「バグバウンティ」と副業 一石三鳥への道

bugbounty サイバーセキュリティ
2024.09.30

~サイバーセキュリティの最前線で活躍しながら、新たな報酬~

目的

バグバウンティ副業職業として確立されつつあります。特に、欧米では「単なるセキュリティ研究者の活動」という枠を超え、バグバウンティを通じて安定した収入を得ている人々が数多く存在します。

そんなバグバウンティについて調べていきたいと思います。

bugbounty1

バグバウンティ

バグバウンティは、企業が自社の製品やサービスに潜むセキュリティの穴を、世界中のセキュリティ専門家の力を借りて探し出すプログラムです。まるで「セキュリティの懸賞」のようなもので、見つけた脆弱性の深刻度に応じて報奨金が支払われます。外部のプロを利用して企業は製品のセキュリティを強化し、ユーザーを守ることにつながります。

一石三鳥!

three birds

1.サイバーセキュリティの趣味・勉強
サイバーセキュリティのスキルを向上させる絶好の機会です。実際に脆弱性を発見し、報告するという脆弱性診断(悪用できるシステムの欠陥を調査)・ペンテスト(サイバー攻撃耐性)の一連の流れを体系的に学習できる。

2.副業・報奨金
企業から報奨金が支払われることがある。高額な報奨金が得られるケースもあり、モチベーションアップにも繋がります。

3.技術力評価の指標
あなたのセキュリティスキルを客観的に評価する指標となります。多くのバグバウンティプラットフォームでは、実績が公開されるため、企業があなたのスキルを評価する際に参考にすることができます。また、ポートフォリオとしてアピールし、就職活動や転職活動にも有利に働く可能性があります。

4.世の安全
世の中が少し安全になる。一般的にセキュリティエンジニアは安全・安心な社会の維持に貢献することが望ましいとされている。

海外のバグバウンティ

<職業>
専業のバグハンター: バグバウンティだけで生計を立てている人々も存在する。日々変化していく社会で対応し続ける必要があると思うので、そんなスーパーエリートに会って、話を聞いてみたいですね。(https://toyokeizai.net/articles/-/823159?display=b 全世界で2000人前後らしいです。)
セキュリティコンサルタントとして連携: バグバウンティで得た経験を活かし、セキュリティコンサルタントとして活躍する人もいる。

日本と海外の比較
japan compare

参加者の数: 北米やヨーロッパを中心に、バグバウンティプラットフォームへの登録者数は日本と比較して圧倒的に多く、活発なコミュニティが形成されています。これは、海外ではバグバウンティがセキュリティ対策の主流として認識されており、企業の認知度も高いことが要因の一つと考えられます。
報酬額:バグバウンティという仕組みが浸透している海外のバグバウンティプログラムでは、日本よりも高額な報酬が設定されることが多い。特に、影響範囲が広いクリティカルな脆弱性に対しては、数千万円単位の報奨金が支払われることもあります。報酬額は、脆弱性の重大度だけでなく、発見のタイミングや報告の詳細さなども評価されます。

プラットフォーム

世界

HackerOne: 世界最大規模のバグバウンティプラットフォームで、数多くのグローバル企業が採用しており、自動車、金融、テクノロジーなど、幅広い業界のプログラムが展開されています。近年では、AIを活用した脆弱性発見の自動化や、サプライチェーンセキュリティに特化したプログラムなど、先進的な取り組みも注目されています。初心者から上級者まで幅広い層が利用しています。また、バグバウンティ・セキュリティ未経験者にも優しい勉強コンテンツも用意されているので、おすすめのプラットフォームです。
https://www.hackerone.com/

bugbounty1


Bugcrowd: HackerOneに次ぐ規模を誇るBugcrowdは、独自の脆弱性評価システム「CrowdStrike」により、発見された脆弱性の質を高めることに力を入れています。強みは活発なコミュニティ機能が充実しており、セキュリティ研究者同士の情報交換やコラボレーションを促進している点です。近年では、IoTデバイスやモバイルアプリに特化したプログラムが増加している。
https://www.bugcrowd.com/

bugbounty2


Intigriti: ヨーロッパを中心に強い基盤を持つIntigritiは、GDPRをはじめとするEUのデータ保護規制に精通しており、欧州企業のプログラムが多数掲載されています。強みとして、バグバウンティ以外のサービスのペネトレーションテストやセキュリティコンサルティングも提供しており、幅広いセキュリティニーズに対応している点です。
https://www.intigriti.com/

bugbounty3

日本

IssueHunt: 日本企業が運営するプラットフォームで、日本語でのサポートが充実しています。国内の企業が多数参加しており、日本のセキュリティ環境に特化したプログラムも提供しています。
バグバウンティイベントの開催など、日本のサイバーセキュリティを前進させる取り組みを行っている。
https://issuehunt.io/

bugbounty4
bugbounty5

最近の日本の動向

近年、日本のサイバーセキュリティに対する意識の高まりとともに、バグバウンティプログラムの導入が加速しています。最近、IssueHuntが学生向けバグバウンティプログラムを開催するなどこれからの動向に目が離せない。

<民間企業の取り組み>
・大手IT企業の普及: LINE、メルカリに続き、楽天、ヤフーなど、企業が自社サービスのバグバウンティプログラムを本格化させています。
・スタートアップ企業の参入: 新興のIT企業も、サービスローンチ時からバグバウンティプログラムを導入し、セキュリティを重視する姿勢を示しています。
・特定分野への特化: 金融機関や医療機関など、特定の業界においても、自社のシステムのセキュリティ強化のため、バグバウンティプログラムを導入する動きが見られます。

まとめ

バグバウンティは、世界的に見ても非常に注目されている分野であり、日本においてもその重要性が増しています。セキュリティ専門家にとって、バグバウンティはスキルアップと副業(収入)を得るためのチャンスであります。また、企業にとってもセキュリティレベル向上のための有効な手段となっています。

注意点

違法行為は絶対に行わない: 許可なく他人のシステムに侵入することは違法行為です。必ず、合法的な範囲内で実験を行いましょう。
倫理観を持つ: ハッキングは、倫理的な側面も考慮する必要があります。
情報漏洩に注意: 実験中に個人情報や機密情報が漏洩しないよう、十分に注意しましょう。