Bug Bounty Program

バグバウンティ（Bug Bounty Program）とは、企業や組織が外部のセキュリティ研究者（ホワイトハッカー）に対し、自社のシステムやアプリケーションの脆弱性を発見・報告してもらう代わりに報奨金を支払う制度です。従来のペネトレーションテストが限定的な期間・範囲で行われるのに対し、バグバウンティは世界中の多様なスキルを持つ研究者が継続的にテストを行うため、より幅広い脆弱性の発見が期待できます。

バグバウンティの運営は、HackerOneやBugcrowdといった専門プラットフォームを通じて行われることが一般的です。これらのプラットフォームは、脆弱性報告の受付、トリアージ（優先度判定）、報奨金の支払い、研究者とのコミュニケーションを一元的に管理する機能を提供し、企業のバグバウンティ運営を効率化します。

責任ある情報開示（Responsible Disclosure）は、バグバウンティの根幹をなす概念です。発見した脆弱性をベンダーに非公開で報告し、修正パッチが提供されるまで情報を公開しないという紳士協定に基づきます。これにより、悪意ある攻撃者に脆弱性が悪用される前に修正が行われ、ユーザーの安全が確保されます。

バグバウンティの仕組み

バグバウンティプログラムは一般的に以下のプロセスで運営されます。まず企業がスコープ（対象範囲）を定義し、テスト対象のドメイン、アプリケーション、許可されるテスト手法を明示します。次にセキュリティ研究者がスコープ内で脆弱性を調査し、発見した場合はプラットフォームを通じて報告します。企業のセキュリティチームが報告をトリアージし、脆弱性の有効性と深刻度を評価した上で、CVSSスコア等に基づいて報奨金額を決定します。

主要なバグバウンティプラットフォーム

• HackerOne：世界最大のバグバウンティプラットフォーム。米国国防総省、Google、Microsoft、Dropboxなど3,000以上の組織が利用。累計報奨金支払額は3億ドルを突破
• Bugcrowd：クラウドソーシング型のセキュリティプラットフォーム。ペネトレーションテスト、アタックサーフェス管理なども提供。Mastercard、Atlassian等が利用
• Intigriti：ヨーロッパを拠点とするバグバウンティプラットフォーム。GDPR準拠に強みを持ち、欧州企業での採用が多い
• YesWeHack：フランス発のグローバルプラットフォーム。ヨーロッパの政府機関や大企業での採用実績が豊富。トレーニングプログラム「DOJO」も提供

VDP（Vulnerability Disclosure Policy）

脆弱性開示ポリシー（VDP）は、外部からの脆弱性報告を受け付けるための公式な窓口とルールを定めた文書です。報奨金の有無に関わらず、すべての組織がVDPを策定することが推奨されています。米国では2020年のCISA指令（BOD 20-01）により、連邦政府機関にVDPの策定が義務化されました。VDPには、報告先の連絡先、対象範囲、禁止行為、法的保護（Safe Harbor条項）、対応タイムラインを明記することが重要です。

スコープ設定とトリアージプロセス

効果的なバグバウンティプログラムには、明確なスコープ設定が不可欠です。対象に含めるもの（Webアプリケーション、API、モバイルアプリ等）と除外するもの（サードパーティサービス、物理的攻撃、ソーシャルエンジニアリング等）を明確に定義します。トリアージでは、報告された脆弱性をCritical（リモートコード実行、認証バイパス）、High（SQLインジェクション、権限昇格）、Medium（XSS、CSRF）、Low（情報漏洩、設定ミス）に分類し、それぞれに応じた報奨金と対応期限を設定します。

報奨金の相場

報奨金額は脆弱性の深刻度と企業の規模によって大きく異なります。一般的な相場として、Criticalレベルの脆弱性には$10,000〜$100,000以上、Highには$5,000〜$30,000、Mediumには$1,000〜$10,000、Lowには$100〜$1,000程度が支払われます。Apple、Google、Microsoftなどの大手テック企業はさらに高額な報奨金を設定しており、Appleの最高報奨金額は$2,000,000（200万ドル）に達します。

日本におけるバグバウンティの状況

日本ではIPA（情報処理推進機構）とJPCERT/CCが運営する「情報セキュリティ早期警戒パートナーシップ」が脆弱性届出の公的枠組みとして機能しています。民間企業では、サイボウズが2014年から日本企業として先駆的にバグバウンティプログラムを運営し、累計1,000件以上の脆弱性報告を受け付けています。LINE（現LINEヤフー）もHackerOneを通じたバグバウンティを実施しており、日本企業の間でもバグバウンティへの関心は着実に高まっています。ただし、欧米と比較すると普及率はまだ低く、法的な整備（善意のハッキングに対する法的保護）が課題として指摘されています。

• 01
  VDP（脆弱性開示ポリシー）の策定と公開：バグバウンティプログラムの有無に関わらず、security.txtの設置やVDPの公開を行い、外部からの脆弱性報告を受け付ける窓口を整備してください。Safe Harbor条項を含め、善意の報告者に対する法的保護を明示することが重要です。
• 02
  段階的なプログラム導入：最初からパブリックプログラム（誰でも参加可能）を開始するのではなく、まず招待制のプライベートプログラムから始めてください。少数の信頼できる研究者でトリアージプロセスを確立し、対応体制が整ったら段階的にパブリックに移行しましょう。
• 03
  明確なスコープと禁止事項の定義：テスト対象のドメイン、アプリケーション、APIを明確にリストアップし、除外対象（サードパーティサービス、DoS攻撃、物理的攻撃、ソーシャルエンジニアリング等）も明示してください。曖昧なスコープはトラブルの原因になります。
• 04
  迅速かつ透明なトリアージ体制の構築：報告の初期応答は24〜48時間以内、トリアージ完了は5営業日以内を目標に設定してください。研究者への進捗報告を定期的に行い、コミュニケーションの透明性を確保することで、研究者との信頼関係を構築しましょう。
• 05
  適切な報奨金テーブルの設計：CVSSスコアや脆弱性カテゴリに基づいた報奨金テーブルを策定し、公開してください。業界水準と比較して極端に低い報奨金は、優秀な研究者の参加を妨げます。予算が限られる場合は、認知・感謝（Hall of Fame、Swag等）の提供も検討しましょう。
• 06
  発見された脆弱性の根本原因分析：報告された脆弱性を単に修正するだけでなく、同種の脆弱性が他の箇所にも存在しないかを体系的に調査してください。根本原因を分析し、開発プロセスやセキュリティトレーニングにフィードバックすることで、脆弱性の再発を防止しましょう。