FAQ
バグバウンティに関してよくご質問される内容をまとめたページです。
企業からのFAQ
関心はありますが、導入のハードルが高いように感じます。何をどのように依頼すればよいかわかりません。
弊社のホワイトハッカーが、お客様からヒアリングさせて頂いた上で、何を対象とするのが適切か、どのようなガイドラインでホワイトハッカーにバグバウンティを依頼するのか、等のご相談に応じます。お客様のご要望やご懸念をヒアリングした上で、貴社のバグバウンティプログラムをカスタムし、プラットフォームへの掲載までサポート致します。
ホワイトハッカーとの間のコミュニケーションや脆弱性の報告内容の精査などについて、自社単独で対応することが困難です。
ZoneZeroでは、パブリックアクセス可能な対象(例えば、Webサイト・アプリ)等の場合、ZoneZero運営元の株式会社フォアーゼットのホワイトハッカーが、お客様に代わってレポート確認及びホワイトハッカーとのコミュニケーション対応を行います。報告者からの報告内容をすべてクリアにしたあと、お客様とご相談の上、報酬の金額を決定します。 ※この一連の確認の中で、掲載対象の設計や仕様に関して、お客様にご確認するためにコミュニケーションさせて頂くことがございます。技術窓口のご担当様をアサインください。
もし、多数の深刻な脆弱性が発見された場合、払わないといけない報酬が膨大になる可能性があり、導入が不安です。
ご予算に応じて、総報酬額の上限を定めて、予算範囲内に収めることが可能ですので、ご相談ください。
実施したいが、見知らぬ人に探してもらうのは不安です。クローズド案件として、依頼する人を設定できますか?
クローズドプログラムとして、プラットフォームに登録している特定のホワイトハッカーたちにのみ、依頼することも可能です。
発見した脆弱性が横流しされ、悪用に繋がらないか心配です。
「バグバウンティプラットフォームに掲載して脆弱性を見つけてもらうこと」と「見つけた脆弱性を悪用される」には、直接的な因果関係はありません。バグバウンティに掲載するサービスは基本的にはパブリックなサービスであり、バグバウンティを実施していなくても攻撃者はサービスの脆弱性を常に探しています。攻撃者に脆弱性を利用される前に善意のハッカーに調査してもらうことで、被害は少なくなります。
脆弱性の検出やセキュリティリスクの確認なら、脆弱性診断等でもいいのではないでしょうか?違いは何でしょうか?
脆弱性診断は、“少数のホワイトハッカー”が、“限られた時間”で、“既知の脆弱性“を見つけ、その時点でのセキュリティリスクを可視化するのが特徴と言えますが、対して、バグバウンティは、”多くのホワイトハッカー”が、“時間の制限なく”、“未知の脆弱性“を見つけ、”継続的なモニタリングで未知のリスク“に備えるものです。2つの診断を組み合わせることで最大限のセキュリティ向上効果が見込めます。
例えば、Webを対象とした場合、バグバウンティ実施により本番環境に負荷がかりかませんか?
ピーク時間帯の検証の禁止や総当たり攻撃やDDoSなどサーバー負荷かかるものは禁止にするなど細かいルールを設定いただけます。また、インターネットからのアクセスが可能であれば本番、開発環境に関わらずご利用いただけますので、開発環境をご指定頂くこととも可能です。
例えば、Webを対象とした場合、実際の攻撃とバグバウンティ活動の区別がつかないのではないでしょうか?
診断中の通信に特定の文字列を追加するように指示する(*1)ことで、攻撃者とZoneZeroのバグバウンティプログラム参加者を区別することが可能です。 *1)HTTPヘッダーに、カスタムヘッダーを追加する
ハッカー向けFAQ
バグバウンティの対象は?
Webサイト/アプリやデスクトップアプリケーション、モバイルアプリケーションなどのソフトウェアや、IoT機器などのハードウェア、ブロックチェーン等、登録対象に制限はありません。
脆弱性を報告する際の言語は?
英語です。ただし、企業によっては、一部日本語を許容する場合もあります。
参加資格などの条件は?
全員に公開されている「パブリックプログラム」であれば、すべてのZoneZero登録者に参加資格があります。貴方のZoneZeroでの活動実績などに応じて、企業から招待を受けなければ参加できない「クローズドプログラム」に招待される可能性もあります。