脆弱性報奨金制度(バグバウンティ)
脆弱性を発見して報酬をもらえる仕組みです。
「脆弱性」とは、セキュリティ上問題がある欠陥を指します。
通常、サービスが始まっているWebサイトやアプリケーションに対して脆弱性が見つかってしまうと、見つけた方がどうにかして報告するか、開発者が気づくしかありません。
「見つけた方」が悪意ある人だった場合、その脆弱性を悪用されて重要情報が漏洩したり、システムが乗っ取られたりします。
脆弱性が悪用される可能性を減らし、かつ見つけた側にもメリットがあるようにした仕組みが「脆弱性報奨金制度(バグバウンティ)」となります。
楽しさ
現実世界で役に立つゲームです。
報奨金を出すという性質上、どうしても競争が発生します。
さらに、個人の成長要素もたっぷりです。
競争が発生して成長要素があるということは、対戦型のゲームとそんなに変わらないという考え方もできます。
そして、「サイバー攻撃を未然に防ぐ」というのは、これからの時代大切なものになってきます。
最高にうまく行けば、「遊びながら、世界に貢献し、お金も貰える」というのが実現できます。
真面目な観点で言えば、脆弱性診断士としての実績作成や勉強も可能です。
指定されたWebサイトやアプリケーションは規約の範囲内であれば攻撃可能ですから、実際のサービスに対して学んだことの検証が出来ます。
さらに、脆弱性を見つけた際は自分の言葉で相手に伝わるように説明する必要があります。
技術だけではなく、コミュニケーションも必要になってくるので、実際の仕事でも必要な力は養えるのかなと思います。
どこでバグバウンティは出来る?
おおよそ以下の2種類になります。
- バグバウンティプログラムを提供している企業を探す
- 様々な会社のバグバウンティプログラムを介するプラットフォームを探す
1.バグバウンティプログラムを提供している企業を探す
こちらは、企業としてバグバウンティプログラムをやっているものに参加する形となります。
日本で有名なのはサイボウズ社でしょうか。
合宿なども行われており、盛んなイメージがあります。
2.様々な会社のバグバウンティプログラムを介するプラットフォームを探す
イメージ的には、求人を提供する転職エージェントみたいな感じです。
案件のようにバグバウンティプログラムを提供してくれています。
また、IPAによる「脆弱性関連情報の届出」制度があります。
Webサイトやローカルにインストールするソフトウェアなどが対象になります。
バグバウンティが行われなくても、この制度経由で脆弱性を報告することが可能です。
こちらもバグバウンティと同様に規約があります。
情報セキュリティ早期警戒パートナーシップガイドライン2019年版
基本的には、Webサイトに対しては代表的な脆弱性の検証はできません。
不正アクセスとなってしまい、法律に反することになります。
慣れるまでは、OSSなどローカルに環境を整えるものをオススメします。
ローカルに環境があるので、好き放題出来ます。
コミュニティに入る
バグバウンティは1人でやったり、チームでやったりします。
チームでやる場合は、報奨金が分割されたりします。
その他、情報共有が行われるコミュニティがいくつかあります。
日本では記事やコミュニティが少ないですが、海外では盛んに行われています。
hackeroneやbugcrowdのコミュニティが代表的かと思われます。
おわりに
脆弱性報奨金制度(バグバウンティ)の紹介でした。
私が「セキュリティやりたいな~」って思ってる時は、そもそも何がセキュリティなのかわからない状況でした。
なので、バグバウンティというものを知ってもらって、セキュリティ分野に入るきっかけになってもらえたらなと思いました。
最後までお読みいただきありがとうございました。
コメント