脆弱性発見に外部専門家のリソースを活用する「バグバウンティプログラム」

バグバウンティプログラムは2010年代半ばに登場した「未知の脆弱性の発見者に報酬を提供する仕組み」の総称です。代表的なプラットフォームの1つである「HackerOne」では、バグバウンティプログラムを以下のように紹介しています。^*1

“Trusted hackers continuously test vulnerabilities in public, private, or time-bound programs designed to meet your security needs.”

（信頼できるハッカーが、お客様のセキュリティニーズに最適化された脆弱性テストを継続的に実施します。テストプログラムには、公開、非公開、または期限付きなどの形式があります。）

この文章はシンプルな表現でバグバウンティプログラムの核心を突いており、バグバウンティプログラムとは「信頼されたハッカー」が継続的に脆弱性についてのテストを行うプログラムであることが容易にイメージできます。昨今ではバグバウンティプログラムの報奨金を目的として対象のサービス・製品の脆弱性の発見に従事する技術者・組織を「バグハンター」と呼称するケースも増えています。

バグバウンティプログラムの日本語訳として、一般的には「脆弱性報奨金制度」や「バグ報奨金プログラム」が当てられています。しかし日本ではバグバウンティプログラムについて、“ハッカー”という言葉のイメージに引きずられ、実際の取り組み状況との間に乖離があります。

たとえば、以下のような誤解が日本企業では見られます。

• 脆弱性の発見者への対価の支払いが、あたかも犯罪者への資金提供であるかのような誤解
• そもそも企業・組織が“ハッカー”と関係性を持つことにより、犯罪やリスクに巻き込まれるのではないかといった誤解
• 不正確な情報による不安や抵抗感に基づく誤解

しかし、バグバウンティプログラムは情報セキュリティの分野では世界的に広く知られており、すでに多くの活用事例が公開されている取り組みです。海外では以下のような大企業がバグバウンティプログラムを展開しています。^*2

• Spotify
• Google
• Twitter
• Snapchat(Facebook)
• Slack

上記のようなWebサービス、SaaSとは無関係と思われる企業・組織においてもデジタルトランスフォーメーション（DX）の流れを受け、積極的なアプリケーション活用やWebサービスの提供を行っている背景から、バグバウンティプログラムを提供する企業が増えています。^*3

• GM（ゼネラルモーターズ）
• Lufthansa（ルフトハンザドイツ航空）
• Starbucks Coffee（スターバックス コーヒー）
• アメリカ国防総省
• Goldman Sachs（ゴールドマン・サックス）

前述のHackerOneをプラットフォームとして使ってバグバウンティプログラムを提供している日本企業もすでに多く存在します。2021年3月15日時点でActive Programとなっている日本企業を抜粋すると、以下のような例があります。^*4

• 任天堂
• Yahoo! Japan、LINE
• JR東日本、JR東海、JR西日本
• JAL（日本航空）
• ルネサス エレクトロニクス
• シャープ
• JT（日本たばこ産業）

日本においては株式会社スプラウトが運営する日本初のバグバウンティプラットフォーム「BugBounty.jp」が、日本のインターネット関連企業や航空会社、自治体などがプログラムを提供していることで知られています。^*5

次に、バグバウンティプログラムの仕組みを掘り下げて紹介します。

バグバウンティとは、未知の脆弱性を発見した発見者・組織に対して、そのソフトウェア、製品、サービスなどを提供する企業・組織が支払う報酬を意味しています。この報酬はグッズや物品の場合もありましたが、現在では金銭（報奨金）で提供されるケースが多いといえます。

バグバウンティプログラムの仕組みとプロセス

バグバウンティプログラムは、一般的に下記のプロセスで行われます。

1. プログラムの作成・告知
   バグバウンティの実施にあたり、企業や組織は“プログラム”として制度化し、外部のバグハンターに対して自社の製品、サービスなどにおける脆弱性（バグ）の有無の調査依頼を告知（公開）します。
2. 脆弱性の報告
   外部のバグハンター（技術者）は対象となる製品・サービスの脆弱性を独自に調査します。その結果、脆弱性を発見した場合はプログラムを提供する企業・組織に所定の方法で報告を行います。
3. 報告内容の確認
   バグハンターからの報告を受けた企業・組織はその報告内容を確認します。企業・組織は、それが報酬の対象となるかを検討し、あらかじめ設定したランク（主には脆弱性の重要度・深刻度などを基準にして設定）における分類のいずれに該当するかなどを決定します。
4. 脆弱性の認定・報酬の提供
   報告内容が脆弱性であると認定された場合、企業・組織はプログラムに基づいてバグハンターに対して報酬を支払います。

バグバウンティプログラムと自動車セキュリティは、“脆弱性の管理”という点で強い関連性を有しています。その理由について、①WP29やISO/SAE 21434への対応、②脆弱性発見時の対応における主導権の確保、③外部のセキュリティ専門人材のリソースの活用の3つの観点で説明します。

1. WP29やISO/SAE 21434への対応

   自動車業界で今後必須となるWP29やISO/SAE 21434などへの対応において、バグバウンティは車両や部品の脆弱性の管理に一役買うと考えられます。

   WP29やISO/SAE 21434のドキュメントには、バグバウンティを活用すべきといった記載はありません。また、車両の発売後のフェーズで、OEMがその車両の脆弱性を自ら積極的に把握し、対処することを要求する記述もありません。ただし、発売後のフェーズにおいて新たに発見された脆弱性への対処は厳格に要求されています（詳しくはこちらの論考記事をご参照ください）。

2. 脆弱性発見時の対応における主導権の確保

   従来、外部の研究者や有識者などにより発見される脆弱性情報は、OEMやサプライヤーにとっては予想外かつ突発的な報告であり、その発表方法や情報の取り扱いについての主導権を取れず、発見者の都合で物事が進む傾向が顕著でした。また、脆弱性の発見者が連絡・相談を試みても企業・組織側の窓口が不明であったり、誤った連絡先に通知してしまったりすることで適切なコミュニケーションが取れないケースも発生しています。

   こういった問題を生じさせないためにも、OEMやサプライヤーが取るべき対応は、バグバウンティプログラムの主体的な提供や発見者へのベネフィットの提供です。こうした取り組みは、脆弱性報告によって企業や組織が後手の対応に追われる事態に陥らないために有効なプロアクティブ的アプローチの1つであるといえます。

3. 外部のセキュリティ専門人材のリソースの活用

   企業や組織が製品発売後も脆弱性に関する調査と改善の取り組みを継続的に実施するには、自社またはグループ会社・組織でそれらの知見を有する人材を集めて組織化し、かつその専門チームを長期的に維持する必要があります。しかしその取り組みを実現可能性という観点で考えると、非常に難しいテーマであると想像されます。

   そもそもターゲットは発売前の検査で発見できなかった高度な脆弱性であり、その検出のために外部の専門人材を活用することは現実的なアプローチです。よって、バグバウンティプログラムの利用は次世代の自動車を筆頭とするスマートプロダクトを提供する企業・組織にとって実情に即した答えであるといえるでしょう。