脆弱性報奨金制度(バグバウンティ)プラットフォーム利用【ソフトウェアメーカー】 
自社製品のセキュリティ脆弱性を発見してくれたホワイトハッカーに対し、報奨金を支払う制度を導入する施策です。BugcrowdやHackerOneなどのプラットフォームを利用して外部の目を入れることで、社内テストでは見つけられなかった未知の脆弱性を発見・修正します。セキュリティに対する自信と透明性を対外的にアピールできます。
 職種 |
情報システム |  施策難易度 |
★☆☆☆☆ |
|---|---|---|---|
 業界① |
IT・情報通信 |  目的 |
セキュリティ強化 |
| 業界② |
ソフトウェアメーカー |  対象 |
CTO セキュリティチーム リスク管理部門 |
 費用 |
200〜1000万円 |  実施期間 |
90 |
主なToDo
- 対象範囲(スコープ)と報奨金ルールを明確に定義する
- 報告された脆弱性を検証・修正する社内体制(PSIRT)を整備する
- プラットフォーム事業者と契約し、プログラムを公開する
期待できる効果
外部のホワイトハッカーによる検証機会を設けることで、社内テストをすり抜ける未知の脆弱性を早期に発見。高いセキュリティ意識と透明性を対外発信し、ブランドへの絶対的な信頼と安全性を証明します。
躓くところ
報奨金支払いのための適正な予算枠の確保と、寄せられた報告の技術的妥当性を瞬時に判断する社内エンジニアの工数確保が困難です。不適切な報告をフィルタリングする運営ノウハウの蓄積も課題です。
狙えるチャネル
