// シス担のミカタ
脆弱性管理

バグバウンティ ばぐばうんてぃ

脆弱性報告ホワイトハッカーセキュリティリサーチャー報奨金脆弱性開示ペネトレーションテスト
バグバウンティについて教えて

簡単に言うとこんな感じ!

「うちのシステムのセキュリティ穴を見つけたら報奨金あげます!」って企業が公募する制度だよ。悪用されるより先に善意のハッカーに見つけてもらおう、という発想なんだ。いわば「セキュリティの懸賞問題」みたいなもの!

バグバウンティとは

バグバウンティ(Bug Bounty)とは、企業や組織が自社のサービス・製品に存在するセキュリティ上の脆弱性(バグ)を発見・報告した外部の研究者やハッカーに対して、報奨金(バウンティ)を支払うプログラムのことです。“Bounty” は懸賞金・報奨金を意味する英語で、「バグを見つけたら賞金を出す」という仕組みをシンプルに表しています。

セキュリティの世界では、悪意のある攻撃者(ブラックハット)が脆弱性を悪用する前に、善意の研究者(ホワイトハット)が先に発見して報告してくれることが理想です。バグバウンティはその動機付けを「お金」で提供する仕組みで、企業にとっては社内だけでは気づけなかった穴を世界中の目で探してもらえる、非常にコストパフォーマンスの高いセキュリティ対策と言えます。

発注側の実務観点では、「自社サービスをリリースする前後にバグバウンティを実施するか」「外部のプラットフォームを使うか自社で運営するか」といった判断が求められます。大手クラウドサービスや金融機関はすでに常設プログラムを持っており、セキュリティ品質の対外的なアピールにもなる制度です。

バグバウンティの仕組みと登場人物

バグバウンティには3つの主役がいます。

役割内容
プログラムオーナー(企業)報奨金・スコープ(対象範囲)・ルールを設定して公募する
セキュリティリサーチャー脆弱性を調査・発見し、報告書(レポート)を提出する
プラットフォーム(仲介)HackerOne・Bugcrowdなど。双方をマッチングし管理を代行する

プログラムの流れ

企業がスコープ・報奨金を公開

リサーチャーが調査・脆弱性を発見

企業にレポートを提出(非公開)

企業が検証・修正(トリアージ)

修正完了後に報奨金を支払い

(任意で)脆弱性情報を公開開示

スコープとは?

スコープとは「調査してよい対象範囲」のことです。「この URLドメインの中だけ」「モバイルアプリはOKだが社内システムはNG」のように明確に定義されます。スコープ外を触ると規約違反になるため、発注側がスコープをどう設計するかが非常に重要です。

報奨金の相場感

脆弱性の深刻度(CVSS スコア)に応じて報奨金は変動します。

深刻度報奨金目安
Critical(致命的)認証なしでDB全件取得数十万〜数百万円
High(高)他人のアカウントを乗っ取れる数万〜数十万円
Medium(中)XSS(クロスサイトスクリプティング)数千〜数万円
Low(低)情報漏えいリスクが低いもの数百〜数千円またはグッズ

歴史と背景

  • 1983年 — Hunter & Ready 社が自社OSのバグ報告者にフォルクスワーゲン ビートルをプレゼント。バグバウンティの原型とされる
  • 1995年 — Netscape がブラウザの脆弱性報告に金銭報酬を開始。IT業界で初の本格的プログラム
  • 2004年 — Mozilla がFirefoxのバグバウンティプログラムを開始。オープンソース界隈に広まる
  • 2010年 — Google が「Vulnerability Reward Program(VRP)」を開始。業界のスタンダードに
  • 2011年HackerOne 創業。バグバウンティ専門の仲介プラットフォームが登場し一般化が加速
  • 2012年 — Facebook・Twitter・GitHub など大手が続々参入。プラットフォームとしての市場が形成
  • 2016年 — 米国防総省が「Hack the Pentagon」を実施。政府機関でも活用が広がる
  • 2020年代 — 日本でも金融機関・行政システムなどで導入事例が増加。IPA(情報処理推進機構)も関連ガイドラインを整備

バグバウンティ vs 関連するセキュリティ手法の比較

セキュリティ強化の手段はバグバウンティだけではありません。似た手法との違いを整理しましょう。

セキュリティ手法の比較マップ バグバウンティ 実施者 不特定多数の 外部リサーチャー タイミング 常時 / 継続的 (公募期間中) コスト 成果報酬型 (発見時のみ) 深さ 多様な視点 広範囲に探索 ✅ 常時募集向き ペネトレーション テスト 実施者 契約した専門会社 (少人数) タイミング 期間限定 (スポット実施) コスト 固定費用 (数十〜数百万円) 深さ 目標に絞って 深く調査 ✅ リリース前向き 脆弱性スキャン 実施者 自社 or ツール (自動) タイミング 定期自動実行 (CI/CD連携も可) コスト ツール費用 (比較的安価) 深さ 既知パターンのみ (誤検知も多い) ✅ 日常監視向き レッドチーム 実施者 攻撃専門の 社内外チーム タイミング 定期的な 演習形式 コスト 高コスト (大企業向け) 深さ 組織全体の 耐性を検証 ✅ 大規模組織向き

バグバウンティプラットフォーム代表例

プラットフォーム特徴
HackerOne世界最大規模。Google・GitHub・Uber などが利用
Bugcrowd企業向け管理機能が充実。日本語対応あり
Intigriti欧州発。GDPR準拠に強み
IssueHunt日本発。OSS向けバグバウンティに特化
自社運営大企業が直接運営。MicrosoftのMSRC・GoogleのVRPなど

関連する規格・RFC

規格・RFC番号内容
RFC 9116security.txt の標準仕様。脆弱性報告の窓口情報をWebサイトに掲載するためのフォーマット定義

関連用語

  • 脆弱性(CVE) — 脆弱性の識別番号体系。バグバウンティで報告された脆弱性はCVEとして登録されることがある
  • ペネトレーションテスト — 契約した専門家が擬似攻撃でセキュリティを検証する手法
  • CVSS — 脆弱性の深刻度を数値化するスコアリングシステム。報奨金の算定基準にも使われる
  • 脆弱性開示ポリシー(VDP) — 発見した脆弱性をどう報告・公開するかのルールを定めたポリシー
  • ホワイトハット — 善意でセキュリティ調査を行うハッカー。バグバウンティの主な担い手
  • XSS(クロスサイトスクリプティング) — Webアプリの代表的な脆弱性。バグバウンティで頻繁に報告される
  • ISMS情報セキュリティ管理体系。バグバウンティはISMSの脆弱性管理プロセスの一部を担う
  • security.txt — 脆弱性報告の窓口をWebサイトに明示するためのファイル形式(RFC 9116)