SlideShare a Scribd company logo

Bugty.pdf

M
mihokawagoe

バグバウンティ運用代行サービス(Bugty)のご提案資料です。

Business
1 of 36
Download to read offline
株式会社スリーシェイク バグバウンティ運用代行サービス (Bugty)のご紹介
Copyrights©3-shake Inc. All Rights Reserved. 2 はじめに 世界初!「INTIGRITI」社と提携、バグバウンティ運用代行サービス 「Bugty」をリリースしました! ヨーロッパを代表するバグバウンティプラットフォーム「INTIGRITI」と世界で初めて 提携しました。SRE総合支援など高い技術力を持ったスリーシェイクのセキュリティエ ンジニアが、専門的なトリアージ・英語でのコミュニケーションなど運用を代行。 セキュリティ領域の専門家がいない、社内のリソースをかけられない企業も バグバウンティプログラムを展開できます。
「脆弱性」とは
Copyrights©3-shake Inc. All Rights Reserved. 4 脆弱性の定義 29% 71% ソフトウェア 製品の脆弱性 ※3 ウェブアプリケーション の脆弱性 IPAへの脆弱性の届出件数割合 (N = 16225) ※2 脆弱性 = ソフトウェア等におけるセキュリティ上の弱点 IPAでは「ウェブアプリケーション(ウェブサイト)」および 「ソフトウェア製品」に大別し、調査・注意喚起を実施している。 ※1 ※1 IPA : 独立行政法人情報処理推進機構 (Information-technology Promotion Agency) ※2 ソフトウェア等の脆弱性関連情報に関する届出状況 [2020年第4四半期(10月~12月)](https://www.ipa.go.jp/security/vuln/report/vuln2020q4.html)参照 ※3 JVN iPedia(https://jvndb.jvn.jp/)に掲載されているような脆弱性
Copyrights©3-shake Inc. All Rights Reserved. 5 脆弱性を攻撃された事例(2022年1月時点) 公表日 企業名 インシデント概要 2021/6 A社(航空) 世界の航空会社の90%の通信およびITベンダーであるS社のシステムが サイバー攻撃を受け大規模な情報漏洩 を起こした。A社だけでも100万件 の情報漏えいが発生 2021/8 S社(通販) 問い合わせフォームを運用する管理サーバが外部からの不正アクセス を 受けたことにより個人情報 10万件が流出した可能性 2021/8 T社(通信) アメリカの通信会社である T社にサイバー攻撃が発生し、 5,000万人の個 人情報が流出 2021/11 R社(衣料) 公式オンラインショップがサイバー攻撃を受け、 27万の会員ユーザ個人情 報が流出 2022/1 N社(教育) 公式HPがサイバー攻撃を受け 28万件のメールアドレスが流出 https://cybersecurity-jp.com/leakage-of-personal-information
脆弱性に対する 取り組み
Copyrights©3-shake Inc. All Rights Reserved. 7 自社開発の サービス・プロダクト ネットワーク 攻撃 Webアプリの 脆弱性攻撃 通常の利用者と 同じ経路の攻撃 フ ァ イ ア ウ ォ | ル I P S ・ I D S W A F ポートスキャン Dos / DDos攻撃 Synフラッド攻撃 等 SQLインジェクション クロスサイトスクリプティング等 防御が難しい 攻撃経路 セキュリティ対策の仕組みを導入 “ サイト自体 ” の弱点(脆弱性)を無くし堅牢なものにすることが重要 セキュリティ対策ツールでは防げない攻撃経路については防御することができません。
Copyrights©3-shake Inc. All Rights Reserved. 8 対応②:脆弱性診断 (参考)https://www.csoonline.com/article/3315700/what-is-application-security-a-process-and-tools-for-securing-software.html ● 自社開発のプロダクトのセキュリティ対策は一般的に次のようにされています ○ 一般的な脆弱性の把握 ○ それらを防ぐアプリケーション開発 ○ 脆弱性診断(自社もしくは他社) (脆弱性診断をしていない会社の方が多いです) 設計 実装 テス ト リ リー ス 企画 設計 実装 テス ト リ リー ス 企画 設計 実装 テス ト リ リー ス 企画 脆弱性診断 ・・・ フェーズ① 例:システム開発の中でのセキュリティ対策   (大きな機能アップのリリースごとに脆弱性診断を行うパターン) フェーズ② フェーズ③ セキュア コーディング 脆弱性診断 セキュア コーディング 脆弱性診断 セキュア コーディング
Copyrights©3-shake Inc. All Rights Reserved. 9 現状の取り組みの課題 前述した対策に対し、高速開発で直面する課題は次ようなものがあります。 1 毎月・毎日のように行われるアプリケーションの改修に対応できない 2 日々進化する攻撃手法/日々進化する技術スタックに対応できない 3 自社のセキュリティ人材不足/属人的・限定的な技術スコープ 設計 実装 テス ト リ リー ス 企画 設計 実装 テス ト リ リー ス 企画 脆弱性診断 ・・・ フェーズ① フェーズ② セキュア コーディング 脆弱性診断 セキュア コーディング 毎月・毎日のように脆弱性診 断する? 開発者のセキュリティ知識が 足りている? <多くの課題> 開発者の属人的な知識で進化 する攻撃手法に対応できる?
Copyrights©3-shake Inc. All Rights Reserved. 10 脆弱性に対する取り組みとは 見つかる脆弱性は氷山の一角 バグやセキュリティホールが完全になくなることはあり 得ません。また、脆弱性は氷山に例えると海面に出てい るところしか見えていないイメージです。 海の中には見 えていない脆弱性がたくさんあります。組織として、そ の見えていない脆弱性を見ていく姿勢が必要です。 ● セキュリティに対してリリース直前などのワン ショットではなく、継続的に取り組まないといけ ません。 ● 企業として脆弱性に継続的に取り組み続けるとい う姿勢そのものが、プロダクト・サービスの透明 性につながり、お客様の信頼獲得につながりま す。
バグバウンティとは
Copyrights©3-shake Inc. All Rights Reserved. 12 バグバウンティとは バグバウンティ(Bug Bounty = バグ報奨金制度) 企業が自社のプロダクトやサービスに対する調査案件を公開し、バグハンターが プロダクトやサービスの脆弱性(バグ)を調査。発見・報告された 脆弱性に対して 企業から報奨金が支払われる仕組みです。
Copyrights©3-shake Inc. All Rights Reserved. 13 ◯海外事例:  Facebook、Microsoft、Google、TikTok(ByteDance)、米国国防総省、スターバックス、  Uberなど 世界的なIT企業から、政府機関、飲食店まで幅広く導入されています。 ◯国内事例:  任天堂、サイボウズ、ピクシブ、LINEなどが利用しています。 ◯金融事例:  高いセキュリティが求められる金融系の企業では、DZ BANK(ドイツ第二位の銀行)、  ビットバンクなどがバグバウンティを利用しています。 ◯コロナ禍における事例:  Zoom社は新型コロナウイルス感染症対策の影響により利用が急増、セキュリティ強化圧力が  高まったことを受けて、2020年4月にバグバウンティプログラムを開始しました。 バグバウンティの事例
Copyrights©3-shake Inc. All Rights Reserved. 14 なぜバグバウンティが求められるのか WHY?  自社に多くのセキュリティエンジニアがいる企業で  バグバウンティを行うのはなぜでしょうか? ・自社にいかに優れた開発者がいても脆弱性は無くならないと考えています。 ・オープンソースの開発と同様に、外部の大勢の優秀な人材に、継続的に(24時間365日)  脆弱性・バグを調査してもらえるということにメリットを感じています。 ・Googleでは、バグバウンティプログラムの開始から10年で合計11,055のバグが  見つかり、2,022のバグハンターに報奨金が支払われました(合計3,000万ドル近く)(※) ・実際に脆弱性を攻撃された時の回復にかかる費用と比較してリーズナブルと判断  しています。 (※)https://www.zdnet.com/article/google-announces-new-bug-bounty-platform/ 一方、日本でのバグバウンティの事例は少ないです。
