1. 始めに
こんにちは、morioka12 です。
本稿では、サイバーセキュリティの取り組みの一環で、バグバウンティ制度の活用状況について紹介します。
なお、本内容はここ最近で、バグハンター視点の話だけでなく、「バグバウンティプラットフォームを活用する事業者の話」や「社内バグバウンティ制度」について聞かれることが増えたため、自分なりに気になる点を少し整理してみた内容です。
目次
- 1. 始めに
- 2. バグバウンティとは
- 3. 各国のバグバウンティ状況
- 4. バグバウンティと脆弱性診断の実施状況
- 5. バグバウンティの投資対効果
- 6. 社内バグバウンティ制度
- 7. その他
- 8. 終わりに
想定読者
- バグバウンティ(脆弱性報酬金制度)に興味ある方
- 特に事業者でセキュリティ担当の方
- バグハンターやバグハンティングに興味ある方
- 脆弱性診断に関わる方
2. バグバウンティとは
バグバウンティ (Bug Bounty, 脆弱性報奨金制度)とは、Web サービスやスマホアプリなどのプロダクトを提供する企業が、外部のバグハンターの力を借りて対象の脆弱性を発見してもらい、その対価として報奨金がバグハンターに支払われる制度のことです。
バグバウンティは、バグバウンティプラットフォームを導入したり、自社で脆弱性報告窓口を設置して受け付けることなどで実施されます。
有名なバグバウンティプラットフォームとしては、HackerOne・Bugcrowd・Intigriti などがあり、日本では IssueHunt という国産プラットフォームも存在します。
自社スタイルとしては、サイボウズ や Sky が自社でバグバウンティプログラムを運用していたり、NTTコミュニケーションズ は社内限定でバグバウンティプログラムを実施していたりします。
バグバウンティプラットフォーム
バグバウンティプラットフォーム (Bug Bounty Platform)とは、企業が自社のサービスに存在する脆弱性を発見・報告してくれるバグハンターと、その企業を仲介するオンラインサービスです。
企業はバグバウンティプラットフォームを活用することで、世界中のバグハンターにセキュリティテストを委託でき、脆弱性を効率的かつ低コストで発見できます。
バグバウンティプラットフォームは2010年代から始まったサービスで、具体的には以下の年からサービス提供されています。
| プラットフォーム | 国 | サービス開始 | 主な日本企業 (パブリックプログラムのみ) |
|---|---|---|---|
| HackerOne | アメリカ | 2012年 | ピクシブ, LINEヤフー, 任天堂, トヨタ自動車, スターバックスコーヒージャパン |
| Bugcrowd | アメリカ | 2012年 | 楽天グループ, マネーツリー |
| Synack | アメリカ | 2013年 | |
| YesWeHack | フランス | 2015年 | KOMOJU |
| Intigriti | ベルギー | 2016年 | |
| IssueHunt | 日本 | 2022年 | コインチェック, ソラコム, サイバーエージェント, Finatextグループ, ヌーラボ |
ちなみに、以下は各プラットフォームのファーストビューのキャッチコピーです。
- HackerOne
- 「最後の防衛線 他の対策では見逃される、新たな、そして捉えどころのない脆弱性を発見します」
- Bugcrowd
- 「信頼できるハッカーを活性化して攻撃対象領域を防御」
- Synack
- 「継続的かつスケーラブルな侵入テストの提供」
- YesWeHack
- 「セキュリティスタックの中で最も費用対効果の高いレイヤー」
- Intigriti
- 「倫理的なハッカーの専門家コミュニティを利用して資産を保護します」
- IssueHunt
- 「完全成果報酬型で、コスパ抜群の脆弱性診断」
企業がバグバウンティを実施したい場合は、バグバウンティプラットフォームを活用することで、効率的にバグハンターに自社のバグバウンティプログラムを周知して参加しやすくなり、面倒なコミュニケーションやトリアージなどのコストを軽減して運用を効率化することができます。
