⚠️⚠️⚠️
本ドキュメントは、IssueHuntバグバウンティのお客様へ配布することが目的であり、一般配布することを目的としておりません。そのため、IssueHunt株式会社の許諾なしに社外へシェアすることはお控えください。
バグバウンティプログラムについて
Q1-1
バグバウンティプログラムにて参加者全体や個人にアナウンスをしたい場合、どの画面から行うことができるのでしょうか?
企業様側からユーザーに対し、個別にメッセージを行う機能は現状提供しておりませんが、下記が可能です。
プログラムのガイドラインに該当内容を記載いただく
プログラム設定の「対象」の説明部分の該当内容を記載いただく
なお、報告者とは個別にメッセージを行うことが可能です。
Q1-2
プライベートプログラムでバグバウンティプログラムを実施する場合、ガイドライン、報奨金対象の脆弱性、プログラム設定の「対象」の説明部分は参加者(リクエストいただき弊社が承認したユーザー)のみが閲覧できるのでしょうか?
ご認識の通りです。
Q1-3
ガイドラインもしくは「プログラム設定の「対象」の説明部分」に記載した内容をプログラム実施中に変更することは可能でしょうか?
可能です。
Q1-4
予算は⻘天井になりませんか?
任意のタイミングで、プログラムの一時中断・中止・再開を行うことが可能です。例えば、予め設定しておいた予算に到達した時点で一時的にプログラムを中断し、任意のタイミングで再開いただくなど、柔軟なプログラム運営が可能です。
Q1-5
プログラムを一般に公開したくありません。隠す手段はありますか?
可能です。下記の種類のプログラムを用意しており、任意のタイミングで切り替えることが出来ます。
パブリック:誰でも参加することが可能。多くの報告数を期待でき、より網羅的に診断が可能。
承認制:参加を承認されたホワイトハッカーのみがプログラムページを閲覧でき、報告を行うことが可能。
招待制:招待されたホワイトハッカーのみがプログラムページを閲覧でき、報告を行うことが可能。完全クローズドにプログラムを実施する事が可能。
Q1-6
パブリックプログラムとプライベートプログラムで参加者の数に差はありますか?
数倍パブリックプログラムの方が多い傾向があります。ただし、参加者及び報告数の数は企業様によってかなり差がある(例えば、消費者向けか事業者向けか、など)ため、一概に言うことは出来ません。
Q1-7
プライベートプログラムで少し運用して、慣れてきたらパブリックに切り替えることは可能でしょうか?
設定画面よりいつでもボタンワンクリックで切り替えが可能です。
Q1-8
バグバウンティを導入している企業で、本番環境・専用の環境を提供している割合を教えてください。
7割程度が本番環境で実施されています。テスト用環境での実施も問題ありません。
Q1-9
ガイドライン報奨金対象の脆弱性などを、プログラム実施中に変更することは可能でしょうか?
可能です。
Q1-10
バグバウンティプログラムの実施期間に定めはありますか?(例:最低一年間、など)
ありません。任意のタイミングで、中止・再開を行うことが可能です。
Q1-11
プログラムの開始/停止は事前の届出が必要でしょうか?
事前の届出は不要です。
お客様のタイミングでプログラムの設定画面から開始/停止を行うことが可能です。
Q1-12
逆に攻撃リスクが増えるのではないですか?
バグバウンティの本質は、「インセンティブ付けによる正しい抑止力により、悪意を持った攻撃者から攻撃を受ける前に脆弱性を修正すること」です。
プログラム参加者たちのモチベーションは、「脆弱性を見つけて企業を攻撃すること」ではなく、「脆弱性を見つけて報酬を得ること」です。
特にアメリカでは、既にバグバウンティプログラムが正しい抑止力として機能しております。テック業種時価総額トップ10社のうち9社が導入していたり、政府機関によるセキュリティガイドラインで実施を推奨していることが、バグバウンティの有効性を現していると考えています。
脆弱性報告について
Q2-1
プログラムを公開して脆弱性の報告を待っている間、脆弱性がないかをホワイトハッカーが試されているかどうかは分かるのでしょうか?
