ChatWork Creator's Note

ビジネスチャット「チャットワーク」のエンジニアとデザイナーのブログです。

バグバウンティ(BugBounty)はじめました

f:id:cw-tanaka:20180202104747p:plain

こんにちは。モンハンは弓か片手剣の田中です。

弊社ChatWorkでは昨年からバグバウンティの導入をし、先月報奨金制度をスタートさせました。

ChatWork BugBounty.jp - バグバウンティ・プラットフォーム

今回は、バグバウンティ導入についてのあれこれを書いておきたいと思います。

導入に至った背景

弊社が運営している「チャットワーク」は現在導入社数が16万社を超え、おかげさまで広く使われるようになりました。 しかし、サービスが成長すると同時に、セキュリティをどう担保していくかという課題がでてきました。

Webサービスを運営している以上、セキュリティ対策はその運営会社の一つの責任であり、出来る限り脆弱性によるリスクは小さく保っていきたいです。 日々の業務、新規機能開発との両立をどうしていくか・・・その一つの回答がバグバウンティでした。

バグバウンティとは?

バグバウンティとは、バグに対する報奨金制度です。 この制度を利用することにより、世界中のホワイトハッカーが自社のサービスを調査し、脆弱性を報告してくれます。 バグバウンティの運営者は報告されたバグで脆弱性と認めたものに対して報奨金を支払う、という制度です。

利点としては外部から報告が来るため、自社での脆弱性調査の工数は抑えることができるのですが、 一方でハッカーたちとのやり取り、脆弱性と認定するかどうかの判断、などなど、バグバウンティ自体の運用工数がかかります。 また、ハッカーは海外の人たちが多いため、英語でのコミュニケーションとなり、コミュニケーションコストは高くなります。

やったこと

弊社ではBugBounty.jpというサービスを利用してバグバウンティの運用を開始しました。 このサービスの良いところは、

  • 日本のサービスのため、日本語での利用が可能
  • 脆弱性金額設定のテンプレートがあるため、運用開始までの工数が低い
  • 報奨金なしで始められる
  • 報奨金の支払いを全てプラットフォーム側で対応してもらえるため、報奨金の支払いも楽

などなどです。

実際どうだったか

報奨金無しの期間である昨年末までに、実際にどれくらいの報告が来たのかというと、

  • 報告:47件
  • 脆弱性と認めた報告:5件

でした。想定以上に無報酬でも報告は多くいただけ、大変ありがたいと思っています。

上記の通り、無報酬での運用でバグバウンティの有用性が実証できたため、正式に予算を確保することができました。 昨年9月末から報奨金制度をスタートさせています。

よかったこと

報告の中には緊急性の高い脆弱性の報告もあり、被害が出る前に修正することができました。

バグバウンティをやっていなかったら・・・と思うとちょっと怖いです。

大変なこと

実際に運用していて大変だな・・・と感じたのは以下です。

  • やっぱり運用工数がかかる
  • やっぱり英語でのコミュニケーションは大変
    • BugBounty.jpは日本のサービスだが、海外からの報告が圧倒的に多い

とくに、私たちはバグバウンティ運用の専属チームがいるわけではなく、普段の作業と並行でバグバウンティの運用をしています。 そのため、運用のコストは少しかさみます。

総括

大変なこともありますが、総括してバグバウンティを導入してよかったなと感じています。 特にBugBounty.jpは運用を始めやすいです。少しでも気になった皆さん、登録してみてはいかがでしょうか。

バグの報告もお待ちしております!

ChatWork BugBounty.jp - バグバウンティ・プラットフォーム