脆弱性報奨金制度(バグバウンティ)【総合SIベンダー】 
自社サービスの脆弱性を発見したホワイトハッカーに報奨金を支払うプログラムを導入する施策です。外部の目を活用して未知の脆弱性を発見・修正し、セキュリティレベルを極限まで高めます。セキュリティ企業としての自信を対外的にアピールします。メリットは、セキュリティ品質の向上と、企業ブランディングです。
 職種 |
情報システム |  施策難易度 |
★★★★☆ |
|---|---|---|---|
 業界① |
IT・情報通信 |  目的 |
PR 品質向上 |
| 業界② |
総合SIベンダー |  対象 |
セキュリティ |
 費用 |
300〜2000万円 |  実施期間 |
90 |
主なToDo
- 対象範囲(スコープ)と報奨金額を定義する
- 脆弱性報告を受け付けるプラットフォーム(Bugcrowd等)と契約する
- 報告された脆弱性を迅速に修正する体制を作る
期待できる効果
バグバウンティの導入により、世界中の知見を活用して未知の脆弱性を早期発見・修正。セキュリティ企業としての姿勢を対外的にアピールし、ブランド価値を高めるとともに、大規模な情報漏洩事故に伴う数億円単位の損害を未然に防ぎます。
躓くところ
脆弱性の報告に対する検証・修正フローが追いつかなくなる恐れや、報奨金目的の低品質な報告への対応工数が増大します。また、報奨金の予算管理が難しく、重大な脆弱性が多数発見された際の財務的インパクトを想定しておく必要があります。
狙えるチャネル
