【Q&A】シリーズでは、バグバウンティプログラムに関するよくある質問について、弊社CEOのStijn Jansがお答えしています。今回は、「Intigritiはバグバウンティプログラムをどのように最適化しているか」についてご紹介します。
Q: Intigritiは、バグバウンティの成功のためにどのように最適化しているのですか?
Stijn: これはよく会話していると出てくる素晴らしい質問ですね。Intigritiの役割を説明するのは毎回楽しいです。
Intigritiのプラットフォームは、バグハンターと企業の間の仲介役、あるいは緩衝役として機能しています。両者のコミュニティに対する私たちのサービスは、品質保証のレイヤーとして機能し、関係者全員が効率的にコラボレーションできるようにします。
サクセスマネジメントとトリアージ
Intigritiは、企業にトリアージサービスと専任のサクセスマネジャーを紹介します。このアプローチは、バグハンターと企業の両方にメリットがあります。
バグハンターにとっては、Intigritiのサクセスマネージャーは企業に対する代理人として機能します。企業にとっては、直接面識のない人たちとセキュリティ向上のための旅に出る際に、ガイダンスとサポートを受けられることが、マネージドアプローチの価値となります。倫理的ハッキングのプロセスは、多くのコミュニケーションを伴います。Intigritiがサポートしてくれることは、関係者全員にとって心強いことです。
もう少し詳しく説明するために、バグバウンティプログラムの立ち上げの様々な段階でIntigritiがどのように関わるかを簡単にリストアップしました。
Intigritiが企業の倫理的ハッキングの各段階をどのように支援するか
ステップ1. 汲み取り・立ち上げ
企業とパートナーシップを組み、セキュリティチームの延長線上で企業のセキュリティを向上させ、最適な結果を実現します。
サクセスマネージャーは、このパートナーシップの中で最初に対応する人物です。質問に答え、最善の措置についてアドバイスし、経験を共有することで、可能な限り最高の成果を目指して努力します。
バグバウンティプログラムが始動する前に、サクセスマネージャーは企業にプラットフォームを紹介するためのミーティングのスケジュールを組みます。サクセスマネージャーのサポートにより、企業はプログラムの詳細を設定し、対象範囲を定義し、バウンティテーブルを検証します。経験レベルやプログラムの性質・範囲に応じて、1回または複数回のフォローアップミーティングを実施し、すべてが解決されたことを確認します。
ステップ2. フォローアップとモニタリング
バグハンターのコミュニティの構築と管理は、Intigritiの責任者が行っています。彼はコミュニティを熟知し、その成長に責任を持ち、コミュニティが抱えるあらゆる疑問や課題に答えています。彼はバグハンターのスキルを熟知しており、プロジェクトに適したリソースを選択する魔術師でもあるのです。
プログラムが始まると、Intigritiのトリアージチームが登場します。トリアージチームの目的は、バグハンターから送られてくる投稿を検証し、重要な発見を企業に伝え、技術的なセキュリティアドバイスをすることです。
すべてのバグハンターの投稿を検証するのは、技術的に大変なことです。トリアージチームは、送られてくるレポートをすべてフィルタリングし、さまざまなレベルでその内容を検証します。また、このチームによって、企業は本当に重要なこと、つまり有効な脆弱性レポートに集中する時間を確保することができるのです。
ここでは、彼らがレポートを企業にエスカレーションする前に行うステップを要約して紹介します。
- 受信したレポートの確認
- 脆弱性が真の脅威であるかどうかの判断
- 脆弱性が真正であり、かつ範囲内であることを確認
- 範囲外の報告書を拒否
- 重複する脆弱性の検出と削除
- レポートに含まれる情報が意味のあるものであることを確認
- バグハンターと企業の間に立ち、コミュニケーションを図る
- 影響度に基づき、脆弱性の重大性を評価
トリアージの詳細
トリアージチームは、PoC(Proof of Concept=概念実証)を再現することで提出されたものをチェックします。必要であれば、バグハンターの所見を明確にしたり、説明したりするために、追加の情報提供の依頼を行います。私たちのチームは、非常に機密性の高いセキュリティ情報を扱っているため、レビューには徹底して取り組む必要があります。重要な発見や例外的な発見には、より短い期間で対処します。すべての詳細が重要であり、時間は刻々と過ぎていきます。
審査前・審査後
トリアージチームとサクセスマネージャーは、レビュープロセスの間と後に、企業のセキュリティチームに対する知識の供給源となります。どのような脆弱性が発見されたかを説明し、誰もがその影響を理解できるように脆弱性に関する追加情報を提供し、発見された内容をどのように解決できるかを提案します。
トリアージとサクセスマネジメントの真価が発揮されるのはこの時です。彼らは、企業とバグハンターの間の究極のリンクであり、すべての関係者に有利に働くように活動します。
トリアージチームとサクセスマネジャーの仕事
- 報告されたバグの重大度を評価する支援
- 意見の相違があった場合、企業とバグハンターの双方を保護
- ビジネスインパクトの高い発見があった場合、企業に直接連絡(電話またはメール)
- 未提出のレポートのフォローアップ
- 調査結果の交換、報奨金やボーナスの割り当てを継続するよう、関係者に注意を促す
ステップ3. 最適化&アドバイス
プログラムとプラットフォームを最適化するための意識付けは、最終的に両者の利益につながります。Intigritiは、サクセスマネジメントとトリアージを組み合わせることで、これを実現しようとしています。彼らの知識、スキル、アドバイスは、従来のテスト方法と比較して、バグバウンティプログラムの付加価値となります。
この目的を達成するために、トリアージチームはサクセスマネージャーに実行中のプログラムの状況を頻繁に報告し、最適化のための適切な機会を明確にします。結果の分析は、サクセスマネージャーが企業のプログラムを最新で興味深いものに維持するための支援をする基礎となるものです。
サクセスマネージャーは、定期的に企業と連絡を取り合い、以下のことを行います。
- プログラムの拡張を提案する
- 新プログラムの立ち上げのための意見・アドバイス
- 一時的なアクションのためのセットアップを提案する
- 追加予算の提案
- 実現可能な目標の事前設定に役立つ
報奨金とトリアージの融合は、バグバウンティプログラムを成功させるための挑戦において、両チームが非常に重要な役割を担っていることを示しています。この2つのチームの組み合わせは、関係者全員のセーフティクッションとして機能し、最終的な利益を生み出すための意識を生み出します。
出典:Intigriti
https://blog.intigriti.com/2021/05/25/how-does-intigriti-optimise-bug-bounty-success/
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。