日本経済新聞社セキュリティチームリーダーが語るバグバウンティの価値 :バグバウンティを実施するために必要な体制など幅広く
※出典:日本経済新聞社セキュリティチームリーダーが語るバグバウンティの価値 :バグバウンティを実施するために必要な体制など幅広く |IssueHunt
この導入事例のポイント
- 学生に事業会社におけるセキュリティの取り組みを周知する機会を提供したい
- 遠方の学生でも参加できるIssueHunt社主催のオンラインイベントに参加
- 学生に向けて社会意義のある取り組みを行なっていること自体を認知されるきっかけに
- イベント参加が交流のきっかけになり、開発チームとセキュリティチームの対話が促進
- イベント参加を社内で周知していたため、社内全体のセキュリティ意識が向上
FinatextホールディングスCISOと語るバグバウンティの重要性:実施に至る経緯や、必要な体制など幅広く
※出典:FinatextホールディングスCISOと語るバグバウンティの重要性:実施に至る経緯や、必要な体制など幅広く |IssueHunt
この導入事例のポイント
- 従来からセキュリティの強化には力を入れていたが、より踏み込んだ対策をしたい
- 攻撃者と同じ目線でプロダクトを外部の目に晒すバグバウンティに魅力を感じていた
- 対応の速さ、日本語のサポートがあることから「IssueHunt」を導入
- コストを抑えたセキュリティ対策と、プロダクトの堅牢化の実現が可能に
- バグバウンティの実施を通じて、攻撃者側の視点を学ぶこともできる
製品を導入することになった背景
株式会社Finatextホールディングスは、金融基幹システムをSaaSとして提供するフィンテック企業です。製品導入の背景には、プロダクトセキュリティの強化という強い意志がありました。従来から脆弱性診断やシフトレフトの実践に力を入れていたものの、攻撃者の視点を取り入れたセキュリティ対策の必要性を感じていました。このため、自社プロダクトを外部の目に晒すバグバウンティの導入を決定しました。この選択は、常に進化するサイバー攻撃に対応し、より堅牢なセキュリティ体制を築くための重要なステップでした。導入前に企業が抱えていた課題
株式会社Finatextホールディングスは、金融基幹システムの提供を行っており、そのセキュリティは極めて重要です。導入前、同社は脆弱性診断やシフトレフトの実践など、一定のセキュリティ対策を行っていましたが、外部からの視点を取り入れたセキュリティ強化の必要性に直面していました。特に、攻撃者の視点を理解し、それに基づいた対策を講じることが課題となっていました。この課題に対処するためには、自社のプロダクトを第三者の目で評価し、脆弱性を発見する新たなアプローチが求められていました。導入前の課題に対する解決策
株式会社Finatextホールディングスが直面していた課題に対する解決策として、バグバウンティの導入が選ばれました。この選択は、攻撃者の視点を取り入れ、自社プロダクトのセキュリティを外部の目で評価することにより、より堅牢なセキュリティ体制を築くためのものでした。バグバウンティは、セキュリティに詳しい担当者がいれば実施可能であり、脆弱性が見つかった場合のみ報酬を支払う成果報酬型のため、コスト効率も良いというメリットがありました。また、脆弱性報告に対応できる人員の確保も重要なポイントでした。製品の導入により改善した業務
バグバウンティの導入により、株式会社Finatextホールディングスは複数の面での業務改善を実現しました。まず、セキュリティ対策の観点から、外部のホワイトハッカーによる評価を通じて、未知の脆弱性を発見し対処することが可能になりました。これにより、セキュリティレベルの向上とともに、攻撃者の視点を学ぶことができ、より効果的なセキュリティ対策を講じることができるようになりました。また、成果報酬型のため、コスト削減も実現しました。これらの改善は、同社のプロダクトの信頼性と顧客満足度の向上に大きく貢献しています。
脆弱性の早期発見に繋がるセキュリティ対策:ヌーラボ社セキュリティエンジニアと語る、VDPを活用した脆弱性発見報告から対応までの導線設計
※出典:脆弱性の早期発見に繋がるセキュリティ対策:ヌーラボ社セキュリティエンジニアと語る、VDPを活用した脆弱性発見報告から対応までの導線設計 |IssueHunt
この導入事例のポイント
- セキュリティ脆弱性の早期発見や迅速な対応を行いたい
- これまではお問い合わせフォームで報告を受け取っており、社内で割り振る手間があった
- 報告しやすく脆弱性の情報を迅速に届けられる「Issue Hunt VDP」を導入
- 報告窓口が見つからないことによる脆弱性の放置や、意図しない脆弱性の公開が解消
- 窓口を英語で公開・日本語のサポートを受けることで、海外からの報告にも対応可能に
製品を導入することになった背景
株式会社ヌーラボは、チームのコラボレーションを促進するサービスを提供しています。しかし、脆弱性報告の受け取り方法に課題がありました。従来はお問い合わせフォームを通じて脆弱性報告を受け付けていましたが、サービスに関するお問い合わせと情報が混在し、社内での対応に手間がかかっていました。この状況を改善するため、脆弱性の早期発見と迅速な対処を目的に、VDP(Vulnerability Disclosure Policy)の導入を決定しました。また、security.txtの策定に伴い、自社のVDPを整備する必要性も感じていたことが背景にあります。導入前に企業が抱えていた課題
株式会社ヌーラボは、BacklogやCacooなどのコラボレーションツールを提供する企業です。これらのサービスは多くの業種で利用されており、セキュリティは非常に重要な要素です。しかし、脆弱性報告の受け取り方法に問題があり、報告がお問い合わせフォームを通じて行われていたため、サービスに関する問い合わせと混在し、効率的な対応が困難でした。また、脆弱性が適切に報告されないことで、セキュリティリスクが放置される可能性もありました。導入前の課題に対する解決策
株式会社ヌーラボは、脆弱性報告の受け取りと対応の効率化を目指し、VDPの導入を決定しました。VDPを導入することで、脆弱性報告の専用窓口を設け、報告者が報告しやすい環境を整えることができました。また、security.txtの策定に伴い、自社のVDPを整備する必要があったため、これを機に導入を進めました。VDPの導入により、脆弱性報告の受け取りと対応が迅速かつ効率的に行えるようになりました。製品の導入により改善した業務
VDPの導入により、株式会社ヌーラボは脆弱性報告の受け取りと対応の効率化を実現しました。専用の報告窓口を設けることで、報告者が脆弱性を容易に報告できるようになり、迅速な対応が可能となりました。これにより、セキュリティリスクの早期発見と対処が可能となり、提供するサービスの安全性が向上しました。また、VDPの導入は、セキュリティ対策の一環としても有効であり、企業の信頼性向上にも寄与しています。
エニグモセキュリティ担当者と語る、バグバウンティやVDPを用いたセキュリティ強化施策 :外部コミュニティを活用した未知の脆弱性へのアプローチ
※出典:エニグモセキュリティ担当者と語る、バグバウンティやVDPを用いたセキュリティ強化施策 :外部コミュニティを活用した未知の脆弱性へのアプローチ |IssueHunt
この導入事例のポイント
- 昨今の脆弱性攻撃のトレンドから、脆弱性管理を強化する必要性を感じていた
- 日本語でのサポートがあり、無償で利用できる“IssueHunt VDP”を導入
- 組織として対応すべき脆弱性対応をしてもなお残る脆弱性の発見に役立つ
- 利用開始後すぐに何件も報告があり、ホワイトハッカーの対応も丁寧
- 導入後の対応フローなどを理解することで準備の段階からセキュリティ対策の強化に
製品を導入することになった背景
株式会社エニグモは、ECサイトをビジネスの主軸とし、グローバルにサービスを展開しています。セキュリティは同社の最優先課題であり、最も重要な経営課題の一つと捉えられています。昨今のサイバーセキュリティの重要性を鑑み、セキュリティチームを発足させ、全社的なセキュリティを担保する形で業務を行っています。脆弱性を狙った攻撃が頻繁に行われる現状を踏まえ、VDP(Vulnerability Disclosure Policy)の導入が必要と判断されました。VDPは組織として対応すべき脆弱性対応をしてもなお残る脆弱性を発見できるサービスであり、脆弱性管理の強化を目的として導入されました。導入前に企業が抱えていた課題
株式会社エニグモは、BUYMAサービスをはじめとする複数のECサイトを運営しており、これらのサイトの安全な運用は会社にとって最優先の課題です。しかし、脆弱性を狙った攻撃が増加する中、既存のセキュリティ対策だけでは十分ではないという課題が浮き彫りになりました。特に、委託先のシステムに脆弱性を付いた攻撃により侵入し、自社システムに攻撃が水平展開されるリスクが高まっていました。このような状況下で、脆弱性管理の強化が急務となり、新たな対策の導入が求められていました。導入前の課題に対する解決策
株式会社エニグモは、脆弱性管理を強化するためにVDPを導入することを決定しました。VDPは、組織として対応すべき脆弱性対応をしてもなお残る脆弱性を発見できるサービスであり、最後の砦としての役割を果たします。導入にあたり、既存のセキュリティ対策を補完する立ち位置であることを理解し、事前に対応手順を整備することが重要でした。また、スモールスタートから始め、導入後の対応フローを理解することで、準備の段階からセキュリティ対策の強化に繋がりました。社内状況を踏まえ、必要に応じて運用代行サポートも活用することが可能でした。製品の導入により改善した業務
VDPの導入により、株式会社エニグモは脆弱性管理の強化を実現しました。導入初期には、VDPに関連した攻撃と本物の攻撃を区別する必要がありましたが、社内での監視が機能していることが確認され、攻撃の検知と対応がスムーズに行われるようになりました。また、VDPの運用体制を整備し、報告された脆弱性の対応要否の判断や対応の流れを社内ドキュメントに整理することで、迅速かつ丁寧な対応が可能になりました。脆弱性の報告内容を理解し、適切に対応する人材の確保も行い、脆弱性の深刻度に応じた対応優先度の決定が行えるようになりました。これにより、ECサイトの安全な運用という最優先課題の達成に大きく貢献しました。
この導入事例のポイント
- ユーザーの方が世界中の個人の方々で、且つユーザー数も多く、より一歩踏み込んだセキュリティ対策を検討していた
- IssueHuntは脆弱性報告があった場合のみ、支払いが発生する成果報酬型モデルであるため、導入の敷居も低かった
- プロダクトごとの特性を考慮した上で、既存の対策では対策できない、未知の脆弱性を検知できる手段としても有効
- お客様の重要なデータを保管している場合、情報漏洩対策としてもバグバウンティは有効な手段となる
製品を導入することになった背景
株式会社Helpfeelは、Gyazo事業のユーザーが世界中に存在していたため、従来より一歩踏み込んだセキュリティ対策の必要性を感じていました。数年前にバグバウンティを実施した経験があり、Scrapbox事業でもバグバウンティを実施していました。2019年に立ち上げたHelpfeel事業においてもバグバウンティの実施を検討していた際、IssueHuntのプレスリリースを見かけ、これにより導入を決定しました。導入前に企業が抱えていた課題
株式会社Helpfeelは、セキュリティ対策として静的解析や動的解析を実施していましたが、これだけでは十分でないと感じていました。特に、GyazoやScrapboxのユーザーが多く、攻撃を受けた場合の影響が大きいと考えていました。導入前の課題に対する解決策
バグバウンティの導入を考えた理由の一つとして、既存のセキュリティ対策では対応できない新しい攻撃手法や未知の脆弱性に対応するためでした。バグバウンティを通じて、プロダクトごとの特性を考慮した上での脆弱性の調査や報告を受け取ることができると考えました。製品の導入により改善した業務
IssueHuntのバグバウンティを導入したことで、脆弱性報告があった場合のみの支払いという成果報酬型モデルを採用できました。これにより、導入の敷居が低くなりました。また、IssueHuntを使用することで、導入時のサポートや機能の追加リクエスト対応が容易になり、以前使用していた海外のバグバウンティプラットフォームと比較して、コミュニケーションの苦労が軽減されました。
この導入事例のポイント
- ウェブアプリケーションのセキュリティ対策に関して、以前から課題感を抱えていた
- 脆弱性診断の都度実施はコスト的に非現実的のため、バグバウンティを活用しセキュリティ強化を図ることに
- 攻撃の糸口となりうる脆弱性と攻撃手段を報告があり、攻撃を受ける前に修正可能となった
- ウェブアプリケーション脆弱性診断ではスコープ外となるケースでも、バグバウンティでは対応できる
- 脆弱性診断を定期的に実施しているが、追加の診断にコスト面で悩んでいる場合、バグバウンティは良い選択肢となる
製品を導入することになった背景
ビットバンク株式会社は、ウェブアプリケーションのセキュリティ対策に関して、以前から課題感を抱えていました。脆弱性診断は定期的に実施していたものの、それだけでは不十分で、都度の実施はコスト的に非現実的でした。そこで、セキュリティ強化のためにバグバウンティを活用することとなりました。導入前に企業が抱えていた課題
ビットバンク株式会社は、ウェブアプリケーションの脆弱性診断を定期的に実施していましたが、それだけでは現状の脆弱性情報しか得られないという課題がありました。また、機能のリリースや改修が頻繁に行われているため、都度の脆弱性診断はコスト的に困難でした。導入前の課題に対する解決策
ビットバンク株式会社は、セキュリティ対策の一環として、自社でバグ報告窓口を運用していましたが、その存在があまり知られていなかったため、バグバウンティ・プラットフォームへの掲載を決定しました。これにより、多くのホワイトハッカーやバグハンターからの報告を受け取ることができるようになりました。製品の導入により改善した業務
バグバウンティの導入により、攻撃の糸口となる脆弱性や攻撃手段を事前に報告してもらい、攻撃を受ける前に修正することができるようになりました。また、本番環境を対象としたバグバウンティでは、ファイアウォールやCDNなどの設定不備も発見することができるようになりました。これにより、ビットバンク株式会社は、より堅牢なセキュリティ対策を実施することができるようになりました。
この導入事例のポイント
- 外部からバグバウンティの導入を提案されたことがきっかけ
- 高水準のセキュリティ対策を維持し、取り組み内容を明示することで安全性の訴求にも繋がる
- 更なるセキュリティ対策の必要性を感じていたため、バグバウンティを実施することに
- 様々な視点から診断を行うため、インフラ側の設定のミスなど、様々な角度からの報告が寄せられた
- 顧客情報などを保持していない場合でも、社内に情報が流れている可能性があるため、バグバウンティを実施する価値はある