3. 各国のバグバウンティ状況
アメリカ 🇺🇸
アメリカでは、政府機関が積極的にバグバウンティを取り入れています。
その代表的な事例は、米国防総省(DoD)が2016年に実施した「Hack the Pentagon」で、この実験的な取り組みは成功を収め、その後も継続的に行われています。ちなみに、2016年から2024年の間で、5万件を超える脆弱性が報告されてリスク排除したという報道もあります。
また、米国政府の内部セキュリティ基準である「NIST SP 800-53」でも、バグバウンティプログラムの実施が推奨されるなど、政府レベルで脆弱性対策の一環として認識されています。NIST SP 800-53 とは、米国政府内の情報システムをより安全なものにして効果的にリスク管理するためのガイドラインで、民間も準拠することを推奨しています。
NIST SP 800-53: RA-5 脆弱性監視およびスキャン
外部のセキュリティ研究者による発見された脆弱性の報告をさらに促すため、組織は報奨金制度(「バグバウンティ」としても知られる)を利用する場合もあります。バグバウンティプログラムは、組織のニーズに合わせて調整できます。報奨金は無期限、または期間限定で運用することが可能で、一般公開することも、特定のグループに限定して提供することもできます。組織は、公開と非公開の報奨金制度を同時に運用することや、特定の参加者に部分的な認証情報へのアクセスを許可することで、特権的な視点からセキュリティの脆弱性を評価することもできます。
ちなみに、NIST サイバーセキュリティフレームワーク(CSF)では、5つの主要な機能(Identify, Protect, Detect, Respond, Recover)を定めており、バグバウンティ制度は以下の3つの点に関わっています。
- Identify(特定)
- バグバウンティは、外部のバグハンターの力を借りて脆弱性を特定し、潜在的なリスクを評価することができます。
- Detect(検知)
- バグバウンティは、一次的な脆弱性診断では見落とされがちな脆弱性を、継続的かつタイムリーに検知することができます。
- Respond(対応)
- バグバウンティを通じて報告された脆弱性は、サイバーインシデントの「予防」として機能するため、報告された脆弱性を迅速に検証し、修正するプロセスは、応答計画の重要な要素です。
欧州連合(EU)🇪🇺
EU 全体では、サイバーレジリエンス法(Cyber Resilience Act, CRA)が2024年12月に施行され、デジタル製品のメーカーに脆弱性対策を義務付け、脆弱性情報を欧州連合サイバーセキュリティ機関(ENISA)に報告することを求めています。これにより、各国の取り組みを法的に後押しするものとなっています。
Cyber Resilience Act: Bug Bounty
デジタル要素を備えた広く使用されている製品の悪用可能な脆弱性に関する情報が闇市場で高値で売買される可能性があることを踏まえ、そのような製品の製造業者は、調整された脆弱性開示ポリシーの一環として、個人または団体がその努力に対して認識と補償を確実に受けられるようにすることで、脆弱性の報告を奨励するプログラムを使用できるべきである。
また、EU の執行機関は、2019年から EU 内のサーバーやシステムで使用されるオープンソース資産の強化を目的としたバグバウンティプログラムを実施してきました。
そして、2025年に拡大された取り組みを再開するため、新たな入札が開始され、YesWeHack が4年間のフレームワーク契約を締結しました。
YesWeHack、欧州委員会における最新のバグバウンティ入札を獲得
フランス 🇫🇷
フランス政府は、公的なサービスのセキュリティ向上にバグバウンティを積極的に活用しています。
例えば、公務員専用のチャットアプリ「Tchap」や、デジタル身分証明書の脆弱性発見に対して、バグバウンティプログラムを実施しています。