Copyrights©3-shake Inc. All Rights Reserved. 15 なぜバグバウンティが求められるのか プロダクト・サービスの脆弱性を世の中の知見を使って 調べてもらう、ということが常識になってきています。 世界中のバグハンター 自社エンジニア
Copyrights©3-shake Inc. All Rights Reserved. 16 ① 世界中の高度な技術を持つセキュリティ専門家が攻撃者目線で脆弱性を  発見するため、より多角的な視点での脆弱性発見が期待できます。 ② 特定の期間ではなく、プログラムを開始している期間は常時脆弱性の調査が  継続されます。 ③ 発見された脆弱性を他のシステムに横展開し、保有するシステム全体の  セキュリティレベルの向上が見込めます。 ④ 脆弱性における対応状況をオープンにすることで企業に対する透明性が増し、  安心感と誠実なイメージの提供が見込めます。 ⑤ 完全にクローズドな状態でバグバウンティを開始することが可能です。  バグバウンティを初めて開始する企業にとっては不安があると思いますので  実績の多いバグハンターに限定して開示することもできます。 バグバウンティのメリット
Copyrights©3-shake Inc. All Rights Reserved. 17 バグバウンティの課題 ◯言語力:  海外のプラットフォームを利用するため、バグハンターとコミュニケーションを  取るための言語力が必要となります。 ◯セキュリティ知見:  報告されたバグの内容を理解し、対応の優先度を決定できるセキュリティ知見が  必要となります。  (バグバウンティ公開の最初の1週間で平均50件程度のバグ報告があります) ◯適切な運用ノウハウ:  バグハンターから報告されたバグに対して適切に対応することが必要です(※)。  また、それぞれのバグに対する優先度付けや報奨金の金額幅をどうするかなどの  運用ノウハウが必要になります。 (※)バグ報告に対するレスポンスが悪い、報告したバグの改修がいつまでも対応されないなどによって、    バグハンターからの評価が下がる可能性があります。適切なコミュニケーションが必要になります。
Copyrights©3-shake Inc. All Rights Reserved. 18 スリーシェイクのアプローチ バグバウンティの課題を解消し、バグバウンティに対する利用までのハードルを下げること により、お客様のプロダクト・サービスのセキュリティ品質を高めたいという想いから、バ グバウンティプラットフォーム「INTIGRITI」と提携し、バグバウンティ運用代行サービスを リリースするに至りました。 INTIGRITI社のバグバウンティプラットフォームを利用することで、約4万人のバグハンター にリアルタイムでシステムを診断してもらうことが可能になります。 セキュリティ専門家でなければ対応の難しいバグバウンティの運用から請求までを スリーシェイクが代行することで、セキュリティ人材を確保できない企業においても 利用しやすくなりました。
Bugtyとは
Copyrights©3-shake Inc. All Rights Reserved. 20 Bugty(バグティ) ◯バグバウンティ運用代行とは お客様に代わり、スリーシェイクがバグバウンティの運用業務を代行します。 お客様は、業務上必要なやりとりは全て日本語で行うことができます。また円建ての請求 書で取引が可能です。対応すべき脆弱性の選定と対応方法の提案まで、総合的なコンサル ティングを行うため、 セキュリティ領域の専門知識の無い方でも安心してバグバウンティ サービスのご利用が可能です。 日本初のバグバウンティ運用代行サービス ヨーロッパNo1のバグバウンティプラットフォーム 「INTIGRITI」と世界で初めてパートナー提携
Copyrights©3-shake Inc. All Rights Reserved. 21 Bugty(バグティ)とは 日本初のバグバウンティ運用代行サービス 欧州No1バグバウンティプラットフォーム「INTIGRITI」と世界で初めて提携。 INTIGRITIに在籍する4万人のバグハンターによる定常的なセキュリティ・サービス品質を実現。 さらに、Bugtyはバグバウンティの運用から請求までを代行し、運用にかかるコストを大幅削減。 4万人のバグハンターによる 世界レベルでのセキュリティ・サービス品質を実現
Copyrights©3-shake Inc. All Rights Reserved. 22 Bugty(バグティ) 全体概要 ① ②③ ④ ① バグバウンティのプログラム登録  プログラムを公開する際に必要な情報(報奨金  設定など)をお客様と相談しながら登録します。   ② バグハンターとのコミュニケーション  バグハンターから質問やバグレポートなどが随時  届きますので、スリーシェイクにて対応します。 ③ 報告された脆弱性のトリアージ  報告されたバグレポートの中身を確認し、  対応すべき脆弱性かどうかの判断と優先度付けを  セキュリテイの専門家がおこないます。 ④ お客様に脆弱性の内容を報告  緊急度が高い脆弱性についてはすぐにお客様に  内容をご報告します。 ⑤ 支払い代行(円建て)  お客様はプラットフォーム利用料や報奨金は  全て円建ての請求書でお支払いできます。
Copyrights©3-shake Inc. All Rights Reserved. 23 Bugty(バグティ) ①プログラム登録 報奨金 多い 報奨金 少ない 不適切なプログラム例① 簡単な調査項目に高額な費用を設定し てしまうと、報奨金の支払いが必要以 上に高額になる。 不適切なプログラム例② バグハンター目線「大変な割に稼げ ない…」となり、参加してもらえな い。不要にプラットフォームの利用 料のみが発生。 適切なプログラム 難易度 (重要度) 低い 難易度 (重要度) 高い 経験豊富なセキュリティエンジニアが、お客様と相談しながら、 バグバウンティにおいて最も重要となる、適切な報奨金の設定、実際のプログラムの登録をご支援 プログラムの設定はバグバウンティの利用において最も重要
Copyrights©3-shake Inc. All Rights Reserved. 24 Bugty(バグティ) ②バグハンターとのコミュニケーション バグバウンティのプログラムを公開後、 バグハンターとのコミュニケーションが、バグバウンティ活用の鍵となります サイト保有企業 プログラムやサイトに関する質問 等 報告内容に対しての確認 等 コミュニケーションが円滑に取れないと… 「重要な脆弱性だからすぐに 改修したいのにできない…」 「レスが遅いなー。もうこのプ ログラムはやめた。」 改修が不可 / 遅延 モチベーションの低下 「サイトの仕様について教えて下さい」 「この報告内容について質問なのですが…」 コミュニケーション例(自社運用の場合) スリーシェイクがお客様の立場に立って、 バグハンターとのコミュニケーションを代行いたします
Copyrights©3-shake Inc. All Rights Reserved. 25 Bugty(バグティ) ③脆弱性のトリアージと④お客様への報告 自社でバグバウンティプログラムを運用する際、報告書の内容理解や、優先順位付けなどが高いハードルに・・・ 報告はたくさん来る けどどれから対応し たらいいんだろう… 英語の報告内容が 理解できない… 報告内容が重複して いる…選定が大変… Warning 3-shake 「この脆弱性は非常に危険 です!早急に改修して下さ い。」 自社運用 Bugty バグハンターからの報告内容の精査、優先順位付け、緊急度の高い脆弱性に対しての緊急速報を実施 サービス、プロダクトの改修に注力して頂くことが可能
Copyrights©3-shake Inc. All Rights Reserved. 26 Bugty(バグティ) ⑤支払い代行 INTIGRITI社 ※ (バグバウンティプラットフォーム) 弊社 (バグバウンティ運用代行) お客様 (バグバウンティ利用企業) プラットフォーム利用料、 報奨金の請求(ユーロ) INTIGRITI社へ 支払を代行 プラットフォーム利用料、 報奨金を日本円建てで 請求書にて請求 銀行振込でお支払い ※ バグバウンティプラットフォームを運営する企業。企業紹介は後述しております。
