス詳細や料金についての
ご質問・ご相談など
お気軽にお問い合わせください

資料請求・お問い合わせ