バグ報奨金プログラム(Bug Bounty Program)の

短所とは？

 

バグ報奨金プログラム(Bug Bounty Program)という言葉をきいたことがありますか？バグ報奨金プログラムは、ハッカーたちがあるサイトのバグを探してそれを当サイトの管理者に報告すると、その報告が審査をパスして、それを基づいて脆弱性が修正された後は報奨金政策に準拠して、報奨金を支給するプログラムのことです。現在、直接にバグ報奨金プログラムを運営している企業はグーグル、フェイスブック、ライン、マイクロソフト、サムスングループ、ネイバー、テンセントなどがあります。バグ報奨金プログラムは、全世界の人材をクラウドソーシング(crowdsourcing)して、深刻な欠陥があるバグを報告することによって、会社のコンピューターシステムのセキュリティをテストできるように設計されました。確かにこのプログラムを通じて、私たちが使用するサービスとソフトウェアが安全になるところもありますが、これは表面的な効果にすぎないです。今日はバグ報奨金プログラムの短所について話したいと思います。

 

盗人に鍵を預ける？

ブラックハットハッカーに狙われる可能性が高まってしまう！

 

一般的に会社はバグ報奨金プログラムを構築する際に、ホワイトハットハッカーまたはブラックハットハッカーにもなれる人たちを集めて、彼らが無料で会社のシステムの脆弱性を調査するようにします。この時、悪意のあるブラックハットハッカーはこのプログラムを通じて、知られていなかった会社のシステムの脆弱性を早めに見つける機会を得るのです。最悪の場合、ブラックハットハッカーは、事前テストの警戒を超える脆弱性を探し出して、その脆弱性を利用して会社のシステムに潜在的に損傷を与えるかも知れません。ですから、二つの類型のハッカーを集めることを避けるのがいいです。

 

悪い行動に報奨金をあげてしまう、

バグ報奨金プログラムの報奨金が悪用される！

 

現在、Google、Facebook、MicrosoftおよびPayPalのような会社はバグ報奨金プログラムを運営していますが、すべての大企業がこのプログラムを信頼しているわけではありません。実際に、バグ報奨金プログラムのようなプログラムを具現するのは、悪い行動に報奨することと同じです。バグを探し出す人たちがあるサイトの脆弱性を知らせたり、闇市で自分の知識を販売しようとする時、その全員がいい意図を持ったと言い切れないです。バグ報奨金プログラムで得た報奨金は、入札価格を高めるための交渉手段として使われます。

 

ソフトウェアベンダーだけに費用効率的方法である

バグ報奨金プログラム

 

大企業の場合、バグ報奨金プログラムを利用すると、悪意のあるエージェントがソフトウェアの脆弱性とバグを悪用する前に、その脆弱性を全部修正できるので非常に有用です。また、ソフトウェアベンダーは、次のバージョンを発売する前に、パッチを当てる時間も獲得できます。そして、バグ報奨金プログラムは具体的な結果がある時に限って報奨金支払う点からみると、ソフトウェアベンダー会社には長期的に脆弱性悪用事例を追跡および管理するための、非常に費用効率的な方法であるのは間違いないです。ですが、長期間脆弱性を探そうとする人たちには、バグ報奨金プログラムのお支払い金額はモチベーションになれない可能性があります。

 

一般的に数人だけが実行する伝統的な侵入テストに比較すると、バグ報奨金プログラムは活用できる人財の範囲を広げて、会社の顧客や一般人に脆弱性やバグを報告するように奨励します。脆弱性が確認されて解決できた場合、この固定された脆弱性はみんなにとって利益になります。しかし、単にバグ報奨金プログラムを運営するだけでは、会社のセキュリティを向上させるには不十分です。したがって、会社はあらゆる種類のプログラム実装をする前に、長所と短所を正確に評価する必要があります。