Copyrights©3-shake Inc. All Rights Reserved. 27 バグバウンティ運用代行サービスを利用する3つのメリット ①バグバウンティの運用から請求までを代行し、運用コストを削減します。  お客様は面倒な運用業務や請求業務を行う必要がありません。  発見された脆弱性の対応に集中することができます。 ②セキュリティエンジニアが専門的なトリアージを代行します。  大量に報告されるバグレポートに対してトリアージ(※)を行います。お客様社内に  トリアージが可能なセキュリティ人材がいない場合でもバグバウンティを利用可能です。 ③お客様に脆弱性の内容と優先度をリアルタイムにご報告します。  お客様は大量のバグレポートを見る必要はありません。緊急度が高い脆弱性について  内容と優先度を日本語ですぐにお客様にご報告します。 ■Bugtyなら網羅的な脆弱性診断をセットで対応可能 です(オプション)  バグバウンティ登録前に脆弱性診断を行うことで、バグバウンティプログラムで  発見される脆弱性の数を減らすことが可能です。事前に診断を受けることで、  より見つけにくい高度な脆弱性だけが課金対象になります。 Bugty(バグティ)のメリット (※)一つ一つのバグレポートに対し、事象の切り分け、優先度付けなどを行うことを言います。
Copyrights©3-shake Inc. All Rights Reserved. 28 複数サービスを短期間でリリースする場合にメリットがあります 複数のプロダクトやサービスを次々にリリースしていく場合、従来の脆弱性診断の場合では、 対象が増えるたびに診断の追加契約が必要になります。 一方で、Bugtyで利用しているINTIGRITIプラットフォームの場合は、公開するプログラム数は5 つまで登録可能で1つのプログラムに無制限にアプリケーションを登録可能であるため、バグバ ウンティを一つ契約しておくだけで、追加開発したプロダクトやサービスを追加することが可能 になります。 その他のメリット (※)一つ一つのバグレポートに対し、事象の切り分け、優先度付けなどを行うことを言います。
Copyrights©3-shake Inc. All Rights Reserved. 29 バグバウンティ運用代行サービスの費用について (*) 2年目以降に契約を更新する場合、プラットフォーム利用料が毎年変動(値上がり)する可能性があります。詳細は後述。 INTIGRITI プラットフォーム 利用料 (年契約) + 報奨金 (デポジット) + 運用代行費用 = 貴社お支払い金額 (*) ◯ INTIGRITIプラットフォーム利用料(年契約): 860万円(為替により変動する可能性があります)  (2年契約で5% OFF, 3年契約で10% OFF) ◯ 報奨金: お客様にて自由に設定が可能です  ・ 報奨金の金額についてはシステム規模などを伺いながらご相談させて下さい  ・ 一般的に、10万〜15万ユーロであればバグハンターの興味を引くと言われています  ・ 報奨金が不足した場合はプログラムが中断します  ・ 1年間経過後に報奨金が余っていた場合は返金もしくは契約更新により継続利用ができます。 ◯ 運用代行費用(月契約):200万円/月
Copyrights©3-shake Inc. All Rights Reserved. 30 What is INTIGRITI? https://www.intigriti.com/ ● 欧州No1のバグバウンティプラットフォームを運営するサイバーセ キュリティ企業です。 ● INTIGRITIには約4万人のバグハンターが在籍しており、公開された企業のプログ ラムに参加しセキュリティテストおよび改善を実施します。企業は継続的なセ キュリティ評価の快適さを体験することは可能です。 INTIGRITI社におけるバグ報告平均件数 プログラムが開始後、最初の1週間に報告されたバグの平均数:53件  プログラムが開始後、最初の1週間以内に企業から受理されたバグ報告の平均数:37件 約70% 企業が賞金に値する 脆弱性として認定
Copyrights©3-shake Inc. All Rights Reserved. 31 6%ソフトウェア 開発者 27%セキュリティ アナリスト 43%ペネトレーション テスター INTIGRITI_バグハンター① Q,約4万人のバグハンターって、どんな人? A,80%はIT業界で働いており、本職もセキュリティ関係者です 男性92% 女性3% 無回答2% 1位 インド 6位 ドイツ 2位 ベルギー 7位 トルコ 3位 アメリカ 8位 オランダ 4位 イギリス 9位 パキスタン 5位 フランス 10位 ブラジル Q,地域 Q,男女比
Copyrights©3-shake Inc. All Rights Reserved. 32 INTIGRITI_バグハンター② Q,バグハンターは、なぜ働くのか? A,学ぶため(70%) バグハンターとは、デジタル分野の探検家だと考え てください。 彼らは、目まぐるしく変化するセキュリティ分野の 知識を深めることに熱心です。 INTIGRITIに在籍するバグハンターの 70%はスキルを身につけるためにINTIGRITIを利用 しており、40%はチャレンジ精神にあふれていま す。 金銭目的だけではなく、より高いスキルを得て より高いレベルに挑戦する意欲が高いことがうかが えます。
Appendix
Copyrights©3-shake Inc. All Rights Reserved. 34 ペネトレーションテストおよび脆弱性診断との比較 比較項目 バグバウンティ 脆弱性診断(手動) 脆弱性診断(自動) (参考)ペネトレーションテスト 診断範囲・網羅性 ✖ 独自観点 ◯ 網羅的に検査 △ 特定のサーバーやアプリケーショ ンなど、自動で洗い出せる範囲 △ 特定のシナリオや脅威に限定 診断方法 製品の外側から見える情報を起点に 動作状況を確認 ソースコードなども参考にしなが ら網羅的に脆弱性の有無を確認 ツールを使って自動的に診断する 脆弱性や設定不備などを元にし攻撃を仕掛け る 期間・タイミング 常時 特定の期間のみ。1回数週間〜 特定の期間のみ。1回数週間〜 特定の期間のみ。1回数週間〜 コスト 成果報酬 100万円〜 数万〜 600万〜 メリット ・高度な専門家が攻撃者目線で脆弱 性を発見するため、より多角的な視 点での脆弱性発見が期待できる ・特定の期間ではなく、プログラム を開始している期間は常時脆弱性の 調査が継続される ・想定していない脆弱性の発見が期 待できる ・網羅性を担保することができる (設計目線) ・簡易的に脆弱性の診断ができる (設計目線) ・現実的なシナリオに沿ってどこまで侵害さ れるかがわかる(攻撃者目線) ・脆弱性の危険度・評価・具体的な対策方法 について詳述したレポートが提供される デメリット ・プラットフォームが英語 ・脆弱性報告内容の判断ができるセ キュリティ人材が必要 特定の期間のみの脆弱性の把握に なり、常時ではない。 検知精度やアプリケーション固有の ロジック周りの脆弱性が見つからな い 特定の期間のみの脆弱性の把握になり、常時 ではない。
Copyrights©3-shake Inc. All Rights Reserved. 35 INTIGRITI社の制度説明 アカウント プログラム プログラム プログラム プログラム プログラム Webアプリケーション ・・・ Mobileアプリケーション INTIGRITI社では1アカウントで5つのプログラムを登録でき、 1つのプログラムには無制限にアプリケーションを登録可能です。 ⭐ポイント  アカウント単位での管理対象   ①報奨金のバジェット(※1)   ②報告レポート数(※2)上限値 ⭐ポイント  プログラムは  公開・非公開を設定可能 ※1 バグハンターの興味やモチベーションを高めるには、報奨金予 算としては10~15万ユーロ以上が必要 ※2 報告数の上限は500になります。これは提出された報告数では なく、受理した報告数に基づいています(スパムやデュープな どが含まれる可能性はありますが、レポートを確認する際に判 断します)。
Copyrights©3-shake Inc. All Rights Reserved. 36 INTIGRITIプラットフォーム利用料(契約更新する際の注意事項) INTIGRITIプラットフォーム利用料は、毎年以下の式に基づいて調整されます。 (契約を1年更新する際に、プラットフォーム利用料が微増します) 新価格 = 基準価格✖(0.2➕0.8✖(新指数/初期指数)) ■基準料金:  契約開始時の利用料。 ■初期指数:  Agoria(※1)が公表している、契約締結前の月の「全国平均参考賃金コスト」の指数(※2)。 ■新指数:  Agoriaが公表している指数「全国平均参考賃金コスト」のうち、指数化する日の前月のもの。 (※1)Agoria: ベルギーのIT企業の多くが参加するテクノロジー産業技術連合会 (※2)全国平均参考賃金コストの指数: ベルギー国内における平均賃金を指数化したもの。毎年微増しています。

