バグバウンティ【bug bounty】脆弱性報奨金制度
脆弱性とは、攻撃者に悪用される可能性のあるシステムの欠陥や弱点のことを指す。どれほど優秀な開発チームであっても、現代の複雑化したソフトウェアやネットサービスのすべての脆弱性を自社だけで発見しきることは難しい。
そこで、世界中のセキュリティ研究者や「ホワイトハットハッカー」と呼ばれる善意の技術者に「バウンティハンター」(賞金稼ぎ)になってもらい、脆弱性の探索・発見に強力してもらう取り組みがバグバウンティである。多様な視点や技術的背景を持つ参加者が検証を行うため、想定外の手法による問題発見に繋がる場合がある。報告者にとっては技術力の証明や収入機会となり、主催者にとっては公開後のソフトウェアやサービスに対する継続的な検証手段となる。
ソフトウェアの開発元やサービスの運営元が主催者となり、対象となるシステムや検証範囲、報告方法、報酬額の基準などを事前に公開し、参加者はその条件に従って調査を行う。発見された問題は指定された窓口に報告され、内容の再現性や影響度が確認された後、報奨金が支払われる流れとなる。報告後に修正が行われるまで詳細を公開しない「責任ある開示」の考え方が適用され、ルールを逸脱した参加者には報奨金が支払われないばかりか法的責任を問われる可能性もある。
報酬額は発見された脆弱性の深刻度によって異なり、軽微なものには数万円程度、悪用されれば大きな被害につながる重大な脆弱性には数百万円以上が支払われる場合もある。米マイクロソフト(Microsoft)や米グーグル(Google)社などの大手IT企業は独自のプログラムを運営しているが、「HackerOne」や「Bugcrowd」など、開発元とバウンティハンターを仲介する専門のプラットフォームもある。
共有ボタンをタップ