デロイト直伝:バグバウンティハンターのなり方 | ScanNetSecurity
2024.06.23(日)

デロイト直伝:バグバウンティハンターのなり方

バグバウンティ。業界では知らない人は少ないほど認知されている言葉だが、高度化するソフトウェア開発において、市井の力、多数の目を活用する「ソーシャルデバッグ」は、今後ニーズは高まることはあっても廃れることはないだろう。

研修・セミナー・カンファレンス
(イメージ画像)
  • (イメージ画像)
  • バグバウンティによって発見される脆弱性の分野

 昨秋開催された「CODE BLUE 2022」でデロイトの技術者が「バグバウンティ市場」を解説するという一風変わった講演があった。

 高額報奨金を獲得した脆弱性の技術的解説といった情報はほとんど含まれず、むしろ駆け出しバグハンターに対してまず賞金がないプログラムで地道に実績を積むことを推奨したり、競争率の低い領域の見つけ方や、果ては情報収集のノウハウなど、いわばバグバウンティを志した若者や初心者が、発見と成長を経て「いっぱしのハンターになるまで」のヒントと示唆、そしてノウハウに満ちた興味深い講演だった。

 これを紹介しないのは本誌的には実に惜しい。そこで、当時の取材メモをもとに、講演のポイントを蔵出しでお届けする。(なお「CODE BLUE 2023」は 11 月 8 日、9 日開催、本誌読者なら早割料金で申し込み済みかとは思うが念のため)

● SDLC に組み込まれるセキュリティアップデート

 バグバウンティ。すでに充分認知されている言葉だが、国内企業で採用・実践する企業はまだまだ多いとは言えない。日本的な商習慣や文化では馴染みにくいのか。

 しかし、高度化するソフトウェア開発において、市井の力、多数の目を活用する「ソーシャルデバッグ」は、今後ニーズは高まることはあっても廃れることはないだろう。


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論

    強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論

  2. 法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた

    法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた

  3. 新しい総務省ガイドラインに適合する「クラウドのデータ消去」とは? 自治体で行われた実証実験 結果報告

    新しい総務省ガイドラインに適合する「クラウドのデータ消去」とは? 自治体で行われた実証実験 結果報告

  4. パナソニック他 大手が続々「Cloudbase」を採用、日本人が日本企業のために作るクラウドセキュリティプラットフォーム

  5. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

  6. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  7. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  8. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

  9. ブルーチームの新ツール 難検知ランサムウェアの発見

  10. LINEヤフー社 Digital Crime Unit の取り組みほか ~ フィッシング対策セミナー講演資料 5 本公開

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×