Recommended

Api meet up online#6 session1 ginco
Api meet up online#6 session1 gincoApi meet up online#6 session1 ginco
Api meet up online#6 session1 ginco
Nihei Tsukasa
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
Clould Service for Enterprise Market
Clould Service for Enterprise MarketClould Service for Enterprise Market
Clould Service for Enterprise Market
インフォリスクマネージ株式会社 (InfoRiskManage, Inc.)
 
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?
itforum-roundtable
 
【FKEYセミナー 20150205 基調講演】「今こそクラウド活用」 講師:大和 敏彦 氏 (株式会社アイティアイ 代表取締役)
【FKEYセミナー 20150205 基調講演】「今こそクラウド活用」 講師:大和 敏彦 氏 (株式会社アイティアイ 代表取締役)【FKEYセミナー 20150205 基調講演】「今こそクラウド活用」 講師:大和 敏彦 氏 (株式会社アイティアイ 代表取締役)
【FKEYセミナー 20150205 基調講演】「今こそクラウド活用」 講師:大和 敏彦 氏 (株式会社アイティアイ 代表取締役)
appliedelectronics
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
kumo2010
 
モダン Web 開発におけるインフラジスティックスのこれまでの取り組みと今後
モダン Web 開発におけるインフラジスティックスのこれまでの取り組みと今後モダン Web 開発におけるインフラジスティックスのこれまでの取り組みと今後
モダン Web 開発におけるインフラジスティックスのこれまでの取り組みと今後
インフラジスティックス・ジャパン株式会社
 
【Explanatory material】Securify_v1.2.pptx
【Explanatory material】Securify_v1.2.pptx【Explanatory material】Securify_v1.2.pptx
【Explanatory material】Securify_v1.2.pptx
mihokawagoe
 

Recommended

Api meet up online#6 session1 ginco
Api meet up online#6 session1 gincoApi meet up online#6 session1 ginco
Api meet up online#6 session1 ginco
Nihei Tsukasa
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
Clould Service for Enterprise Market
Clould Service for Enterprise MarketClould Service for Enterprise Market
Clould Service for Enterprise Market
インフォリスクマネージ株式会社 (InfoRiskManage, Inc.)
 
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?
itforum-roundtable
 
【FKEYセミナー 20150205 基調講演】「今こそクラウド活用」 講師:大和 敏彦 氏 (株式会社アイティアイ 代表取締役)
【FKEYセミナー 20150205 基調講演】「今こそクラウド活用」 講師:大和 敏彦 氏 (株式会社アイティアイ 代表取締役)【FKEYセミナー 20150205 基調講演】「今こそクラウド活用」 講師:大和 敏彦 氏 (株式会社アイティアイ 代表取締役)
【FKEYセミナー 20150205 基調講演】「今こそクラウド活用」 講師:大和 敏彦 氏 (株式会社アイティアイ 代表取締役)
appliedelectronics
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
kumo2010
 
モダン Web 開発におけるインフラジスティックスのこれまでの取り組みと今後
モダン Web 開発におけるインフラジスティックスのこれまでの取り組みと今後モダン Web 開発におけるインフラジスティックスのこれまでの取り組みと今後
モダン Web 開発におけるインフラジスティックスのこれまでの取り組みと今後
インフラジスティックス・ジャパン株式会社
 
【Explanatory material】Securify_v1.2.pptx
【Explanatory material】Securify_v1.2.pptx【Explanatory material】Securify_v1.2.pptx
【Explanatory material】Securify_v1.2.pptx
mihokawagoe
 
Extreme Management Center を活用したネットワークの見える化
Extreme Management Center を活用したネットワークの見える化Extreme Management Center を活用したネットワークの見える化
Extreme Management Center を活用したネットワークの見える化
エクストリーム ネットワークス / Extreme Networks Japan
 
Gdlc9 baba san
Gdlc9 baba sanGdlc9 baba san
Gdlc9 baba san
Hirokuni Uchida
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
 
06.ユニアデックス(株)_発表資料
06.ユニアデックス(株)_発表資料06.ユニアデックス(株)_発表資料
06.ユニアデックス(株)_発表資料
wagatuma
 
20180927 みやぎ IoT ビジネス共創ラボ 製造業から養豚まで、おいしい IoT & AI ビジネスのつくり方
20180927 みやぎ IoT ビジネス共創ラボ 製造業から養豚まで、おいしい IoT & AI ビジネスのつくり方20180927 みやぎ IoT ビジネス共創ラボ 製造業から養豚まで、おいしい IoT & AI ビジネスのつくり方
20180927 みやぎ IoT ビジネス共創ラボ 製造業から養豚まで、おいしい IoT & AI ビジネスのつくり方
Uniadex Ltd.
 
