セキュリティ対策の新しい仕組み「バグバウンティ」がもたらすメリットとは？

サイバー攻撃の脅威が多様化し、その被害規模が拡大している昨今。その攻撃に対抗するためのセキュリティ対策も日々進化しているなか、新たな対抗手段として注目を集めているのが、ホワイトハッカーに自社サービスやシステムの脆弱性を見つけてもらう「バグバウンティ（脆弱性報奨金制度）」である。日本ではまだ馴染みのない言葉だが、IssueHuntはこのバグバウンティの国産プラットフォーム「IssueHuntバグバウンティ」などのサービスを提供。サイバー攻撃の脅威から利用者を守るとともに、日本全体のセキュリティ対策に関するリテラシーの向上を目指している。

日本の状況と市場を見極めて日本向けバグバウンティを提供

バグバウンティとは、世界中のホワイトハッカーが脆弱性診断を行い、脆弱性が見つかったことを企業に報告することで謝礼を受け取る仕組みのこと。このバグバウンティを実施することで「サイバー攻撃を未然に防御できる」と、IssueHunt代表取締役社長の横溝一将氏は説明する。

横溝氏によれば、バグバウンティの基本的な仕組み自体は1990年代から存在していたそうだが、アメリカで本格的に普及し始めたのは2010年代から。まずはMicrosoftやFacebook（現Meta）が自社でバグバウンティの取り組みをスタートさせたことが話題となり、2012年ごろからはHackeroneやBugcrowdといったバグバウンティの仕組みを提供するプラットフォーム企業が創業してサービス提供を開始したそうだ。現在、アメリカなどではすでにバグバウンティは一般化しており、名の知れたIT企業であれば「まず間違いなく利用している」と横溝氏は補足する。

一方、バグバウンティに関する日本の現状を見てみると、横溝氏は「まだまだ黎明期」と語る。例えば、1～2年前の段階でバグバウンティの仕組みを導入していた日本企業は、世界規模で展開する超大手など、限られた企業のみ。しかも、言語や商習慣などが異なる海外企業のサービスしか選択肢がなかったことから、利用するだけでも「ハードルが高かった」という。そのため、横溝氏は「バグバウンティにはチャレンジしてみたいが、現実的に導入することができなかった」という声を数多く聞いていたそうだ。

そこで横溝氏はその声に耳を傾けるとともに、日本では「バグバウンティの市場がほとんど出来上がっていない」という点に着目。そこにチャンスを見出し、2022年7月に日本企業も利用しやすいバグバウンティプラットフォーム「IssueHuntバグバウンティ」の提供を開始した。さらに、第三者からの脆弱性報告を受け付けるオールインワンソリューション「IssueHunt VDP」を2023年1月に正式リリースした。

コスパに優れた「完全成果報酬型」と導入を後押しする「運用代行」が魅力

IssueHuntバグバウンティの概要を詳しく説明すると、利用者である企業はまず自社製品やサービスの脆弱性診断プログラムをIssueHuntバグバウンティのプラットフォーム上に公開する。すると、これを世界中のセキュリティリサーチャー（いわゆるホワイトハッカー）が脆弱性診断を行い、何らかの問題等を発見した場合はそれを報告する。これにより、ホワイトハッカーは企業から報奨金を受け取ることが出来る仕組みとなる。

横溝氏は、IssueHuntバグバウンティのメリットを2つ挙げる。1つ目は「完全成果報酬型」であること。例えば、既存のセキュリティ診断サービスは利用すると、診断結果の内容にかかわらず一定の料金を支払う必要がある。しかしIssueHuntバグバウンティでは、前提として「初期費用」や「月額基本料金」などがなく、問題が見つかってホワイトハッカーに報奨金を支払うことになった場合のみ「費用が発生する」という点が大きな特徴だ。また完全成果報酬型であれば、短い期間でアップデートを実施するアジャイル開発に対しても費用を気にすることなく継続的な脆弱性診断が可能になるため、「非常にコストパフォーマンスに優れている」と横溝氏は胸を張る。

