TOPICS

海外大手インターネット企業はもう始めてる!日本初のバグ報奨金プログラム「BugBounty.jp」

May 31, 2016

"バグ報奨金プログラム"をご存知だろうか。これはウェブサービスやアプリにおけるバグや脆弱性の調査を企業が外部のホワイトハッカーに依頼し、問題を見つけた場合にその対価として報奨金を支払う取り組みだ。

 海外の大手インターネット企業では、すでに自社のセキュリティを向上させるための手段として広く認知されている。これを、簡単に実施できる日本初のプラットフォームが「BugBounty.jp」なのだ。

「日本は海外と比較して、サイバーセキュリティへの取り組みが遅れており、高度な技術を持つセキュリティエンジニアの数も不足しています。一方で、高い技術力を誇るセキュリティエンジニアにとっては、一般的なセキュリティ企業が提供しているウェブやアプリケーションの診断サービスでは、自らのスキルを最大限に発揮できていないという側面もありました。当社のセキュリティエンジニアたちも、これまで様々なバグバウンティプログラムに参加しその有効性は実感していましたが、日本で実施している企業はサイボウズやミクシィなど数社に限られており、もっと増えてほしいと考えていました」。そう話すのは、BugBounty.jpを運営する株式会社スプラウトの代表取締役 武内開作さんだ。

 国内のバグバウンティプログラムが広まれば、日本全体のセキュリティ力も向上する。そんな信念のもと開発されたプラットフォームで、企業は自ら脆弱性調査の依頼や管理をする必要がなく、簡単に世界中のホワイトハッカーから協力を得ることができる。
 
「これはスピーディにセキュリティを向上させることにも繋がります。また、このプラッフォームは英語にも対応しているため、海外ハッカーたちの協力も得られます。集まった脆弱性情報はセキュリティ会社のスプラウトが厳格に保全管理するので、安心してご利用いただけます」(武内さん)

■"技術力×情報力"を活かし日本のセキュリティ面の発展に貢献

 スプラウトが設立されたのは2012年12月。創業時は核となるようなテーマを模索している状況だったが、そんな中、政府関係者から「他の先進国と比較して、日本のサイバーセキュリティに対する意識が低い」という声を聞いたという。一方で企業経営者からは「必要な対策が何なのか情報が不足している」という意見も。

「独自に調査をしてみると、日本が直面しているサイバーリスクは相当高いという危機感を覚え、これからの日本を支えるサイバーセキュリティ分野の発展に貢献していきたいと強く思うようになりました。スプラウトには、日本でもトップクラスの技術力を持つセキュリティエンジニアを中心に、開発エンジニア、インフラエンジニアなど各専門分野に詳しい技術メンバーが揃っています。また、情報通信分野に精通した編集者やリサーチャー、コンサルタントなど、多様なバックグランドを持った社員も在籍しています。この他社にはない"技術力×情報力"という強みを活かし、日本のセキュリティ面の発展に貢献することを目指しています」(同)

 セキュリティ分野の実績としては、メッセージアプリの「LINE」、ネットワークカメラ、スマートキーなどの製品に潜む脆弱性を発見し、IPAに年間20件ほどの脆弱性を報告。また、サイバーリスクに関する講演会や東京大学にて学生たちに講演を行ったりと、セキュリティの人材育成にも尽力している。

「企業や消費者が実感する以上のスピードで、悪意を持ったハッカーからの攻撃は日々進化しています。弊社ではそのような状況を改善するため、セキュリティエンジニア視点で設計したクラウドサービス『SolidHub』の開発にも取り組んでいます。さらに、セキュリティに関するコンサルティングや独自の診断サービスも提供しています。例えば、ウェブ診断とバグバウンティプログラムを組み合わせることで、これまでにない効率的なセキュリティ対策が可能になります」(同)

 サイバーリスクを低減させるための有効な戦略的投資として、注目が集まっているバグ報奨金プログラム。現時点で国内外合わせて150人以上のホワイトハッカーが登録、活躍している。サイバーセキュリティの専門家集団の戦いは始まったばかりだ。

■BugBounty.jp
https://bugbounty.jp

■株式会社スプラウト
http://www.sproutgroup.co.jp