把握することは出来ません。
Q2-2
脆弱性報告の後で、別画面で同様の報告があった場合は、別画面であっても先行の報告があったと判断して報奨金支払いの対象から外しても問題ないのでしょうか?
場合によりますが、企業様の判断にお任せいたします。いくつか例を提示いたします。
例1)
1. お問い合わせ画面(main.example.com)にXSSがあった
2. FQDNが異なるが、同じ機能を持つお問い合わせ画面(sub.example.com)にXSSがあった
→これは同じ対策が適用できるので、重複とするのは違和感ありません。一方、企業側がsub2、sub3の存在を見逃していて、同じく報告が来た時に単に重複処理していいのかというのは疑義が残ります。
例2)
1. お問い合わせ画面にXSSがあった
2. 検索画面にもXSSがあったので重複とする
→これは機能が全然異なるので重複と判断することは難しいです。
いずれにせよ、どの程度類似の脆弱性がいつ報告されたのかというのは企業側からしか分からないため、報奨金をどこまで与えるのかというのは企業側の意思決定に従っていただくことで問題ございません。
Q2-3
Disclosedしたレポートのステータスを変更したいのですが、可能ですか。
出来ません。一度Undiscloseし、ステータスを変更後、再度Disclose作業をお願いいたします。
Q2-4
脆弱性の公開について「サマリ」の項目がありますが、スキップした場合は単に報告タイトルのみが公開されるのでしょうか?
サマリーをスキップした場合は報告タイトルのみ掲載されます。
報奨金について
Q3-1
全ての報告に対して報酬を支払う必要がありますか?
ございません。お客様側で支払い可否を判断いただき、支払い対象となった報告のみに報酬金をお支払いいただきます。
重複報告や支払い対象外の報告等につきましては、報酬を支払う必要はございません。 支払うべきか分からない場合は、カスタマーサポートへお問い合わせいただくか、運用代行サポートの利用をご検討ください。
Q3-2
脆弱性の種別や金額をどのように設定するべきか迷っています。
報奨金のレンジについては、弊社が用意しているテンプレートがございます。ご利用いただいている多くの企業様はテンプレートをそのままご利用いただいています。
一方、お客様によっては自社サービスに多大な影響を与える可能性のある脆弱性については、報奨金を高く(最大500万円)設定いただいている企業もございます。
おすすめの設定方法は、一旦テンプレートで開始いただき、報告数が著しくない場合は一段階金額を引き上げるなどにより調整していただく形をおすすめいたします。
Q3-3
支払う報奨金額はどのように決めるのでしょうか。
バグバウンティプログラム設定時に設定いただいた金額レンジをベースに決定ください。CVSSスコアを基準としたり、脆弱性の種類や脆弱性を攻撃されることで起こりうる影響などをもとに決定いただければと思います。
Q3-4
報奨金を付与する際の「説明」項目については、報告者に対しての説明になるでしょうか?(報告者が閲覧できるのみでしょうか?)
ご認識の通り、報告者に対する説明で、報告者のみ閲覧が可能です。
アカウントについて
Q4-1
企業アカウントの登録方法を教えてください。
企業登録については、以下の流れで登録いただくことが可能です。
・個人アカウント作成
・左上の個人アカウントタブから「組織を追加」を押下
・組織名・組織概要(会社紹介)を記載
・完了
詳しくはこちらの記事②をご参照ください。
利用料金について
Q5-1
支払いサイクルと方法を教えてください。
月末締め、翌月末払いサイクルで、弊社へ銀行振込をお願いしております。
Q5-2
料金を教えてください。
支払額に20%を加え、税金を加算した額を請求いたします。例えば、5万円をホワイトハッカーへ支払い手続きを行なった場合は、6.6万円(5万円×20%+税金)を請求いたします。
運用代行サポートについて
Q6-1
料金を教えてください。
お問い合わせください。
Q6-2
トリアージされた報告はどのように報告されるのでしょうか?通常の報告と同様、報告リストに載るのでしょうか?
トリアージ専用ページをご用意しております。デモにてお見せいたしますので、お問い合わせください。
セキュリティチェックシートについて
Q7-1
セキュリティチェックシートの記入をお願いしたいです。
基本的には弊社側より提出する雛形をご確認いただく形にしております。お客様側のチェックシート対応は有償で承ります。