吉田顧問第6回_アイキャッチ

OSSとバグバウンティ(吉田行男 氏)

OSS

吉田 行男

CNCFは、Googleが開発したコンテナオーケストレーションツール「Kubernetes」のバグ報奨金事業を開始しました。この事業は、CNCF、Google、そしてHackerOneが共同で運営しています。バグ報奨金事業を通じて、Kubernetesのセキュリティ問題の洗い出しやバグ発見活動にお金的支援をすることで、技術者がバグの検出という重要な業務を効率的に行うことが期待されます。また、HackerOneはFacebook、マイクロソフト、Googleが出資して作ったプラットフォームで、20万人以上のハッカーが登録されています。

バグバウンティでより良いソフトウェアエコシステムへ

CNCF(Cloud Native Computing Foundation)は、1月14日、Kubernetesの初めてのバグ報奨金事業(バグバウンティ)を発表しました。

Kubernetesについては、すでにご存じの方も多いと思いますが、Googleが開発したコンテナオーケストレーションツールです。

このバグ報奨金事業は、CNCF、Google及びHackerOneが共同で運営し、賞金は100ドルから最高10,000ドルまでとなっています。

このバグバウンディが立ち上がったことでKubernetesのセキュリティ問題の洗い出しとバグ発見活動に財政的支援が加わり、バグの検出という重要な仕事を行っている技術者に報いることができるようになります。

HackerOneによるエコシステム

ちなみにこのHackerOneという会社はFacebook、マイクロソフト、Googleでバグバウンティと脆弱性の公開を拡大させてきた専門家によってつくられたプラットフォームを構築しており、現在では20万人もの様々なスキルや専門領域を持ったハッカーが登録されています。

バグバウンティ

バグバウンティとは、企業が自社製品やサービスに内在するセキュリティ上の脆弱性を外部の専門家にチェックしてもらい報奨金を支払う仕組みです。

1995年にブラウザを開発していたNetScape社によって、始められたと言われていますが、
その当時は、ノベルティが景品として送られていた程度で、この制度を採用する企業も少なく、普及し始めたのは、最近のことです。

前述のHackerOneが2019年12月に公表したレポート「The Hacker-Powered Security Report 2019」によると2018年5月から2019年4月までの1年間で12万件もの脆弱性が報告され、支払われた報奨金も6,200万ドルを超えたそうです。

EUもバグバウンティを開始

2019年1月にEUが著名な15のOSSを対象としてバグ報奨金プログラムを開始すると発表しました。

これは、2014年に発生したOpenSSLで発見された「Heartbleed」と呼ばれる脆弱性を狙った攻撃がこの取り組みの発端になったようで、
すでに社会基盤として重要な地位を占めていたOSSの脆弱性を減らし、社会基盤の安定性を向上させることを狙っているようです。

報奨金はバグの深刻度とソフトウェアの相対的な重要度によって、決定されるようです。

バグバウンティはこれからの広がりが重要

OSSに限らず、商用製品やサービスでの脆弱性を早期に発見し、対策していくことで、社会問題化する前に対策することができるようになります。

しかしながら、まだまだ一般的と言えないこの制度が今後どれくらい広がっていくかが大きな問題であるといえるかも知れません。

(*2)本文中記載の会社名、商品名、ロゴは各社の商標、または登録商標です。

関連記事

Webサイト運用の課題解決事例100選 プレゼント

Webサイト運用の課題を弊社プロダクトで解決したお客様にインタビュー取材を行い、100の事例を108ページに及ぶ事例集としてまとめました。

・100事例のWebサイト運用の課題と解決手法、解決後の直接、間接的効果がわかる

・情報通信、 IT、金融、メディア、官公庁、学校などの業種ごとに事例を確認できる

・特集では1社の事例を3ページに渡り背景からシステム構成まで詳解