gihyo.jpサイトのロゴ

70万人が使うOSS向け報奨金サービスIssueHunt、バグバウンティ(脆弱性報奨金制度)プラットフォームを一般公開

2022-07-08

2022年7月8日、BoostIO株式会社は、世界中のセキュリティリサーチャーへ脆弱性診断を依頼できるバグバウンティ(脆弱性報奨金制度)プラットフォーム「IssueHunt」を一般公開しました。

IssueHunt

IssueHunt誕生の背景

バグバウンティ(脆弱性報奨金制度)とは、企業が自社の製品やサービスに対する脆弱性診断プログラムを公開し、セキュリティリサーチャーが脆弱性を発見・報告することで、企業から報奨金を受け取ることができる仕組みです。

アメリカを中心に国外ではすでに一般化しており、自社サービスのセキュリティ対策を行う有効な手段として広く浸透しています。

また、クレジットカードを扱う事業者が遵守を義務付けられている基準「PCI DSS」にて、基準脆弱性対策のプラクティスの1つとして「バグバウンティ」の採用が推奨されているなど、国外においては近年注目が高まっています。

Payment Card Industry データセキュリティ基準

たとえば、日本国内の事例としては、サイボウズ株式会社がバグバウンティプログラムを自社運営しています。

サイボウズ脆弱性報奨金制度

自社で運営する場合は、規約やプログラムページの用意、リサーチャーの集客や送金を実施する必要があり、膨大な人的リソースの投資が必要ですが、それらをすべて用意できたり経営層の理解を得られる企業はあまり多くありません。

海外に目を向けてみると、それらをサービスとしてパッケージングで提供しているバグバウンティプラットフォームの筆頭としてHackeroneやBugcrowdが挙げられ、シリコンバレーの著名企業を中心にバグバウンティを実施しています。

しかし、日本企業にとっては言語やカスタマーサポートの面から、こうした海外企業のプラットフォームを利用するにはまだまだ敷居が高く、利用が困難である現状があります。

IssuHuntは、元々「オープンソースプロジェクト向け報奨金サービス」として2018年より提供を行っており、Material UIやAnt Designなどの著名OSSをはじめ、累計70万人が利用しています。一部のユーザが海外のバグバウンティサービスにも登録しており、日本国内にもバグバウンティの文化を広げ、より安全なサイバー空間を作ることを目的として、今回バグバウンティサービスの提供に至りました。

サービス提供とともに、BoostIO株式会社は売上の一部をIssueHuntに登録してあるOSSへ還元を行い、オープンソース開発者に対し、より一層の支援を行うことも発表しています。

サービス概要と特徴

続いて、IssueHuntの特徴を紹介します。

IssueHuntの特徴
IssueHuntの特徴

①日本製のプラットフォーム

前述のとおりアメリカを中心にバグバウンティプラットフォームは多数存在しますが、日本企業にとって大変敷居が高く、また日本のビジネス商習慣に適していない部分も多々あり、導入が困難であるのが現状です。

IssueHuntでは、⁠何を報奨金対象にすれば良いか」などの導入サポートや実施後の日本語でのカスタマーサポートはもちろん、バグバウンティ予算を上程するための社内資料の作成まで、BoostIO株式会社のサポートチームがユーザの伴走をすることが特徴の1つです。

②成果報酬型

IssueHuntのバグバウンティでは、ユーザ企業が報奨金の支払い対象に設定した脆弱性のみに支払いが発生しますが、有効な報告がなければ一切利用料金が発生しない成果報酬型の料金体系となっています。初期費用や月額基本料金などもなく、リサーチャーに支払った20%を手数料とする料金体系にしており、導入の敷居が低くなっています。

③網羅性

「​情報漏洩対策」⁠認証部分に特化」⁠OWASP Top 10を対象」など、ユーザ企業のニーズに合わせ、診断対象を設定することが可能です。IssueHuntに登録している数万人のリサーチャーが診断を行うため、網羅的な診断を行えます。

なお、プログラムの情報を隠し、招待したリサーチャーのみ診断に参加することができる非公開型プログラムの提供も用意されています。

④セキュリティエンジニア採用支援

ベータ版のユーザから挙がっていた「セキュリティエンジニア採用まで提供してもらえないか」という要望、また日本国内において情報セキュリティ人材が20万人不足している現状「IT人材の最新動向と将来推計に関する調査結果」経済産業省商務情報政策局 2016.6.10付資料に対応できるよう、次の採用支援機能が用意されています。

  • ジョブオファーを受け取る設定をしているリサーチャーに対し、企業側より採用オファーの送付が可能
  • 企業ページにおいて、脆弱性診断プログラムに加え、求職者情報の掲載が可能

効果が高い利用シーン

最後に、実際にIssueHuntのバグバウンティを利用する場合の、想定シーンについて紹介します。

現在、脆弱性診断やペネトレーションテストを外部企業に依頼されているユーザ企業が多い中、IssueHuntは、それらのアドオンとして利用することが最も効果的です。

通常、四半期や年度ごとといったように、特定の期間に一度診断をされるユーザ企業が多いわけですが、診断と診断の間に機能追加などのアップデートが発生すると新たな脆弱性が発生してしまうケースがあります。

こうしたトラブルを回避すべく、アドオンの形でバグバウンティを実施すれば、24時間365日、リサーチャーが外部者目線での診断・報告を行い、かつ対価は成果報酬型ですので、比較的安価にシステムを堅牢にした状態で保持することが可能です。

また、多様なバックグラウンドを持つリサーチャーによる調査を実施することで、診断時には発見できなかった脆弱性発見につながる可能性があります。

IssueHuntによる調査の仕組み
IssueHuntの特徴

サービス開始キャンペーン

サービス公開記念とし、2022年7月末までに契約したユーザ企業に向けて、リサーチャーへの支払い総額50万円まで、利用料金を完全無料になるキャンペーンが実施されています。

こちらが申し込みページです。

おすすめ記事

記事・ニュース一覧