メインコンテンツへ
セキュリティセキュリティ実践

バグバウンティプログラムの特徴として最も正しいものはどれか。

ア.バグバウンティはソフトウェアのパフォーマンスバグの修正に特化したプログラムであり、セキュリティ脆弱性は対象外である
イ.バグバウンティプログラムに参加するハッカーは必ず組織の正社員でなければならない
ウ.組織が報酬を提供することで外部のセキュリティ研究者が脆弱性を発見・報告することを奨励する制度であり、クラウドソーシング型のセキュリティテスト手法正解
エ.発見された全ての脆弱性に対して一律の固定報酬が支払われる制度

解説

バグバウンティは「懸賞金で指名手配を解決する保安官」システムみたいなもの。「この脆弱性を見つけた人に○○ドル!」と告知することで、世界中の優秀なハッカーが自発的に調査してくれる。Google・Meta・AppleやHackerOne・Bugcrowdプラットフォームを通じて何万人もの「善意のハッカー」が日々活躍している!

なぜ ウ が正解か

バグバウンティプログラムの仕組み:①組織(HackerOneやBugcrowdなどのプラットフォームを通じることが多い)がスコープ(対象システム)・ルール・報酬金額を公開②外部の独立したセキュリティ研究者(エシカルハッカー)が自発的に参加③脆弱性を発見したら所定のフォーマットで報告(責任ある開示)④組織が確認・修正後に報酬支払い⑤メリット:常時多様な視点でのテスト・内部チームが見逃した脆弱性の発見・報酬は成果主義(コスト効率良い)。GoogleやFacebookが先駆けで導入。

なぜ ア は間違いか

バグバウンティはセキュリティ脆弱性(XSS・SQLi・RCE・認証bypass等)が主な対象。パフォーマンスバグは通常の範囲外か低優先度。「セキュリティ脆弱性は対象外」は逆。

なぜ イ は間違いか

バグバウンティの最大の特徴は組織外部の独立した研究者・フリーランスのハッカーが参加できること。社員限定なら通常の内部セキュリティテストと変わらない。

なぜ エ は間違いか

報酬は脆弱性の深刻度(CVSS スコア、影響範囲)によって異なる段階設定が一般的。RCE(リモートコード実行)は数万〜数十万ドル、XSSは数百〜数千ドルなど、重大度に応じて大きく変わる。

出典: AI生成問題(学習用)