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
appliedelectronics
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
ichikaway
 
活動報告とビーコンITの取り組み
活動報告とビーコンITの取り組み活動報告とビーコンITの取り組み
活動報告とビーコンITの取り組み
infoScoop Opensource Club Japan
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
Tatsuo Kudo
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
Tatsuya (達也) Katsuhara (勝原)
 
クラウドを活用してスモールビジネスを立ち上げよう
クラウドを活用してスモールビジネスを立ち上げようクラウドを活用してスモールビジネスを立ち上げよう
クラウドを活用してスモールビジネスを立ち上げよう
亮介 山口
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
 
商用導入実績世界1位! ミランティスが提供するOpenStackとお客様の導入事例
商用導入実績世界1位! ミランティスが提供するOpenStackとお客様の導入事例商用導入実績世界1位! ミランティスが提供するOpenStackとお客様の導入事例
商用導入実績世界1位! ミランティスが提供するOpenStackとお客様の導入事例
Ataru Shimodaira
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
NetApp Japan
 
ニュースリリースの活用による インバウンドマーケティング
ニュースリリースの活用による インバウンドマーケティングニュースリリースの活用による インバウンドマーケティング
ニュースリリースの活用による インバウンドマーケティング
News2u Corporation
 
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
IoTビジネス共創ラボ
 
OCIへの直接接続 ハイブリッド・マルチクラウド構築 グローバル・デジタル基盤を提供する Equinix Platform™
OCIへの直接接続 ハイブリッド・マルチクラウド構築 グローバル・デジタル基盤を提供する Equinix Platform™ OCIへの直接接続 ハイブリッド・マルチクラウド構築 グローバル・デジタル基盤を提供する Equinix Platform™
OCIへの直接接続 ハイブリッド・マルチクラウド構築 グローバル・デジタル基盤を提供する Equinix Platform™
Kiyomichi Arai
 
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
csig-info
 
インフォバーングループにおけるAWS活用事例5選
インフォバーングループにおけるAWS活用事例5選インフォバーングループにおけるAWS活用事例5選
インフォバーングループにおけるAWS活用事例5選
INFOBAHN.inc(株式会社インフォバーン)
 

More Related Content

Similar to Bugty.pdf

~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
 
ニュースリリースの活用による インバウンドマーケティング
ニュースリリースの活用による インバウンドマーケティングニュースリリースの活用による インバウンドマーケティング
ニュースリリースの活用による インバウンドマーケティング
News2u Corporation
 

Similar to Bugty.pdf (20)

Extreme Management Center を活用したネットワークの見える化
Extreme Management Center を活用したネットワークの見える化Extreme Management Center を活用したネットワークの見える化
Extreme Management Center を活用したネットワークの見える化
 
Gdlc9 baba san
Gdlc9 baba sanGdlc9 baba san
Gdlc9 baba san
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdf
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
06.ユニアデックス(株)_発表資料
06.ユニアデックス(株)_発表資料06.ユニアデックス(株)_発表資料
06.ユニアデックス(株)_発表資料
 
20180927 みやぎ IoT ビジネス共創ラボ 製造業から養豚まで、おいしい IoT & AI ビジネスのつくり方
20180927 みやぎ IoT ビジネス共創ラボ 製造業から養豚まで、おいしい IoT & AI ビジネスのつくり方20180927 みやぎ IoT ビジネス共創ラボ 製造業から養豚まで、おいしい IoT & AI ビジネスのつくり方
20180927 みやぎ IoT ビジネス共創ラボ 製造業から養豚まで、おいしい IoT & AI ビジネスのつくり方
 
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
 
活動報告とビーコンITの取り組み
活動報告とビーコンITの取り組み活動報告とビーコンITの取り組み
活動報告とビーコンITの取り組み
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
 
クラウドを活用してスモールビジネスを立ち上げよう
クラウドを活用してスモールビジネスを立ち上げようクラウドを活用してスモールビジネスを立ち上げよう
クラウドを活用してスモールビジネスを立ち上げよう
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
商用導入実績世界1位! ミランティスが提供するOpenStackとお客様の導入事例
商用導入実績世界1位! ミランティスが提供するOpenStackとお客様の導入事例商用導入実績世界1位! ミランティスが提供するOpenStackとお客様の導入事例
商用導入実績世界1位! ミランティスが提供するOpenStackとお客様の導入事例
 
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチクラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
クラウド時代のストレージ機能の利活用とデータセキュリティを実現するアプローチ
 
ニュースリリースの活用による インバウンドマーケティング
ニュースリリースの活用による インバウンドマーケティングニュースリリースの活用による インバウンドマーケティング
ニュースリリースの活用による インバウンドマーケティング
 
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
 
OCIへの直接接続 ハイブリッド・マルチクラウド構築 グローバル・デジタル基盤を提供する Equinix Platform™
OCIへの直接接続 ハイブリッド・マルチクラウド構築 グローバル・デジタル基盤を提供する Equinix Platform™ OCIへの直接接続 ハイブリッド・マルチクラウド構築 グローバル・デジタル基盤を提供する Equinix Platform™
OCIへの直接接続 ハイブリッド・マルチクラウド構築 グローバル・デジタル基盤を提供する Equinix Platform™
 
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
 
インフォバーングループにおけるAWS活用事例5選
インフォバーングループにおけるAWS活用事例5選インフォバーングループにおけるAWS活用事例5選
インフォバーングループにおけるAWS活用事例5選
 