2つ目のメリットは、「運用代行」（有料オプション）である。ホワイトハッカーとのやり取りや報告された脆弱性のチェックなどをIssueHuntのスタッフが対応することで、企業側の担当者の手間を削減。セキュリティ対策の担当者がいない企業やセキュリティチームが多忙な状況でも、IssueHuntバグバウンティをスムーズに導入を実現できるようになるわけだ。

次に、もう1つのサービスであるIssueHunt VDPは、第三者が発見した脆弱性を報告してもらうための「窓口」を設置するサービスとなる。VDPは「Vulnerability Disclosure Program」（脆弱性開示プログラム）の略語で、アメリカ政府や海外の主要銀行などが導入しているほどのポピュラーな仕組みとなる。しかし横溝氏によれば、日本では大手企業のセキュリティ対策チームの担当者であっても「VDPについて知らない人が多い」そうだ。

ただ、IssueHunt VDPは非常に簡単な仕組みを採用しており、独自ツールを利用することで「10分ほどあれば運用を開始できる」（横溝氏）とのこと。さらに、VDPのパッケージはオールインワンで提供されるほか、IssueHuntバグバウンティと同様に運用代行に対応する点もメリットとなる。

リテラシー向上には啓蒙活動が重要、いずれは情報共有のコミュニティも

IssueHuntバグバウンティはサービス提供を開始してまだ1年ほどだが、ビジネスチャットツールを提供する「Chatwork」や暗号資産を取り扱う「ビットバンク」、Webサイト向けの検索システムを運営する「Helpfeel」など、成長著しいIT企業がすでに導入している。顧客企業からの評価も上々で、100％のセキュリティ対策を目指すのであれば「すべての企業がIssueHuntバグバウンティを導入すべき」と太鼓判を押す企業もあるそうだ。

ただ横溝氏は、必ずしもすべての企業が「いますぐにIssueHuntバグバウンティを導入する必要はない」と考える。なぜなら、セキュリティ対策の状況次第ではIssueHuntバグバウンティを導入する以前に、「より根本的なセキュリティ対策を優先すべき企業が存在する」からだ。このようなことが起きる背景には、日本企業のセキュリティに対する「リテラシーの低さに問題がある」と横溝氏は指摘する。とくに“経営者層の意識”に根深い課題感を感じており、企業側の担当者が危機感を持っていても「経営者層の理解不足で予算が付かないケースも少なくない」と話す。

この状況を改善すべく、横溝氏がその必要性を痛感しているのが、バグバウンティを含むセキュリティ対策の「啓蒙活動」である。例えばIssueHuntでは、さまざまなセキュリティ対策のトータルコンサルティングにも取り組む一方で、バグバウンティやVDPに関する企業向けセミナーなども定期的に開催しているそうだ。とはいえ、IssueHuntだけの活動では限界があることから、「さまざまな企業と協力しながら取り組んでいく」ことの重要性も横溝氏は強調。2023年の夏にはMIXIや日本経済新聞などとともに学生向けのバグバウンティイベントを開催することで、セキュリティ対策の啓蒙に加えて「人材育成や人材発掘にもつなげていきたい」と期待する。またそういった活動を進めるなかで、さまざまな人や企業を巻き込んでいくことが「自分の役割かもしれない」との思いを示した。

今後の展開として、IssueHunt は社内向けバグバウンティ支援サービスの提供を2023年8月に予定する。社外向けのIssueHuntバグバウンティよりも安心・安全に利用できる同サービスを提供することでバグバウンティの魅力やメリットを理解してもらうとともに、社内の人材育成やブランディングなどにも活用してもらいたい考えだ。さらに将来的な取り組みとして、さまざまな企業が持つセキュリティ対策の情報を共有できる“コミュニティ”やその知見とノウハウを広く提供できるような“仕組み”の構築にも言及。セキュリティ対策に関連する新たな基盤づくりへの意欲も見せた。

IssueHunt

バグバウンティプラットフォーム｜IssueHunt
https://issuehunt.jp/bugbounty