バグバウンティプログラム
バグバウンティプログラム とは何ですか?
バグバウンティプログラム組織が外部の研究者に脆弱性報告を呼びかけ、影響度に応じて報奨金を支払う公式制度。
バグバウンティプログラムは、クラウドソースのセキュリティテストを統制された業務プロセスに変える仕組みです。組織はスコープ、行動規範、対象外、報奨金レンジを公開し、自社プラットフォームまたは HackerOne、Bugcrowd、Intigriti のようなトリアージ事業者を通じて独立研究者からの報告を受け付けます。報告は検証・再現・優先度付けの後に修正され、報奨金は深刻度(多くは CVSS)に応じて支払われます。公開型と招待制プライベート型があり、社内 AppSec、SAST/DAST、ペネトレーションテストを補完しますが置き換えるものではありません。誠実な研究者がアンチハッキング法で訴追されないよう、セーフハーバー条項を明示することが不可欠です。
● 例
- 01
Google Vulnerability Reward Program、Microsoft Bug Bounty、Apple Security Bounty。
- 02
SaaS ベンダーが HackerOne 上で招待制プログラムを運営し、500 ドルから 50,000 ドルの報奨金を支払う。
● よくある質問
バグバウンティプログラム とは何ですか?
組織が外部の研究者に脆弱性報告を呼びかけ、影響度に応じて報奨金を支払う公式制度。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
バグバウンティプログラム とはどういう意味ですか?
組織が外部の研究者に脆弱性報告を呼びかけ、影響度に応じて報奨金を支払う公式制度。
バグバウンティプログラム はどのように機能しますか?
バグバウンティプログラムは、クラウドソースのセキュリティテストを統制された業務プロセスに変える仕組みです。組織はスコープ、行動規範、対象外、報奨金レンジを公開し、自社プラットフォームまたは HackerOne、Bugcrowd、Intigriti のようなトリアージ事業者を通じて独立研究者からの報告を受け付けます。報告は検証・再現・優先度付けの後に修正され、報奨金は深刻度(多くは CVSS)に応じて支払われます。公開型と招待制プライベート型があり、社内 AppSec、SAST/DAST、ペネトレーションテストを補完しますが置き換えるものではありません。誠実な研究者がアンチハッキング法で訴追されないよう、セーフハーバー条項を明示することが不可欠です。
バグバウンティプログラム からどのように防御しますか?
バグバウンティプログラム に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
バグバウンティプログラム の別名は何ですか?
一般的な別名: VRP, 脆弱性報奨金制度。
● 関連用語
- attacks№ 221
協調的脆弱性開示 (CVD)
発見者・影響を受けるベンダー、必要に応じて調整役が、脆弱性の公開時期について合意したうえで開示を行うプロセス。
- roles№ 132
バグバウンティハンター
バグバウンティや協調的開示プログラムを通じてベンダーへ脆弱性を報告し、金銭的報酬と評価を得る独立系セキュリティリサーチャー。
- defense-ops№ 813
ペネトレーションテスト
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
- vulnerabilities№ 1216
脆弱性
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
- vulnerabilities№ 261
CVSS(共通脆弱性評価システム)
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
- defense-ops№ 1217
脆弱性評価
通常は実際の悪用を伴わずに、環境内のセキュリティ上の弱点を体系的に特定・分類・優先順位付けする調査。
● 関連項目
- № 1234ホワイト ハット ハッカー
- № 451グレー ハット ハッカー
- № 390エシカル ハッカー