バグバウンティ・プログラム市場の需要と供給:誰もが幸せになれない現状を考える

Why Bug-Bounty Programs Are Failing Everyone

2022/07/30 DarkReading — Black Hat USA の講演で Katie Moussouris は、バグバウンティ・プログラムが目標を達成できない理由と、セキュリティ上の成果としてバウンティを活用するために、それに続くステップで必要となるものを説明することになる。

バグバウンティ・プログラムが誇張されてから 10年ほどが経つが、その有効性について、現時点では判断がついていない。Luta Security の CEO である Katie Moussouris によると、平均的な組織においては、バグバウンティから意味のある結果を引き出す苦労があり、その実行に苦慮し続けているとのことだ。

バグバウンティ・プログラムは、かつてないほど主流になっており、現在では有名ハイテク企業だけでなく、はるかに広い範囲でバウンティが人気を得ている。あらゆる組織において、製品に対するセキュリティの専門家や、企業のサイバーセキュリティの専門家たちは、アプリケーション・セキュリティの後方支援として、このようなプログラムを利用するようになっている。ただし、多くのケースにおいて、成長するバグ報奨金プラットフォーム市場の利便性と、販売のメカニズムにより後押しされている。


Moussouris は Dark Reading に対して、「多くの組織は、バグバウンティ・プログラムで好調なスタートを切るが、18カ月から2年の節目あたりで、自重により崩壊し始める」と語っている。

この種の企業における崩壊は、賞金稼ぎから提出された大量のバグに悩まされる、働きすぎのプログラム・マネージャーに現れる兆候から始まる。彼らは、ソフトウェアの脆弱性に悩まされ、最も基本的なセキュリティ上の欠陥にも悩まされている。

8月11日に予定されている、Black Hat USA の講演 “Bug Bounty Evolution: Not Your Grandson’s Bug Bounty” に登壇する Moussouris は、「バグバウンティは素晴らしいアイデアだが、これまでの 10年において上手く実行されなかった。バグバウンティの設計や実行の方法だけではなく、バグバウンティが運用されるエコシステムの全体像についても、大いに改善の余地があると思う」と語っている。

システム上の大きな問題の1つとして、多くのバグバウンティ・プログラムが、基盤となるサイバー・セキュリティ・プログラムの、実践的な成熟度とは関係なく実施されているという事実が挙げられる。

Moussouris は、「つまり、資産の可視化/脆弱性管理/開発者のトレーニングなどから乖離している。バグバウンティは、アプリケーション・セキュリティの強固な基盤を補完する素晴らしいものだが、それだけに依存して、ソフトウェアを安全に保つことが可能だと、誤解している企業もある」と述べている。

彼女は、「バグバウンティ・ボトックスは不要だと言いたい。つまり、内面が美しくあることを望んでいる。あらゆる組織が、脆弱性公開プログラムやバグバウンティ・プログラムにより、フェンス越しに投げられるバグを修正するだけではなく、コアとなるセキュリティ投資に目を向けることを望んでいる。その一方で、セキュリティ対策全体の健全性を示す指標として、バグバウンティ制度を利用する必要がある。なぜなら、すべてのバグは、そのセキュリティ・システムの根本的な障害の症状だからだ」と指摘している。

セキュリティとしての成果を上げるためのバグバウンティの設計

Moussouris は、「この問題の根底には動的な特性がある」と述べている。Black Hat では、セキュリティチームが報奨金を利用するための、全体的なプログラムを設計し、彼らが意図するセキュリティ成果を生み出し、それを有意義で測定可能な方法で実証するための、推奨事項を検討する予定だそうだ。

最終的に、バグバウンティ制度は、従来のアプリケーション・セキュリティの実践では、発見される可能性の低い果実に焦点を当てるだけではなく、複雑で発見が困難であり、悪用されにくい不具合を、表面化させるインセンティブを提供すべきであると、彼女は考えている。

ハンターのためのバグバウンティ・プログラム

Moussouris によると、バグバウンティの生態系の裏側について、つまりバグバウンティ・ハンターに役に立っていないシステムという事実にも、講演で述べるそうだ。

彼女は、「バグバウンティは、最悪のギグエコノミーと言えるだろう。Uber や Lyft の仕事よりもひどい。なぜなら、Uber や Lyft では、仕事をするたびに報酬を得られるが、バグバウンティ・ハンターの場合、バグを見つけるたびに報酬が得られるわけではない。だから、この市場の需要と供給は、現在のような商業化により、間違った方向に進んでいる」と述べている。

それに付随して、彼女は、セキュリティ労働の市場を拡大するために、セキュリティの世界が何をすべきかを探っていく。それには、実習モデルを深く掘り下げること、および、脆弱性の修復や、セキュリティの回復力に関連する、人材と教育を構成するためのパイプラインの構築などが含まれる。

2022年1月に、「HackerOne のバグバウンティ・プログラム:そこから見えてくる5つの論点」という記事を掲載しました。そこでは、より大きな脆弱性管理戦略の一環としてバグバウンティの導入を検討すべきであり、社内でプログラムでの対応も可能だが、HackerOneBugCrowd のようなプロバイダーと協力して管理することもできる、と述べています。しかし、今日の記事では、もう一歩踏み込んだところで、議論が必要だと指摘されています。より良いエコシステムになってほしいですね。

%d bloggers like this: