イーシーキューブの梶原です。
2022年7月~8月の期間限定で、EC-CUBEではバグバウンティを実施しました。
その際にざっと調べたのでまとめておきたいと思います。
ざっとなので、かなり表面的な情報ではありますが、まずはバグバウンティを知っていただくきっかけにでもなりましたら幸いです。
(そして、EC-CUBEでは結果的にはかなりオリジナル色の強いバグバウンティを実施するに至りました。その話はまた別の方にバトンタッチします。)
そもそもバグバウンティとは?
バグバウンティとは、簡単に言うと「バグに対する報奨金制度」のことです。
一般的には脆弱性の報告に対する報奨金制度であり、脆弱性の危険度に応じて報奨金の金額が変わるような制度になっていることが多いようです。
バグバウンティを企業が採用するメリットとしては概ね以下と言われています。
・世界中のホワイトハッカーに製品やサービスの脆弱性を発見してもらうことができ、自社サービスのセキュリティ向上につながる
・継続的に脆弱性の報告を受け、そのことによりサービスのセキュリティや質を高めているとアピールすることができる
バグバウンティを採用している企業は?
メリットを見れば、どの企業でも採用した方が良いように思われるかもしれませんが、脆弱性を見つけてもらうことを外部の方とオープンに進めていけるのかどうか、
そもそも報奨金を払うことができるのか、もしくは、報奨金を払うに値する取り組みと思えるか、など様々な課題もあるので、実施に向けては少なからず大きな決断
が必要な制度であるとも認識しています。
(ちなみに、EC-CUBEの場合は、まずはチャレンジしてみるという決断ができたこと、そして自分たちのできる予算、できるやり方を考えながらやったことで、一定の成果があったのではないかと思います。)
さて、話を戻して、まずは世界でバグバウンティを採用している企業を見ていきましょう。
バグバウンティでも影響力が大きかったと言われているのは、アメリカの国防総省のバグバウンティです。
もう、そんなところでもバグバウンティをするぐらいですから、欧米ではバグバウンティは日本国内に比べて非常に活発に行われています。
AFP通信社より掲載
米国防省賞のバグバウンティ。しっかりと脆弱性が発見されたことも発表されています。
やはり、脆弱性が見つかったこと、そしてそれを改善したことを公開していることはとても信頼性向上につながっていると思います。
当然GAFAみたいな巨大な企業もバグバウンティを採用しています。いくつか紹介しておきます。(GAFAの中でもAmazonだけ見つからなかったです。やってない?どなたか知ってたら教えてください。)
[Google's Bug Hunting community](https://bughunters.google.com/)
Googleは他企業にも先駆け、バグバウンティ制度を導入しています。
2022年8月には新たにオープンソースソフトウェアに対象を絞ったバグ報奨金プログラム「Open Source Software Vulnerability Rewards Program」(OSS VRP)を立ち上げました。
報奨金は、発見された脆弱性の深刻度に応じて約100ドル(約1万4000円)から3万1000ドル(約430万円)が支払われるとのこと。
meta(Facebook)
Facebookページより掲載
データ不正使用の報告報奨金制度というのを実施しています。
Facebookページから確認することもできますし、ご興味がある方は是非。
Apple
[Apple Security Bounty](https://security.apple.com/bounty/)
iOS、iPadOS、macOS、tvOS、watchOS、iCloudの問題を報告して、最大150万米ドルを受け取ることができます。さらに、Appleは有効な報告をしてくれた方を表彰し、報酬金に相当する額を適格な公益組織に寄付します。とのこと。
一方、日本国内でバグバウンティを採用している企業は?
一方、日本国内ではどうでしょうか?
認識としては日本国内のバグバウンティ採用企業はまだまだ欧米に比べるとかなり少ないと認識しています。
証拠に、今回2022年にEC-CUBEで開催したバグバウンティがGoogle検索では既に1ページ目に表示されていますので、本当にまだまだといったところなのではないでしょうか。
そんな中でも国内で有名な2つをご紹介しておきます。
サイボウズ
[サイボウズ脆弱性報奨金制度](https://cybozu.co.jp/products/bug-bounty/)
サイボウズさんの脆弱性報奨金制度は、2014年から始まったそうです。かなり早いですね。
サイボウズが提供するサービスに存在するゼロデイ脆弱性の早期発見を目的としており、報奨金は1件あたり最大で2,000,000円とのこと。
この金額を見る限りでは、むしろ大きな脆弱性は存在しないのではないかと思わされるほどです。信頼感出てますね。
LINE
[LINE Security Bug Bounty Program](https://bugbounty.linecorp.com/ja/)
コミュニケーションアプリ「LINE」及びWEBサイトに存在する脆弱性を早期に発見し、ユーザーにより安全なサービスを提供することが目的。
2019年10月より、Hackeroneというプラットフォーム上で運営しているとのこと。
そう、最後に出てきましたね。
バグバウンティは自分たちで頑張って運営をすることなくスタートできるようになっています。
バグバウンティを実施するためのプラットフォームが存在するからです。
今回、EC-CUBEでは独自の方針で実施したため、プラットフォームを使いませんでしたが、これからバグバウンティを実施したい、という方はプラットフォームで始めるのも良いのではないでしょうか。
バグバウンティプラットフォームのご紹介
では、最後にこれからバグバウンティを初めてみようかな、という方に少しだけ、
バグバウンティを実施するためのプラットフォームで国内でも利用できるものをいくつかご紹介しておきます。
bugbounty.jp
[bugbounty.jp](https://bugbounty.jp/)
日本初のバグバウンティプラットフォーム。
ホワイトハッカーの手配からサポートまで対応してくれます。
IssueHunt
[IssueHunt](https://bounty.issuehunt.io/company)
IssueHuntは、セキュリティリサーチャーに成果報酬型で脆弱性診断を依頼でき、エンジニア採用まで対応したクラウドソーシングサービスとのこと。
世界中の数万人のリサーチャー達が、診断プログラムに基づき診断を行い報告を行うため、バグハントするエンジニアを集める必要がないことなどは大きなメリットですね。
以上です。
みなさんも、レッツ・バグバウンティ!