どうも、サイバ課長サイよー。

皆さんは「バグバウンティ」という言葉を耳にしたことはあるサイか。これは、企業が自社のウェブサービスやアプリケーションのセキュリティ調査案件を一般公開し、ホワイトハッカーらが脆弱性(バグ)を発見・報告することで報奨金が受け取れる制度。「脆弱性報奨金制度」、「バグ報奨金制度」とも呼ばれているサイね。

近年、サイバー攻撃によって脆弱性が顕著化しているサイ。ネットビジネスを展開する企業にとってみれば、第三者の目線で調査するホワイトハッカーがいると心強いサイよ。

株式会社スプラウトは日本初のバグバウンティ・プラットフォーム「BugBounty.jp」を設立、運営する会社。早速、高野聖玄代表取締役社長に話を聞いて見るサイね。

ごめんくだサーイ!

低コストでセキュリティ向上を図れる「バグバウンティ」

「BugBounty.jp」の運営を行うスプラウトとはどのような会社サイか。

代表取締役社長 高野聖玄氏

高野聖玄氏(以下、高野)
サイバーセキュリティ企業として2012年に設立されました。主な業務はサイバーセキュリティ事業やインターネットメディア事業です。ウェブアプリケーションやスマートフォンアプリケーションにおける脆弱性診断やペネトレーションテスト(疑似侵入テスト)、ダークウェブの調査、インシデントレスポンスなどを行っています。

社員は10数人で、ホワイトハッカーやコンサルタント、アナリティストが在籍。上記に加え、コンサルティング、リサーチ、デジタル・フォレンジックも提供しています。

なぜ「BugBounty.jp」を立ち上げようと思ったサイか。

高野
バグバウンティという制度は、欧米などのセキュリティリテラシーが高い企業で積極的に導入されています。特にシリコンバレーの大手IT企業ではバグバウンティの導入は当たり前になりつつあります。これを日本でも広めていこうというのが目的です。

バグバウンティの報奨金は、企業側が脆弱性のレベルに応じて設定可能。報奨金の対象となるのは技術的な裏付けを確認できた報告だけなので、少ないコストでセキュリティ向上を図れることが利点です。

既に大手企業が導入しているサイね。

高野
「BugBounty.jp」を立ち上げて3年目ですが、2018年10月時点で16社が導入。スカイマークやエイベックス・グループ・ホールディングスなどの大手企業もこちらのプラットフォームを利用しています。


サイトBugBounty.jp

用意しているプログラムは「パブリックプログラム」と「プライベートプログラム」の2種。パブリックプログラムは「BugBounty.jp」に登録している世界中のハッカーに向けて募集プログラムを公開します。様々なスキルを持つ多数のハッカーが調査するので、より多くの脆弱性発見が期待できます。

プライベートプログラムは一部のハッカーに限定して公開するもの。ローンチ前のサービスを日本人ハッカーに限定して募集するなど、企業の目的によって選べます。

なるほど。では、もっと具体的に「BugBounty.jp」の特徴を教えてくだサイ!


高野
まず、第三者がチェックするということ。様々なタイプのホワイトハッカーが、攻撃者の視点からチェックを行います。これは自社のセキュリティレベルを知る上で非常に役立ちます。

また、コストパフォーマンスが高いのも特徴です。「BugBounty.jp」の初期費用は0円で完全成果報酬型。例えば脆弱性対応チームを外部に委託したり一から立ち上げたりするとなると、多大なコストが発生してしまいます。「BugBounty.jp」は、報奨金や調査領域を自ら設定できるので、自社の都合に合わせてホワイトハッカーに依頼することが可能です。

サイバーセキュリティ企業のスプラウトが運営するということも大きいサイよ。

高野
そうですね。弊社ではホワイトハッカーから報告された脆弱性の再現確認を代行し、脆弱性と判断された場合はリスクレベルや優先度の判別を行う「トリアージ・サポート」も提供しています。

登録ホワイトハッカーはおよそ1500人

バグバウンティという制度は、ホワイトハッカーの活躍の場にもなるサイね。


高野
技術はあるけれど活かせていないという人材が、日本にはまだまだいます。活躍機会の創出や勉強の場としても活用できる仕組みとなっています。

導入企業からは「スキルの高いハッカーにチェックしてもらったことで、社内では把握していなかったバグを短期間で発見できた」といった声を頂いております。

「BugBounty.jp」に登録しているホワイトハッカーはどれくらいサイか。

高野
約1,500人です(2018年11月現在)。特徴としては、登録者の約半数が日本人。次いでインド人、アメリカ人などです。

ハッカー確保のために工夫していることはあるサイか。

高野
ユーザーランキングというカテゴリを設けて、累計獲得ポイントに応じて順位付けをしています。ランキング上位のハッカーはより多くの企業に、有効報告数やプロフィールを見てもらえます。また、企業が選択するプライベートプログラムでは、ランキング上位者にしか公開されないプログラムもあります。

バグバウンティのカルチャーを根付かせる

昨今のサイバーセキュリティ業界の動向について、見解を教えてくだサイ。


高野
全体的にセキュリティ対策への機運が高まっていることは確かだと思います。特にフィンテックの動きが加速しており、資産をクラウドで保管する時代。仮想通貨などがサイバー空間で管理されるため、セキュリティ対策はさらに重要になるでしょう。

そのような時代の中でスプラウトの展望をお聞かせくだサイ!

高野
まずはバグバウンティのマーケットを大きくし、カルチャーを根付かせることです。その後はハッカーの教育や彼らの技術を使ったサービスが展開できれば。企業としては、どのサービスも弊社の特色を活かした方向で大きくしていきたいですね。

ありがとうございました!

最後に

気になっていた「バグバウンティ」という制度を詳しく知ることができたサイよ。企業と優秀なホワイトハッカーが繋がることで、日本全体のセキュリティレベルが上がると良いサイね!

企業情報

企業名 株式会社スプラウト
英文名称 Sprout Inc.
所在地 東京都港区南麻布4-10-15
設立 2012 年12月
代表者 高野聖玄
情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?