Bugty.pdf

  • 2. Copyrights©3-shake Inc. All Rights Reserved. 2 はじめに 世界初!「INTIGRITI」社と提携、バグバウンティ運用代行サービス 「Bugty」をリリースしました! ヨーロッパを代表するバグバウンティプラットフォーム「INTIGRITI」と世界で初めて 提携しました。SRE総合支援など高い技術力を持ったスリーシェイクのセキュリティエ ンジニアが、専門的なトリアージ・英語でのコミュニケーションなど運用を代行。 セキュリティ領域の専門家がいない、社内のリソースをかけられない企業も バグバウンティプログラムを展開できます。
  • 4. Copyrights©3-shake Inc. All Rights Reserved. 4 脆弱性の定義 29% 71% ソフトウェア 製品の脆弱性 ※3 ウェブアプリケーション の脆弱性 IPAへの脆弱性の届出件数割合 (N = 16225) ※2 脆弱性 = ソフトウェア等におけるセキュリティ上の弱点 IPAでは「ウェブアプリケーション(ウェブサイト)」および 「ソフトウェア製品」に大別し、調査・注意喚起を実施している。 ※1 ※1 IPA : 独立行政法人情報処理推進機構 (Information-technology Promotion Agency) ※2 ソフトウェア等の脆弱性関連情報に関する届出状況 [2020年第4四半期(10月~12月)](https://www.ipa.go.jp/security/vuln/report/vuln2020q4.html)参照 ※3 JVN iPedia(https://jvndb.jvn.jp/)に掲載されているような脆弱性
  • 5. Copyrights©3-shake Inc. All Rights Reserved. 5 脆弱性を攻撃された事例(2022年1月時点) 公表日 企業名 インシデント概要 2021/6 A社(航空) 世界の航空会社の90%の通信およびITベンダーであるS社のシステムが サイバー攻撃を受け大規模な情報漏洩 を起こした。A社だけでも100万件 の情報漏えいが発生 2021/8 S社(通販) 問い合わせフォームを運用する管理サーバが外部からの不正アクセス を 受けたことにより個人情報 10万件が流出した可能性 2021/8 T社(通信) アメリカの通信会社である T社にサイバー攻撃が発生し、 5,000万人の個 人情報が流出 2021/11 R社(衣料) 公式オンラインショップがサイバー攻撃を受け、 27万の会員ユーザ個人情 報が流出 2022/1 N社(教育) 公式HPがサイバー攻撃を受け 28万件のメールアドレスが流出 https://cybersecurity-jp.com/leakage-of-personal-information
  • 7. Copyrights©3-shake Inc. All Rights Reserved. 7 自社開発の サービス・プロダクト ネットワーク 攻撃 Webアプリの 脆弱性攻撃 通常の利用者と 同じ経路の攻撃 フ ァ イ ア ウ ォ | ル I P S ・ I D S W A F ポートスキャン Dos / DDos攻撃 Synフラッド攻撃 等 SQLインジェクション クロスサイトスクリプティング等 防御が難しい 攻撃経路 セキュリティ対策の仕組みを導入 “ サイト自体 ” の弱点(脆弱性)を無くし堅牢なものにすることが重要 セキュリティ対策ツールでは防げない攻撃経路については防御することができません。
  • 8. Copyrights©3-shake Inc. All Rights Reserved. 8 対応②:脆弱性診断 (参考)https://www.csoonline.com/article/3315700/what-is-application-security-a-process-and-tools-for-securing-software.html ● 自社開発のプロダクトのセキュリティ対策は一般的に次のようにされています ○ 一般的な脆弱性の把握 ○ それらを防ぐアプリケーション開発 ○ 脆弱性診断(自社もしくは他社) (脆弱性診断をしていない会社の方が多いです) 設計 実装 テス ト リ リー ス 企画 設計 実装 テス ト リ リー ス 企画 設計 実装 テス ト リ リー ス 企画 脆弱性診断 ・・・ フェーズ① 例:システム開発の中でのセキュリティ対策   (大きな機能アップのリリースごとに脆弱性診断を行うパターン) フェーズ② フェーズ③ セキュア コーディング 脆弱性診断 セキュア コーディング 脆弱性診断 セキュア コーディング
  • 9. Copyrights©3-shake Inc. All Rights Reserved. 9 現状の取り組みの課題 前述した対策に対し、高速開発で直面する課題は次ようなものがあります。 1 毎月・毎日のように行われるアプリケーションの改修に対応できない 2 日々進化する攻撃手法/日々進化する技術スタックに対応できない 3 自社のセキュリティ人材不足/属人的・限定的な技術スコープ 設計 実装 テス ト リ リー ス 企画 設計 実装 テス ト リ リー ス 企画 脆弱性診断 ・・・ フェーズ① フェーズ② セキュア コーディング 脆弱性診断 セキュア コーディング 毎月・毎日のように脆弱性診 断する? 開発者のセキュリティ知識が 足りている? <多くの課題> 開発者の属人的な知識で進化 する攻撃手法に対応できる?
  • 10. Copyrights©3-shake Inc. All Rights Reserved. 10 脆弱性に対する取り組みとは 見つかる脆弱性は氷山の一角 バグやセキュリティホールが完全になくなることはあり 得ません。また、脆弱性は氷山に例えると海面に出てい るところしか見えていないイメージです。 海の中には見 えていない脆弱性がたくさんあります。組織として、そ の見えていない脆弱性を見ていく姿勢が必要です。 ● セキュリティに対してリリース直前などのワン ショットではなく、継続的に取り組まないといけ ません。 ● 企業として脆弱性に継続的に取り組み続けるとい う姿勢そのものが、プロダクト・サービスの透明 性につながり、お客様の信頼獲得につながりま す。
  • 12. Copyrights©3-shake Inc. All Rights Reserved. 12 バグバウンティとは バグバウンティ(Bug Bounty = バグ報奨金制度) 企業が自社のプロダクトやサービスに対する調査案件を公開し、バグハンターが プロダクトやサービスの脆弱性(バグ)を調査。発見・報告された 脆弱性に対して 企業から報奨金が支払われる仕組みです。
  • 13. Copyrights©3-shake Inc. All Rights Reserved. 13 ◯海外事例:  Facebook、Microsoft、Google、TikTok(ByteDance)、米国国防総省、スターバックス、  Uberなど 世界的なIT企業から、政府機関、飲食店まで幅広く導入されています。 ◯国内事例:  任天堂、サイボウズ、ピクシブ、LINEなどが利用しています。 ◯金融事例:  高いセキュリティが求められる金融系の企業では、DZ BANK(ドイツ第二位の銀行)、  ビットバンクなどがバグバウンティを利用しています。 ◯コロナ禍における事例:  Zoom社は新型コロナウイルス感染症対策の影響により利用が急増、セキュリティ強化圧力が  高まったことを受けて、2020年4月にバグバウンティプログラムを開始しました。 バグバウンティの事例
  • 14. Copyrights©3-shake Inc. All Rights Reserved. 14 なぜバグバウンティが求められるのか WHY?  自社に多くのセキュリティエンジニアがいる企業で  バグバウンティを行うのはなぜでしょうか? ・自社にいかに優れた開発者がいても脆弱性は無くならないと考えています。 ・オープンソースの開発と同様に、外部の大勢の優秀な人材に、継続的に(24時間365日)  脆弱性・バグを調査してもらえるということにメリットを感じています。 ・Googleでは、バグバウンティプログラムの開始から10年で合計11,055のバグが  見つかり、2,022のバグハンターに報奨金が支払われました(合計3,000万ドル近く)(※) ・実際に脆弱性を攻撃された時の回復にかかる費用と比較してリーズナブルと判断  しています。 (※)https://www.zdnet.com/article/google-announces-new-bug-bounty-platform/ 一方、日本でのバグバウンティの事例は少ないです。
