株式会社スリーシェイクは、欧州を代表するバグバウンティプラットフォームを提供するintigriti社と世界で初めて提携し、バグバウンティの運用を代行するサービス「Bugty」をリリースしました。

「Bugty」開発背景

システムの脆弱性（バグ）はネットワークへの侵入、個人情報漏洩など様々な問題を引き起こす可能性があります。一方で、バグ対策には高いスキルを持つセキュリティ専門家が必要とされるため、社内での対策が困難な状況もあるようです。

そこで注目したいのがバグバウンティプログラム。これは、セキュリティに関しての知見を持つバグハンター（エシカルハッカー）に対して自社の製品やサービスに対する調査案件を公開し、バグを発見・報告したバグハンターに報奨金を支払うという仕組みです。

同プログラムを欧州で展開しているのがバグバウンティプラットフォーム「intigriti」。世界4万人のバグハンターを擁し、開始から1週間で提出されたバグの平均数は53件、受理されたバグの平均数は37件にも上ります。「intigriti」を国内でも活用したいところですが、セキュリティ専門家でないと対応が難しいということもあり、運用から請求までを代行するサービス「Bugty」が開発されたというわけです。

契約や支払い、報告の検証などを代行

「intigriti」を活用するにあたり課題となるのが、契約や支払いなどの際の英語でのコミュニケーションや専門的なトリアージでしょう。これを代行するのが「Bugty」のセキュリティエンジニアです。

具体的には、複数のバグハンターからの報告に英語で対応し、報告されたバグの影響や対応の優先度の検証、適正な報奨金額の交渉などを遂行。そして、複数のレポートをとりまとめ、取るべき対策がわかる日本語でのレポートを企業へ提供します。

企業側は、「intigriti」利用料とバグハンターへの報奨金、代行手数料を支払うだけで、依頼後に複雑な運用をすることなく対策レポートを入手可能。社内にセキュリティ専門家がいない企業においても、バグバウンティサービスを利用することができるようになるでしょう。

PR TIMES
Bugty

（文・Higuchi）