世界70万人が使うOSS向け報奨金サービス『IssueHunt』バグバウンティ(脆弱性報奨金制度)プラットフォーム公開

この記事は約6分で読めます。
オープンソースプロジェクト向け報奨金サービス『IssueHunt』を運営するBoostIO株式会社(代表取締役社長:横溝 一将、本社:東京都渋谷区 以下「当社」)は本日2022年7月8日(金)より『IssueHunt』において世界中のセキュリティリサーチャーへ脆弱性診断を依頼できるバグバウンティ(脆弱性報奨金制度)プラットフォームとしてのサービスを開始致しました。
(URL:https://bounty.issuehunt.io/company)

同時に日本初のバグバウンティプラットフォームを立ち上げた経歴を持つサイバーセキュリティ専門家・高野聖玄氏にアドバイザーに就任頂きました事をご報告致します。

  • 背景

【国外では一般的な「バグバウンティ(脆弱性報奨金制度)」】
バグバウンティ(脆弱性報奨金制度)とは、企業が自社の製品やサービスに対する脆弱性診断プログラムを公開し、セキュリティリサーチャーが脆弱性を発見・報告することで企業から報奨金を受け取ることが出来る仕組みです。アメリカをはじめとした国外では既に一般化しており、自社サービスのセキュリティ対策を行う有効手段として広く浸透しています。

日本国内でもクレジットカード業界では事業者が遵守を義務付けられているセキュリティ基準「PCI DSS」において基準脆弱性対策のプラクティスの一つとして「バグバウンティ」の採用が推奨されております。
※参考資料「PCIデータセキュリティ基準」
https://listings.pcisecuritystandards.org/documents/PCI-DSS-v4_0-JA.pdf

日本国内でも注目されつつある「バグバウンティ」ですが、その反面HackeroneやBugcrowdをはじめとした海外のバグバウンティプラットフォームの利用は、言語や商習慣の面で日本企業にとって敷居が高く、国内においてバグバウンティプログラムを実施している企業はごく僅かです。そのような状況を変えるため、日本企業が実施しやすいバグバウンティサービスの提供を開始致しました。

『IssueHunt』内には海外のバグバウンティサービスにも登録しているユーザーが多数存在しています。そんなセキュリティ意識の高いエンジニアの方々と共に日本国内でもバグバウンティ文化を根付かせ、より安全なサイバー空間を、弊社『IssueHunt』におけるバグバウンティサービスを通じて構築してまいります。

なお、当社はバグバウンティの売上の一部を『IssueHunt』に登録しているオープンソースプロジェクトへ還元を行い、オープンソース開発者に対しより一層の支援を行ってまいります。
 

  • 『IssueHunt』でのバグバウンティサービス概要と特徴 

バグバウンティサービスIssueHuntの仕組みバグバウンティサービスIssueHuntの仕組み

特徴1.安心安全。希少な日本製バウンディングプラットフォーム
「お客様ニーズファースト」を開発方針に掲げる『IssueHunt』は、お客様からお寄せ頂いたニーズを元に機能開発を進めております。日本製バウンディングプラットフォームのリーディングカンパニーを目指し、日本のビジネス商習慣に合った機能提供や日本語でのサポートはもちろん、バグバウンティ予算を上程するための社内資料の作成まで、当社チームがお客様に寄り添ってサポートさせて頂きます。

特徴2.初期費用・月額基本料金なし成果報酬型
企業様が報奨金の支払い対象に設定した脆弱性報告のみに支払いが発生しますが、有効な報告が無ければ利用料金は一切発生致しません。初期費用や月額基本料金等もなく、リサーチャーに支払った20%を手数料として頂く料金体系にしているため気軽にご利用を頂けます。
 
特徴3.セキュリティエンジニア採用支援
現在約20万人の情報セキュリティ人材が不足している日本。その現状を鑑み、求職者とセキュリティエンジニアを採用したい企業の橋渡しを行う採用支援システム「エンジニア採用支援機能」を提供いたします。

<「エンジニア採用支援機能」仕組み>
〇ジョブオファーを受け取る設定をしているリサーチャーに対し、企業側より採用オファーの送付が可能。
〇企業ページにおいて脆弱性診断プログラムに加え、求職者情報の掲載が可能。採用成約時も料金は発生致しません。
※参考資料「セキュリティ人材育成の最前線~ NICT におけるセキュリティ人材育成事業 ~」https://www.soumu.go.jp/main_content/000675194.pdf

特徴4.網羅性
「情報漏洩対策」「認証部分に特化」「OWASP Top 10を対象」等、企業様のニーズに合わせ、診断対象を設定することが可能です。また、診断に参加するリサーチャーの数に上限はなく、多数のリサーチャーが診断を行うため、網羅的な診断を行うことが可能です。
プログラムの情報を隠し、招待したリサーチャーのみ診断に参加することが出来る非公開型プログラムのご提供も行っております。
 

  • アドバイザー高野聖玄氏について

日本初のバグバウンティプラットフォームを立ち上げたご経験を持つ、サイバーセキュリティ専門家の高野聖玄氏に、アドバイザーに就任頂きました。
以下、高野氏からのエンドースメントです。
===
バグバウンティほど「インターネット的」な性格を持つセキュリティサービスはありません。
企業がセキュリティを高いレベルで維持し続けるために大切な要素の一つは、沢山の目から監視されることです。バグバウンティを使えば、世界中の優秀なセキュリティリサーチャーの「目=技術」を得ることが可能になります。
今回はサイバーセキュリティの専門家として、少しでも早くバグバウンティのカルチャーが日本にも広まって欲しいという思いから、アドバイザーに就任させていただきました。
===

【高野聖玄氏プロフィール】
1980年生まれ。クリエイター、エンジニア、編集記者等を経て2016年から2021年までサイバーセキュリティ企業スプラウトの代表取締役に就任。
2021年脅威分析研究所(https://www.threatanalysislab.jp/)を設立。サイバーセキュリティ、リスクコントロールの専門家として、調査研究ならびにコンサルティングを行っている。
著書: 「フェイクウェブ」(2019年、文藝春秋)、「闇ウェブ(ダークウェブ)」(共著、2016年、文藝春秋)。
 

  • 手数料無料キャンペーン

2022年7月末までに『IssueHunt』バグバウンティサービスにご契約頂いた企業様に対し、セキュリティリサーチャーへの支払い総額50万円まで、手数料を無料にてご提供させて頂きます。
<お申し込みはこちらから>
https://bounty.issuehunt.io/company

===
【会社概要】
会社名:BoostIO株式会社
代表者:横溝 一将
所在地:東京都渋谷区渋谷2-6-6 Good morning building 201
メディアキット:https://github.com/BoostIO/issuehunt-materials
お問い合わせ先:https://bounty.issuehunt.io/company

タイトルとURLをコピーしました