  • 15. Copyrights©3-shake Inc. All Rights Reserved. 15 なぜバグバウンティが求められるのか プロダクト・サービスの脆弱性を世の中の知見を使って 調べてもらう、ということが常識になってきています。 世界中のバグハンター 自社エンジニア
  • 16. Copyrights©3-shake Inc. All Rights Reserved. 16 ① 世界中の高度な技術を持つセキュリティ専門家が攻撃者目線で脆弱性を  発見するため、より多角的な視点での脆弱性発見が期待できます。 ② 特定の期間ではなく、プログラムを開始している期間は常時脆弱性の調査が  継続されます。 ③ 発見された脆弱性を他のシステムに横展開し、保有するシステム全体の  セキュリティレベルの向上が見込めます。 ④ 脆弱性における対応状況をオープンにすることで企業に対する透明性が増し、  安心感と誠実なイメージの提供が見込めます。 ⑤ 完全にクローズドな状態でバグバウンティを開始することが可能です。  バグバウンティを初めて開始する企業にとっては不安があると思いますので  実績の多いバグハンターに限定して開示することもできます。 バグバウンティのメリット
  • 17. Copyrights©3-shake Inc. All Rights Reserved. 17 バグバウンティの課題 ◯言語力:  海外のプラットフォームを利用するため、バグハンターとコミュニケーションを  取るための言語力が必要となります。 ◯セキュリティ知見:  報告されたバグの内容を理解し、対応の優先度を決定できるセキュリティ知見が  必要となります。  (バグバウンティ公開の最初の1週間で平均50件程度のバグ報告があります) ◯適切な運用ノウハウ:  バグハンターから報告されたバグに対して適切に対応することが必要です(※)。  また、それぞれのバグに対する優先度付けや報奨金の金額幅をどうするかなどの  運用ノウハウが必要になります。 (※)バグ報告に対するレスポンスが悪い、報告したバグの改修がいつまでも対応されないなどによって、    バグハンターからの評価が下がる可能性があります。適切なコミュニケーションが必要になります。
  • 18. Copyrights©3-shake Inc. All Rights Reserved. 18 スリーシェイクのアプローチ バグバウンティの課題を解消し、バグバウンティに対する利用までのハードルを下げること により、お客様のプロダクト・サービスのセキュリティ品質を高めたいという想いから、バ グバウンティプラットフォーム「INTIGRITI」と提携し、バグバウンティ運用代行サービスを リリースするに至りました。 INTIGRITI社のバグバウンティプラットフォームを利用することで、約4万人のバグハンター にリアルタイムでシステムを診断してもらうことが可能になります。 セキュリティ専門家でなければ対応の難しいバグバウンティの運用から請求までを スリーシェイクが代行することで、セキュリティ人材を確保できない企業においても 利用しやすくなりました。
  • 20. Copyrights©3-shake Inc. All Rights Reserved. 20 Bugty(バグティ) ◯バグバウンティ運用代行とは お客様に代わり、スリーシェイクがバグバウンティの運用業務を代行します。 お客様は、業務上必要なやりとりは全て日本語で行うことができます。また円建ての請求 書で取引が可能です。対応すべき脆弱性の選定と対応方法の提案まで、総合的なコンサル ティングを行うため、 セキュリティ領域の専門知識の無い方でも安心してバグバウンティ サービスのご利用が可能です。 日本初のバグバウンティ運用代行サービス ヨーロッパNo1のバグバウンティプラットフォーム 「INTIGRITI」と世界で初めてパートナー提携
  • 21. Copyrights©3-shake Inc. All Rights Reserved. 21 Bugty(バグティ)とは 日本初のバグバウンティ運用代行サービス 欧州No1バグバウンティプラットフォーム「INTIGRITI」と世界で初めて提携。 INTIGRITIに在籍する4万人のバグハンターによる定常的なセキュリティ・サービス品質を実現。 さらに、Bugtyはバグバウンティの運用から請求までを代行し、運用にかかるコストを大幅削減。 4万人のバグハンターによる 世界レベルでのセキュリティ・サービス品質を実現
  • 22. Copyrights©3-shake Inc. All Rights Reserved. 22 Bugty(バグティ) 全体概要 ① ②③ ④ ① バグバウンティのプログラム登録  プログラムを公開する際に必要な情報(報奨金  設定など)をお客様と相談しながら登録します。   ② バグハンターとのコミュニケーション  バグハンターから質問やバグレポートなどが随時  届きますので、スリーシェイクにて対応します。 ③ 報告された脆弱性のトリアージ  報告されたバグレポートの中身を確認し、  対応すべき脆弱性かどうかの判断と優先度付けを  セキュリテイの専門家がおこないます。 ④ お客様に脆弱性の内容を報告  緊急度が高い脆弱性についてはすぐにお客様に  内容をご報告します。 ⑤ 支払い代行(円建て)  お客様はプラットフォーム利用料や報奨金は  全て円建ての請求書でお支払いできます。
  • 23. Copyrights©3-shake Inc. All Rights Reserved. 23 Bugty(バグティ) ①プログラム登録 報奨金 多い 報奨金 少ない 不適切なプログラム例① 簡単な調査項目に高額な費用を設定し てしまうと、報奨金の支払いが必要以 上に高額になる。 不適切なプログラム例② バグハンター目線「大変な割に稼げ ない…」となり、参加してもらえな い。不要にプラットフォームの利用 料のみが発生。 適切なプログラム 難易度 (重要度) 低い 難易度 (重要度) 高い 経験豊富なセキュリティエンジニアが、お客様と相談しながら、 バグバウンティにおいて最も重要となる、適切な報奨金の設定、実際のプログラムの登録をご支援 プログラムの設定はバグバウンティの利用において最も重要
  • 24. Copyrights©3-shake Inc. All Rights Reserved. 24 Bugty(バグティ) ②バグハンターとのコミュニケーション バグバウンティのプログラムを公開後、 バグハンターとのコミュニケーションが、バグバウンティ活用の鍵となります サイト保有企業 プログラムやサイトに関する質問 等 報告内容に対しての確認 等 コミュニケーションが円滑に取れないと… 「重要な脆弱性だからすぐに 改修したいのにできない…」 「レスが遅いなー。もうこのプ ログラムはやめた。」 改修が不可 / 遅延 モチベーションの低下 「サイトの仕様について教えて下さい」 「この報告内容について質問なのですが…」 コミュニケーション例(自社運用の場合) スリーシェイクがお客様の立場に立って、 バグハンターとのコミュニケーションを代行いたします
  • 25. Copyrights©3-shake Inc. All Rights Reserved. 25 Bugty(バグティ) ③脆弱性のトリアージと④お客様への報告 自社でバグバウンティプログラムを運用する際、報告書の内容理解や、優先順位付けなどが高いハードルに・・・ 報告はたくさん来る けどどれから対応し たらいいんだろう… 英語の報告内容が 理解できない… 報告内容が重複して いる…選定が大変… Warning 3-shake 「この脆弱性は非常に危険 です!早急に改修して下さ い。」 自社運用 Bugty バグハンターからの報告内容の精査、優先順位付け、緊急度の高い脆弱性に対しての緊急速報を実施 サービス、プロダクトの改修に注力して頂くことが可能
  • 26. Copyrights©3-shake Inc. All Rights Reserved. 26 Bugty(バグティ) ⑤支払い代行 INTIGRITI社 ※ (バグバウンティプラットフォーム) 弊社 (バグバウンティ運用代行) お客様 (バグバウンティ利用企業) プラットフォーム利用料、 報奨金の請求(ユーロ) INTIGRITI社へ 支払を代行 プラットフォーム利用料、 報奨金を日本円建てで 請求書にて請求 銀行振込でお支払い ※ バグバウンティプラットフォームを運営する企業。企業紹介は後述しております。
