セキュリティ
バグバウンティプログラムの特徴として最も正しいものはどれか。
ア.バグバウンティはソフトウェアのパフォーマンスバグの修正に特化したプログラムであり、セキュリティ脆弱性は対象外である
イ.バグバウンティプログラムに参加するハッカーは必ず組織の正社員でなければならない
ウ.組織が報酬を提供することで外部のセキュリティ研究者が脆弱性を発見・報告することを奨励する制度であり、クラウドソーシング型のセキュリティテスト手法正解
エ.発見された全ての脆弱性に対して一律の固定報酬が支払われる制度
解説
バグバウンティは「懸賞金で指名手配を解決する保安官」システムみたいなもの。「この脆弱性を見つけた人に○○ドル!」と告知することで、世界中の優秀なハッカーが自発的に調査してくれる。Google・Meta・AppleやHackerOne・Bugcrowdプラットフォームを通じて何万人もの「善意のハッカー」が日々活躍している!
なぜ ウ が正解か
バグバウンティプログラムの仕組み:①組織(HackerOneやBugcrowdなどのプラットフォームを通じることが多い)がスコープ(対象システム)・ルール・報酬金額を公開②外部の独立したセキュリティ研究者(エシカルハッカー)が自発的に参加③脆弱性を発見したら所定のフォーマットで報告(責任ある開示)④組織が確認・修正後に報酬支払い⑤メリット:常時多様な視点でのテスト・内部チームが見逃した脆弱性の発見・報酬は成果主義(コスト効率良い)。GoogleやFacebookが先駆けで導入。
出典: AI生成問題(学習用)