「バグバウンティプログラム」とは、“バグハンター”と呼ばれる参加者にインターネット公開システムのバグを見つけて報告してもらい、その内容に対して報奨金を支払う仕組みのことです。NTTコミュニケーションズ株式会社(以下、NTT Com)では、これを2020年から社内限定で導入し、「NTT Com Bug Bounty Program」(以下、プログラム)として社員参加型で実施してきました。過去2回のプログラムでは延べ51人の社員が参加し、複数のバグ修正につなげています。バグバウンティの文化を根付かせようと社員が協力し合ったことで、今月、第3回プログラムが開催されます。継続的な開催につなげてきた社員の思いと歩みをご紹介します。
セキュリティの新たな強化策「バグバウンティプログラム」
バグを報告した人は報奨金や名誉を獲得でき、システム運営者も自社システムのセキュリティ強化が図れるというこのWin-Winの仕組みは、1980年代から実施され始め、今や世界的に広がりをみせています。
プログラムの目的は、インシデントが発生する前にバグを修正し、お客さまに一層堅牢なサービス・システムを提供すること。サービスやシステム開発の担当者にとっては、バグが見つかることへの後ろめたさや対応稼働への懸念があるかもしれませんが、バグをいち早く修正することで結果的には稼働を削減させることになり、お客さまからの信頼獲得にもつながります。インターネット公開システムは、常に攻撃にさらされるため、多面的なバグ対応を実施する必要があります。NTT Com 情報セキュリティ部では、新たな強化対策としてバグバウンティプログラムを導入することにしました。
プログラムを実施するには、人事面、法務面、制度設計などさまざまな課題をクリアする必要があります。服務の整理はヒューマンリソース部、規約のレビューは法務監査部、報奨金の支払いに関しては財務部の皆さんが、準備の段階から親身になって協力してくれました。また、情報セキュリティ部のメンバー(異動していった方も含む)も、多くの助言をしてくれ、2020年12月に実現にこぎ着けました。
過去2回の開催状況
第1回バグバウンティプログラム
第1回プログラムは、年末年始の休暇中に調査に参加してもらえるよう、2020年12月21日~2021年1月13日までの計41日間で実施しました。参加者数は、バグハンターが38人、3システムと、事務局の想定を上回りました。初めての取り組みで未知の部分も多い中、先駆けとして参加してくださった皆さんには感謝の念に堪えません。
期間中に報告されたバグは6件。いずれも、事務局で検証し、再現性が確認できたものについては、システム主管と調整しつつ評価を行いました。最終的に、6件中2件が報奨金の対象となり、報告者には規約で定めた金額をお支払いしました。各システム主管の皆さんも非常に協力的で、評価決定までのプロセスが円滑に進み、迅速な支払いを行うことができました。
第2回バグバウンティプログラム
第2回プログラムは、2021年6月4日~7月6日までの34日間で実施しました。参加したバグハンターは13人、2システムでした。第1回と異なり、事前の参加登録期間を設けずに調査を開始しましたが、バグなどの報告件数は13件と第1回を上回りました。そのうち、報奨金対象は10件。このほか、報奨金の対象外でしたが、システムの仕様に関わる内容もあったため、システム主管にお伝えしました。
参加者の思いに支えられ成長するNTT Comのバグバウンティカルチャー
NTT Comのバグバウンティプログラムは、「プログラムが社内に根付き成長していってほしい」という参加者の思いによって支えられ、回を追うごとに充実してきています。参加者の自発的な取り組みを2つご紹介します。
参加者の交流用チャンネル「#bugbounty」
第1回プログラムの開催時には、参加者の皆さんがSlackの専用ワークスペースの中で自発的に交流用チャンネル「#bugbounty」を作り、プログラムに関するさまざまな意見を寄せてくださっています。頂いたご意見などは真摯に受け止め、より良いプログラムになるよう、改善につなげていきます。
バグバウンティプログラム勉強会
第1回プログラムの終了後、プログラムに参加しHall of Fameに入られたNTT Com マネージド&セキュリティサービス部の閏間修一主査から、プログラムへの参加を迷われている方々を後押しするため、自身の参加体験を社内に発表したいとのご提案を頂きました。
体験談を紹介してもらうには、発見したバグの詳細にも触れてもらう必要があります。そこで、参加システムの主管の皆さんにバグの詳細情報を社内に公開することについて相談したところ、バグバウンティの文化が根付くきっかけになれば、ということでご快諾を頂きました。閏間主査からのご提案や、システム主管の皆さんの前向きな判断に対して、事務局のメンバーの誰もが、バグバウンティの取り組みとバグに対する前向きな意識を社内に浸透させていきたいという思いを新たにしました。
こうして、勉強会の開催が2021年6月に決定。告知したところ、さまざまな組織から24人の参加がありました。当日は、「バグバウンティとは?」というプログラムのお話のほか、閏間主査が見つけたバグ2件の詳細解説を行いました。参加者からは、「プログラム参加への一層のモチベーションアップにつながった」との声が寄せられました。こうした参加者同士が交流できる場は、今後も提供していきたいと考えています。
NTT Comでは1月下旬から、第3回プログラムがスタートしています。今後も、お客さまに安心してサービス・システムをご利用いただけるよう、取り組みを継続し堅牢性を高めていきたいと思います。