【事例】エシカルハッキングとバグバウンティプラットフォームの魅力
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
目次
それぞれの概要
Telenet:
メディア、テレコミュニケーション、エンターテインメントサービスを提供するTelenetは、従業員2,300人、売上高25億ユーロ以上です。
ルーヴェン大学病院:
約2,000の病床と9,000人以上の従業員を擁する有名な大学病院です。病院とその職員は、医療や管理業務でITに大きく依存しているため、情報技術部門は戦略的に重要な役割を担っています。
Arne Swinnen:
2016年からバグハンターとして、公共および民間のバグバウンティプログラムでITセキュリティの専門家です。
バグハンターは問題になる前にシステムの脆弱性を発見し、企業の安全性を高めることに努めています。バグハンターであるためには、絶え間ない探究心と創造的な思考が必要です。その結果、問題が発見されると、バグバウンティと呼ばれる報奨金が支払われます。
バグハンターと社内ITセキュリティチームの相互補完性を尊重し、両グループのメンバーに、Intigritiのプラットフォームで働くことの素晴らしさについて話してもらいました。
バグハンターコミュニティの代表として、Arne Swinnen氏が登場します。そして、企業の社内ITスペシャリストとして、ルーヴェン大学病院のITマネージャーであるReinoud Reynders氏と、Telenet GroupのサイバーセキュリティマネージャーであるEric de Smedt氏にお話を伺いました。
バグバウンティとは
バグハンター Arne Swinnen: バグバウンティのコンセプトは、Intigritiのようなプラットフォームを通じて、バグハンターが会社のシステムを調査することを可能にします。そこで、脆弱性は報告され、修正されます。
継続的発展時代のセキュリティ
なぜ、大学病院がバグハンターと連携するのか
ルーヴェン大学病院のITマネージャーとインフラ及び運用担当 Reinoud Reynder: ルーヴェン大学病院にとって、セキュリティは非常に重要です。ペネトレーションテストや脆弱性テストなど、古典的なテストは数多く行われていますが、それだけでは十分ではありません。私たちのアプリは継続的に更新されています。そのため、古典的なペネトレーションテストだけでは、セキュリティを確保できないことがわかりました。
ルーヴェン大学病院は、Intigritiからどのような恩恵を受けているのか
Reinoud Reynder: バグバウンティプラットフォームを通じて、進化の早いアプリのセキュリティを確保することがより容易になります。プラットフォーム上のバグハンターは、継続的にバグやセキュリティリークを探します。
シニアサイバーコンサルタントの目から見た倫理的ハッキング
直接面識のない人たちとの共同作業は、どのようなものか
Telenetグループのサイバーセキュリティマネージャー、Eric de Smedt: Intigritiは、バグハンターが登録しなければならない国際的なプラットフォームを提供しています。そのため、クライアントである私たちはより信頼することができます。また、バグハンターが認知されるためのプラットフォームも提供しています。名誉の殿堂(Intigritiのリーダーボード)というものがあり、問題を報告するとポイントが加算され、それに応じてランキングされるようになっています。
バグハンターのモチベーションについて
Arne Swinnen: 私は、責任ある方法で会社のシステムの問題を探すことをチャレンジだと思っています。また、報奨金を得ることができるので、それもまた面白い点ですね。ある企業の問題を見つけられるということは、私にとっても良い経験になります。
バグバウンティとペネトレーションテスト
従来のセキュリティテスト手法とエシカルハッキングの最大の違いは何か
Reinoud Reynders: また、支払いに対しても違いがあります。バグバウンティプラットフォームの場合はバグハンターが何かを見つけることができた場合のみ、報奨金を支払います。もしペネトレーションテストを依頼するとしたら、テスト期間に対して支払いが発生しますが、結果が出るかは分からないのです。
Eric de Smedt: Intigritiでは、公開プロジェクトを立ち上げて、それをテストすることも可能です。また、特定のプロジェクトに特化したセキュリティテストを実施したり、特定のバグハンターに特定のプロジェクトに参加してもらったりすることも可能です。
バグハンターのコミュニティについて
Arne Swinnen: バグハンターは皆、専門分野を持っています。それがコンセプトの強みです。会社のシステムをあらゆる角度から見れば、より多くの問題が見つかるはずです。
バグバウンティは、様々なタイプの企業にとって、セキュリティの追加的な層となる
Intigritiをどのような人にすすめたいか
Eric de Smedt: オンラインサービスを提供するすべての企業が、このプラットフォームを利用できます。特にEコマースブランドや、お客様から注文を受けるビジネスモデルを持つアプリケーションに適しています。
脆弱性の発見はセキュリティプロセスの一部
バグハンターはどのように役立っているのか
Reinoud Reynders:幸か不幸か、バグハンターはすでにいくつかの脆弱性を発見しています。私にとっては、倫理的ハッキングプラットフォームとの連携がセキュリティプロセスの重要な一部であることを証明するものであり、今後もバグハンターと連携していくつもりです。
出典:Intigriti
What Telenet, UZ Leuven and an ethical hacker say about Intigriti’s ethical hacking and bug bounty platform.
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。
