Entry № 151
バグバウンティプログラム
バグバウンティプログラム とは何ですか?
バグバウンティプログラム組織が外部の研究者に脆弱性報告を呼びかけ、影響度に応じて報奨金を支払う公式制度。
バグバウンティプログラムは、クラウドソースのセキュリティテストを統制された業務プロセスに変える仕組みです。組織はスコープ、行動規範、対象外、報奨金レンジを公開し、自社プラットフォームまたは HackerOne、Bugcrowd、Intigriti のようなトリアージ事業者を通じて独立研究者からの報告を受け付けます。報告は検証・再現・優先度付けの後に修正され、報奨金は深刻度(多くは CVSS)に応じて支払われます。公開型と招待制プライベート型があり、社内 AppSec、SAST/DAST、ペネトレーションテストを補完しますが置き換えるものではありません。誠実な研究者がアンチハッキング法で訴追されないよう、セーフハーバー条項を明示することが不可欠です。
● 例
- 01
Google Vulnerability Reward Program、Microsoft Bug Bounty、Apple Security Bounty。
- 02
SaaS ベンダーが HackerOne 上で招待制プログラムを運営し、500 ドルから 50,000 ドルの報奨金を支払う。
● よくある質問
バグバウンティプログラム とは何ですか?
組織が外部の研究者に脆弱性報告を呼びかけ、影響度に応じて報奨金を支払う公式制度。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
バグバウンティプログラム とはどういう意味ですか?
組織が外部の研究者に脆弱性報告を呼びかけ、影響度に応じて報奨金を支払う公式制度。
バグバウンティプログラム からどのように防御しますか?
バグバウンティプログラム に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
バグバウンティプログラム の別名は何ですか?
一般的な別名: VRP, 脆弱性報奨金制度。