Bug Bounty Programs - Crowdsourced Vulnerability Discovery

About 2 min read

バグバウンティとは、企業が外部のセキュリティ研究者に対して 自社システムの脆弱性を発見・報告するよう公募し、 有効な報告に報奨金を支払うプログラムです。 1995 年に Netscape が初めて公式プログラムを開始し、 現在では Google、Microsoft、Apple をはじめ数千社が導入しています。 Google は 2024 年だけで約 1,200 万ドルの報奨金を支払い、 過去最高額を更新しました。

現場での使用例

「バグバウンティプログラムを開始して 3 か月で、 外部の研究者から認証バイパスの脆弱性報告を受けました。 社内のペネトレーションテストでは見つからなかったパターンで、 報奨金 50 万円を支払い、修正パッチを 48 時間以内にリリースしています。」

歴史的背景

バグバウンティの概念は、 2000 年代後半に HackerOne や Bugcrowd といった プラットフォームの登場で急速に普及しました。 従来はペネトレーションテストを 専門企業に依頼する形が主流でしたが、バグバウンティは世界中の研究者の 多様な視点を活用できる点で優れています。 米国国防総省が 2016 年に「 Hack the Pentagon 」プログラムを実施したことで、 政府機関にも広がりました。バグバウンティの入門書 (Amazon)で体系的に学べます。

企業側の導入ポイント

バグバウンティを成功させるには、明確なスコープ (対象システム) の定義、 報奨金テーブルの設計、報告のトリアージ体制が重要です。CVE 番号が付与されるような 重大な脆弱性には高額の報奨金を設定し、研究者のモチベーションを維持します。 よくある失敗は、報告への応答が遅い、重複報告の扱いが不明確、 報奨金の支払いが遅延するケースです。 強力なランダムパスワードでバグバウンティプラットフォームの 管理アカウントを保護し、報告内容の漏洩を防ぎましょう。脆弱性管理の書籍 (Amazon)も参考になります。