シンガポール 🇸🇬
シンガポールは、国家レベルでサイバーセキュリティを最優先事項の一つとしており、政府機関や重要インフラを対象としたバグバウンティを積極的に実施しています。
シンガポール政府は、シンガポール国防省(MINDEF)やシンガポール政府機関(GovTech)が過去にバグバウンティプログラムを HackerOne や YesWeHack と連携して実施していました。
日本 🇯🇵
日本では、企業による脆弱性報奨金制度の導入は進みつつありますが、まだ他国に比べてそれほど一般的ではありません。
ちなみに、デジタル庁が公開している「政府情報システムにおける脆弱性診断導入ガイドライン」には、以下のような記載があり、これは「脆弱性報奨金制度により想定外の脆弱性を検出することができる」とも言えます。
想定外の脆弱性(Ā)対策には、脆弱性報奨金制度により未知の脆弱性の検出を試みること等が挙げられる
その他
国際的な統一セキュリティ基準である「PCI DSS」でも、重要なセキュリティ要件を満たすための効果的な手段として、バグバウンティの実施が推奨されています。
- 社内ソフトウェアの脆弱性評価
- PCI-DSS 4.0 / 6.3.1 では、社内開発ソフトウェアの脆弱性評価のための潜在的なソリューションとしてバグバウンティを推奨しています。
- 公開脆弱性報告
- PCI の Mobile Payment on COTS (MPoC) v1.0.1 要件 A.4.2.1、D.2.1.4、および D.4.2.1 では、セキュリティテストおよび報告のオプションとしてバグバウンティが提案されています。
4. バグバウンティと脆弱性診断の実施状況
よくバグバウンティと脆弱性診断の実施を対にして考えている方がいますが、「セキュリティリスクを排除する(脆弱性を発見して修正する)」という意味合いでは同じでも、用途や特徴が異なります。
| 特徴 | バグバウンティ (Bug Bounty) | 脆弱性診断 (Vulnerability Assessment) |
|---|---|---|
| 目的 | 広範な観点から未知の脆弱性を探索・発見する | 網羅的なチェックリストに基づいて想定される脆弱性を洗い出す |
| 実施主体 | 企業と提携する不特定のバグハンター | 契約した特定のセキュリティベンダーのエンジニア |
| 実施担当 | 多数のバグハンター (多角的な視点) | 数名(1~3名)のセキュリティエンジニア |
| 実施期間 | 継続的なことが多い | 限定的(数日から数週間) |
| 費用モデル | 成果報酬型(見つかった脆弱性の数と深刻度に応じて支払い) | 時間・定額制(契約した期間や範囲に応じて固定料金) |
| 開発プロセス | リリース後・運用時 | リリース前・テスト時 |
このように、目的や実施状況が異なるため、どちらかで十分ということでもありません。
海外でもバグバウンティと脆弱性診断(ペネトレーションテスト)は、異なる用途として実施していることが多いです。
包括的なセキュリティテストを行うにはバグバウンティを実施し、セキュリティテストの保証が必要な対象がある場合はその点に絞ってペンテストを実施します。
Bugcrowd のお客様で、ペネトレーションテストとバグバウンティプログラムを組み合わせてご利用いただくと、標準的なペネトレーションテストのみの場合と比較して、影響の大きい脆弱性を平均3~5倍多く発見でき、脆弱性1件あたりのコストを大幅に削減できます。
例えば、コンプライアンスを確保し、業界のベストプラクティスに準拠するために、ペネトレーションテストを包括的な年次評価に活用する一方で、新たな脅威への継続的な警戒を維持するために、年間を通してバグバウンティプログラムを実施するといったことが考えられます。
費用面
また、よく聞かれることとしては、報奨金の予算と設定などの費用面です。
企業は、自社のセキュリティ予算と、脆弱性によるビジネスリスクをどの程度許容するかを考慮して報奨金額を設定し、以下のようにバグバウンティプログラムを制御する方法があります。
