こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
LINEヤフー株式会社は1月18日、同社が利用する外部サービスの設定不備について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】今回のインシデントは、社内資産管理・社内問合せ管理を目的として利用している外部サービスにて、特定の操作で外部から役職員情報のデータ抽出が可能となっていたというものです。原因として、APIの設定不備が挙げられています。対策として、該当する役職員に個別に連絡を行っています。また、外部からアクセス可能な設定になっていた機能を外部からアクセスできないよう設定変更しています。
バグバウンティは、脆弱性を見つけてほしい企業や組織側と、脆弱性を見つけて報酬を貰いたい報告者側が存在します。
脆弱性を見つけてほしい企業や組織は、脆弱性を見つけてほしいシステムやソフトウェア、報告対象となる脆弱性、報奨金の金額などが記載された条件を公開します。そして、脆弱性を見つけて報酬を貰いたい報告者は、条件として記載されている手順に従って、発見した脆弱性を報告することになります。企業や組織は、報告された脆弱性を調査し、修正します。脆弱性が修正されると、報告者に報奨金が支払われることになります。参加方法は、バグバウンティプログラムによって異なりますが、基本的には誰でも参加することができます。
・メリット
自社のシステムやソフトウェアの脆弱性を早期に発見することができる場合があります。その他に脆弱性を洗い出す方法として、我々のようなセキュリティ専門企業に脆弱性診断を依頼する方法があります。頻繁に改修されるようなソフトウェアの場合、繰り返し脆弱性診断を依頼する必要がありますが、バグバウンティの場合はプログラムを公開している限り、脆弱性を探し続けられることになります。また、常に第三者の目にさらされていることで、開発者のセキュリティに対する意識を高めることも期待できます。
・デメリット
プログラムの運営や報告された脆弱性の対応に人手と時間がかかる場合があります。故意に誤った脆弱性を報告する人が現れた場合、その脆弱性について精査することが求められ、報告者とのコミュニケーションがうまく行かないと、発見された脆弱性情報が外部に漏洩する可能性があります。また、脆弱性が発見されるかは報告者のスキルに依存しますので、どのようなプロセスでチェックされたかはブラックボックスとなり、網羅性が担保されるものではありません。
脆弱性を洗い出すために、最適な方法を選択してください。先ほど説明した通り、バグバウンティにはメリットとデメリットがあります。比較対象として挙げられる脆弱性診断では、チェックの対象となる範囲と、その手順が両者で合意された上で、脆弱性の洗い出しが実施されます。よって、そのプロセスが可視化されていることが、セキュリティを担保する上で重要な裏付けとなります。
バグバウンティは脆弱性診断と異なり、プログラムに記載された条件の範囲内であれば、手段を問わずに脆弱性の洗い出しが行われます。つまり、脆弱性が発見されるか否かは報告者のスキルに依存することになりますので、想定以上の脆弱性が発見される可能性がある一方で、脆弱性が発見されなかったと言っても、網羅的なチェックがされているかどうかは、報告者の属人的な判断となります。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
