バグバウンティプログラムと侵入テストの対決

2018年3月22日、Netflixは、脆弱性を会社に報告したハッカーを補償する「バグバウンティ」プログラムを開始しました。これは、会社が過去5年間行ってきたことですが、制限された設定でのみです。プログラムが一般公開されたため、多数のハッカーがサイトを広範囲にわたって閲覧することになります。

この方法は少し混沌としているように見えるかもしれませんが、多くの人は、見知らぬ人にWebサイトをハッキングするためにお金を払うことが、潜在的な脅威からWebサイトを保護する最も効果的な方法の1つであると主張しています。ただし、問題は、社内の侵入テストチームを持つよりも、バグバウンティプログラムの方が本当に効果的かどうかです。

侵入テストの仕組み

ペネトレーションテストは、製品が一般にリリースされる前に通常行われる開発サイクルの通常の部分です。これには、企業がリリースしたいソフトウェアまたはシステムを「ハッキング」しようとする、外部委託または社内の個人のチームが関与します。次に、プラットフォームで見つかったすべての脆弱性を報告し、開発者が後で迷惑になる前にこれらの問題を修正できるようにします。

ペネトレーションテスト中、チームは通常、設定された手順に従って、考えられるすべての脆弱性を明らかにします。これには、ハッカーがシステムやソフトウェアに侵入するために通常使用する手法の使用が含まれる場合があります。最終的には、ほとんどのハッカーが破壊できるソフトウェアの重要な領域の包括的なリストになります。

バグバウンティが魅力的な理由

脆弱性報奨金プログラムを作成するときは、基本的に、重大な脆弱性を報告した人に一定の金額を支払う用意があることを一般に伝えています。バグバウンティを成功させるには、いくつかの基本ルールを設定して、そのようなクエスト中にどのような行動が受け入れられないかを人々に知らせる必要があります。

この種のポリシーを採用することは直感に反するように聞こえるかもしれませんが、バグバウンティには、従来の侵入テストに比べていくつかの利点があります。

• 脆弱性が見つかると、報奨金の参加者に報酬が支払われ、すべてのソフトウェアを徹底的に一掃するインセンティブが生まれます。チームメンバーは徹底度に関係なく報酬が支払われるため、侵入テストではこれらのインセンティブは提示されません。
• 報奨金は、何千人もの熟練したハッカーに彼らの気概をテストする機会を与え、信じられないほどの数の視点を提供します。ペネトレーションテストチームは、規模が制限される傾向があります。彼らのスキルに関係なく、彼らの視点は限られています。
• 多くの脆弱性報奨金の参加者は、同時にいくつかの異なる狩猟に参加する熟練したフルタイムの専門家です。
• 巨大な「攻撃対象領域」（つまり、非常に侵害されやすいソフトウェア）を持つ企業は、以前は自分のチームによって除外されていたバグを発見できます。

侵入テストが依然として重要である理由

脆弱性報奨金はすばらしいものかもしれませんが、巨大なコミュニティを持たない企業では必ずしも機能するとは限りません。これが、侵入テストが依然として大きな現象である理由です。たとえば、医療用品ソフトウェア会社の場合、数万人のコミュニティを持つビデオゲームスタジオほど多くの参加者を獲得できない可能性があります。

ペネトレーションテストには、企業がバグバウンティのアイデアを完全に放棄するように説得する可能性のある他の利点があります。

• 脆弱性を修正する前に、脆弱性が一般に公開されるリスクを最小限に抑えます。バグバウンティでこれに対するルールを設定したとしても、人々はそれを誤解することになります。
• 外部委託の侵入テスト会社は、顧客にとって重要な認証を提供する場合があります。
• 侵入テストでは、レポートの品質がはるかに高くなることがよくあります。
• 規制の厳しい市場（支払い処理や銀行/デビット/クレジットカードのデータを処理するものなど）で役立ちます。

脆弱性報奨金プログラムがあるため、Netflixを使用する方が安全だと思いますか？それとも、侵入テストチームと協力したほうがよいのでしょうか。コメントでそれについてすべて教えてください！