- まず今期のバグバウンティの予算上限額を決める。
- 脆弱性の危険度に合わせて報奨金額を設定し、バグバウンティプログラムを開始する。
- バグハンターに対して報奨金の支払い額が予算額を超えそうになったら、バグバウンティプログラムを一時停止(休止)する。
- また来期の予算のタイミングでバグバウンティプログラムの実施を検討する。
ちなみに、報奨金額の設定が低すぎる場合、優秀なバグハンターが集まりづらい現象が起こる可能性があるため、一般的な金額感から設定することをオススメします。
個人的には、バグバウンティプログラムにもメリハリがあるとバグハンター側も取り組むキッカケやモチベーション上げに繋がると思うため、期間限定イベントや期間限定ボーナスなどの実施もあるとより効果的な気がします。
プチ整理
- バグバウンティ
- 幅広い視野で継続的に脆弱性を探すための仕組み(能動的・継続的な探索)
- 脆弱性診断
- 特定の対象を深く、網羅的にチェックするための仕組み(計画的・体系的なチェック)
個人的には、これらの両方を役割ごとに正しく効果を認識し、組み合わせることが攻めの視点で効果的な取り組みと言えると思います。
企業のセキュリティ担当者は、よく守りのセキュリティ視点は優先的に補ていることが多いですが、攻めのセキュリティ視点は知見不足やリソース不足で補えないことが多いため、バグバウンティによる外部の力を借りてそれらを少しでも補うことが可能になると思います。
5. バグバウンティの投資対効果
投資対効果(ROI)は、企業が予算を使ってサイバーセキュリティの一環として取り組む上で、一つの指標となります。
バグバウンティの ROI は、単に支払った報奨金と発見された脆弱性の数を比較するだけでは難しい(測れない)場合があります。
例えば、以下のような構成要素があります。
- 経済的な効果
- 脆弱性診断との比較:脆弱性診断は期間や範囲に応じて高額な固定料金が発生します。一方、バグバウンティは有効な脆弱性が見つかった場合にのみ報酬を支払う成果報酬型なため、コストを抑えやすい傾向があります。
- インシデント対応コストの回避:深刻な脆弱性が悪用され、情報漏洩やサービス停止などのインシデントが発生した場合、企業は多大な損害を被ります。バグバウンティは、これらのリスクを未然に防ぐ「保険」として機能します。
- リスク管理の効果
- 多角的な視点:世界中の多様なスキルを持つバグハンターが参加することで、予期せぬ幅広い脆弱性を発見できます。
- 継続的な監視:バグバウンティは継続的に実施されるため、アップデートに伴う新しい脆弱性にも迅速に対応できます。
- 戦略的な効果
- ブランドと信頼の向上:バグバウンティプログラムの公開は、企業がセキュリティに真剣に取り組んでいる姿勢を顧客や投資家に示します。これにより、ブランドイメージと信頼性が向上し、長期的なビジネス価値に繋がります。
- セキュリティ人材の獲得:バグバウンティプラットフォームは、優秀なセキュリティ専門家との関係を築くためのチャネルとなります。これにより、将来的な採用や外部協力者とのネットワーク構築にも貢献します。
各バグバウンティプラットフォームの投資対効果論
プチ整理
バグバウンティは、適切に管理されれば、単なるコストではなく、企業のセキュリティ体制を強化し、ブランド価値を高めるための有効な「投資」であると言えます。
これらは、各企業のセキュリティ意識やセキュリティ予算、会社の事業フェーズによって異なる判断になるため、それぞれの立場で検討してみることをオススメします。
また、個人的には、SBOM などのセキュリティ管理製品と似たような運用効果があるとも少し思いました。
- 脆弱性の特定
- SBOM:ソフトウェアを構成するコンポーネントを一覧化することで、継続的に既知の脆弱性を特定します。
- バグバウンティ:外部のバグハンターの力を借りて、継続的に未知の脆弱性を特定します。
- リスクの管理
- SBOM:定期的に SBOM を更新してデータベースと照合することで、新しい既知の脆弱性に迅速に対応できます。