  • 27. Copyrights©3-shake Inc. All Rights Reserved. 27 バグバウンティ運用代行サービスを利用する3つのメリット ①バグバウンティの運用から請求までを代行し、運用コストを削減します。  お客様は面倒な運用業務や請求業務を行う必要がありません。  発見された脆弱性の対応に集中することができます。 ②セキュリティエンジニアが専門的なトリアージを代行します。  大量に報告されるバグレポートに対してトリアージ(※)を行います。お客様社内に  トリアージが可能なセキュリティ人材がいない場合でもバグバウンティを利用可能です。 ③お客様に脆弱性の内容と優先度をリアルタイムにご報告します。  お客様は大量のバグレポートを見る必要はありません。緊急度が高い脆弱性について  内容と優先度を日本語ですぐにお客様にご報告します。 ■Bugtyなら網羅的な脆弱性診断をセットで対応可能 です(オプション)  バグバウンティ登録前に脆弱性診断を行うことで、バグバウンティプログラムで  発見される脆弱性の数を減らすことが可能です。事前に診断を受けることで、  より見つけにくい高度な脆弱性だけが課金対象になります。 Bugty(バグティ)のメリット (※)一つ一つのバグレポートに対し、事象の切り分け、優先度付けなどを行うことを言います。
  • 28. Copyrights©3-shake Inc. All Rights Reserved. 28 複数サービスを短期間でリリースする場合にメリットがあります 複数のプロダクトやサービスを次々にリリースしていく場合、従来の脆弱性診断の場合では、 対象が増えるたびに診断の追加契約が必要になります。 一方で、Bugtyで利用しているINTIGRITIプラットフォームの場合は、公開するプログラム数は5 つまで登録可能で1つのプログラムに無制限にアプリケーションを登録可能であるため、バグバ ウンティを一つ契約しておくだけで、追加開発したプロダクトやサービスを追加することが可能 になります。 その他のメリット (※)一つ一つのバグレポートに対し、事象の切り分け、優先度付けなどを行うことを言います。
  • 29. Copyrights©3-shake Inc. All Rights Reserved. 29 バグバウンティ運用代行サービスの費用について (*) 2年目以降に契約を更新する場合、プラットフォーム利用料が毎年変動(値上がり)する可能性があります。詳細は後述。 INTIGRITI プラットフォーム 利用料 (年契約) + 報奨金 (デポジット) + 運用代行費用 = 貴社お支払い金額 (*) ◯ INTIGRITIプラットフォーム利用料(年契約): 860万円(為替により変動する可能性があります)  (2年契約で5% OFF, 3年契約で10% OFF) ◯ 報奨金: お客様にて自由に設定が可能です  ・ 報奨金の金額についてはシステム規模などを伺いながらご相談させて下さい  ・ 一般的に、10万〜15万ユーロであればバグハンターの興味を引くと言われています  ・ 報奨金が不足した場合はプログラムが中断します  ・ 1年間経過後に報奨金が余っていた場合は返金もしくは契約更新により継続利用ができます。 ◯ 運用代行費用(月契約):200万円/月
  • 30. Copyrights©3-shake Inc. All Rights Reserved. 30 What is INTIGRITI? https://www.intigriti.com/ ● 欧州No1のバグバウンティプラットフォームを運営するサイバーセ キュリティ企業です。 ● INTIGRITIには約4万人のバグハンターが在籍しており、公開された企業のプログ ラムに参加しセキュリティテストおよび改善を実施します。企業は継続的なセ キュリティ評価の快適さを体験することは可能です。 INTIGRITI社におけるバグ報告平均件数 プログラムが開始後、最初の1週間に報告されたバグの平均数:53件  プログラムが開始後、最初の1週間以内に企業から受理されたバグ報告の平均数:37件 約70% 企業が賞金に値する 脆弱性として認定
  • 31. Copyrights©3-shake Inc. All Rights Reserved. 31 6%ソフトウェア 開発者 27%セキュリティ アナリスト 43%ペネトレーション テスター INTIGRITI_バグハンター① Q,約4万人のバグハンターって、どんな人? A,80%はIT業界で働いており、本職もセキュリティ関係者です 男性92% 女性3% 無回答2% 1位 インド 6位 ドイツ 2位 ベルギー 7位 トルコ 3位 アメリカ 8位 オランダ 4位 イギリス 9位 パキスタン 5位 フランス 10位 ブラジル Q,地域 Q,男女比
  • 32. Copyrights©3-shake Inc. All Rights Reserved. 32 INTIGRITI_バグハンター② Q,バグハンターは、なぜ働くのか? A,学ぶため(70%) バグハンターとは、デジタル分野の探検家だと考え てください。 彼らは、目まぐるしく変化するセキュリティ分野の 知識を深めることに熱心です。 INTIGRITIに在籍するバグハンターの 70%はスキルを身につけるためにINTIGRITIを利用 しており、40%はチャレンジ精神にあふれていま す。 金銭目的だけではなく、より高いスキルを得て より高いレベルに挑戦する意欲が高いことがうかが えます。
  • 34. Copyrights©3-shake Inc. All Rights Reserved. 34 ペネトレーションテストおよび脆弱性診断との比較 比較項目 バグバウンティ 脆弱性診断(手動) 脆弱性診断(自動) (参考)ペネトレーションテスト 診断範囲・網羅性 ✖ 独自観点 ◯ 網羅的に検査 △ 特定のサーバーやアプリケーショ ンなど、自動で洗い出せる範囲 △ 特定のシナリオや脅威に限定 診断方法 製品の外側から見える情報を起点に 動作状況を確認 ソースコードなども参考にしなが ら網羅的に脆弱性の有無を確認 ツールを使って自動的に診断する 脆弱性や設定不備などを元にし攻撃を仕掛け る 期間・タイミング 常時 特定の期間のみ。1回数週間〜 特定の期間のみ。1回数週間〜 特定の期間のみ。1回数週間〜 コスト 成果報酬 100万円〜 数万〜 600万〜 メリット ・高度な専門家が攻撃者目線で脆弱 性を発見するため、より多角的な視 点での脆弱性発見が期待できる ・特定の期間ではなく、プログラム を開始している期間は常時脆弱性の 調査が継続される ・想定していない脆弱性の発見が期 待できる ・網羅性を担保することができる (設計目線) ・簡易的に脆弱性の診断ができる (設計目線) ・現実的なシナリオに沿ってどこまで侵害さ れるかがわかる(攻撃者目線) ・脆弱性の危険度・評価・具体的な対策方法 について詳述したレポートが提供される デメリット ・プラットフォームが英語 ・脆弱性報告内容の判断ができるセ キュリティ人材が必要 特定の期間のみの脆弱性の把握に なり、常時ではない。 検知精度やアプリケーション固有の ロジック周りの脆弱性が見つからな い 特定の期間のみの脆弱性の把握になり、常時 ではない。
  • 35. Copyrights©3-shake Inc. All Rights Reserved. 35 INTIGRITI社の制度説明 アカウント プログラム プログラム プログラム プログラム プログラム Webアプリケーション ・・・ Mobileアプリケーション INTIGRITI社では1アカウントで5つのプログラムを登録でき、 1つのプログラムには無制限にアプリケーションを登録可能です。 ⭐ポイント  アカウント単位での管理対象   ①報奨金のバジェット(※1)   ②報告レポート数(※2)上限値 ⭐ポイント  プログラムは  公開・非公開を設定可能 ※1 バグハンターの興味やモチベーションを高めるには、報奨金予 算としては10~15万ユーロ以上が必要 ※2 報告数の上限は500になります。これは提出された報告数では なく、受理した報告数に基づいています(スパムやデュープな どが含まれる可能性はありますが、レポートを確認する際に判 断します)。
  • 36. Copyrights©3-shake Inc. All Rights Reserved. 36 INTIGRITIプラットフォーム利用料(契約更新する際の注意事項) INTIGRITIプラットフォーム利用料は、毎年以下の式に基づいて調整されます。 (契約を1年更新する際に、プラットフォーム利用料が微増します) 新価格 = 基準価格✖(0.2➕0.8✖(新指数/初期指数)) ■基準料金:  契約開始時の利用料。 ■初期指数:  Agoria(※1)が公表している、契約締結前の月の「全国平均参考賃金コスト」の指数(※2)。 ■新指数:  Agoriaが公表している指数「全国平均参考賃金コスト」のうち、指数化する日の前月のもの。 (※1)Agoria: ベルギーのIT企業の多くが参加するテクノロジー産業技術連合会 (※2)全国平均参考賃金コストの指数: ベルギー国内における平均賃金を指数化したもの。毎年微増しています。