- バグバウンティ:攻撃者の視点からプロダクトをセキュリティテストすることで、理論上のリスクだけでなく、実環境でのリスクを対応できます。
6. 社内バグバウンティ制度
社内バグバウンティ制度とは、外部のバグハンターではなく、自社の従業員を対象として実施されるバグバウンティプログラムで、従業員が自社サービスの脆弱性を発見・報告することで、報奨金を受け取ることができます。
- 目的
- 自社サービスのセキュリティレベル向上
- 社員のセキュリティ意識向上と技術力の育成
このような取り組みは、セキュリティを専門としない部署の社員も巻き込むことで、全社的なセキュリティ文化を醸成する効果も期待されています。
日本企業で有名な社内バグバウンティ制度の導入事例としては、NTT Com があります。
また、社内バグバウンティはセキュリティチャンピオンのような制度として、エンジニアがセキュリティへのキャリアパスやモチベーションのキッカケにも繋がるため、良い機会でもあるとも思います。
さらには、成果が報奨金として得ることができるため、取り組みが評価される仕組みを良い点と言えます。
(既に、とある企業のセキュリティ担当者から「社内バグバウンティ制度」を一次的な社内イベントとして実施してみたいというご相談話も頂いたりして、教育とセットで援助したり実施したりもしました。)
7. その他
AI/LLM におけるバグバウンティ
最近では AI/LLM 周りにおけるバグバウンティプログラムも開始されるようになりました。
実際に、Google が Gemini や NotebookLM などの AI 製品に対するバグバウンティプログラムを開始したり、Microsoft が Copilot に対するバグバウンティプログラムを開始したりしています。
ちなみに、OpenAI や Anthropic などもバグバウンティプログラムを開始しています。
また、huntr という AI/ML 向けバグバウンティプラットフォームも存在します。
海外バグバウンティプラットフォームの日本進出
HackerOne は、2025年9月に日本市場への本格参入を発表しました。
また、プライバシーテック領域をリードする Priv Tech が、昨年の2024年に HackerOne や Bugcrowd とパートナーシップを締結しているそうです。
個人的には、海外のバグバウンティ文化が日本でも広がりを見せており、ポジティブな印象を持っています。
バグハンター視点の話・醍醐味
その魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味 | レバテックラボ(レバテックLAB)
8. 終わりに
本稿では、サイバーセキュリティの取り組みの一環で、バグバウンティ制度の活用状況について紹介しました。
個人の感想(まとめ)
バグバウンティプラットフォームの活用
- 多数のバグハンターにより、期間が絞られた一次的な脆弱性診断では検知が難しい脆弱性を発見して修正できるため、継続的なリスク排除施策として良い取り組みだと思います。
- 開発プロセスごとに「リリース前に脆弱性診断の限定実施」 → 「リリース後にバグバウンティの継続実施」という分け方で認識して、未知の脆弱性まで排除できる体制を取り入れてみると良さそうと思います。
- バグハンターの取り組みの成果対価として、ある程度の報奨金額を設定することで、モチベーションの高いバグハンターが取り組みやすくなるため、適切な報奨金額を設定することをオススメします。
社内バグバウンティ制度
- セキュリティ分野へのキャリアアップのきっかけや、セキュリティ文化の浸透などの点で、良い取り組みだと思います。
- 正しくリスクを認識する意味合いで、社内で守りのセキュリティ視点を持つ者だけでなく、攻めのセキュリティ視点を持つ者が増えることは良い傾向だと思います。
- 社内イベント感覚で、期間限定かつ報奨金付きで実施する方が、参加者側も運営側もやりやすいと思います。
- セキュリティ教育(バグハンティングやセキュア開発)もセットで実施することがより効果的な施策だと思います。
ここまでお読みいただきありがとうございました。
