世界70万人のホワイトハッカーコミュニティ「IssueHunt」、企業システムのバグ発見サービスに参入

SHARE:
Image credit: BoostIO

IssueHunt」は、2018年6月に BoostIO がローンチしたオープンソースのバグ修正をクラウドソーシング的に依頼できるプラットフォームだ。オープンソース開発者が GitHub 上のレポジトリを IssueHunt に登録し、ユーザからバグ報告をもらってバグ修正を効率化できるこのサービスは、開始から4年を経てユーザ数は70万人を超えた(海外ユーザが9割超)。

BoostIO はこれまで、オープンソースを対象にのみ IssueHunt を提供してきたが、今回新たに、企業向けにもこのサービスを立ち上げたことを明らかにした。ホワイトハッカーの力を企業のシステム開発に借りることで、エンタープライズセキュリティの向上と作業効率化を狙う。企業はバグを見つけてくれたユーザ(コントリビューター)に対し、IssueHunt を通して報奨金を支払う。

Image credit: BoostIO

BoostIO はあわせて、日本初のバグバウンティプラットフォームを立ち上げた経験を持つ、サイバーセキュリティ専門家の高野聖玄氏がアドバイザーに就任したことも明らかにした。また、本日開催の IVS 2022 NAHA のピッチコンペティション「LaunchPad」でもファイナリストとして登壇する14社の1社に選ばれたそうだ。

IssueHunt のローンチから4年。ユーザ数は70万人にまで増え、海外ユーザが90%を超えるなど、グローバルサービスとして、順調に成長にしているかに見える。企業向けのバグ発見サービス、俗にバグバウンティと呼ばれるこの仕組みをなぜ今始めるのか、社会情勢やトレンドも含め、BoostIO の横溝一将氏に伺った。

ポッドキャスト全文

ということで、横溝さん、こんにちは。BoostIO がローンチしたのは、だいぶ前ですかね?

横溝:IssueHunt というプロダクトをローンチしたのは2018年でして、元々オープンソースプロジェクト向けの報奨金サービスとしてローンチしたところが始まりになります。今回バグバウンティサービスをローンチするんですが、その名前も IssueHunt のまま使う感じになります。

どこか何かが進化するんですか?

横溝:はい。まず、先にバグバウンティという仕組みを軽く説明させていただくと、セキュリティの脆弱性診断をしたい企業様とのホワイトハッカーをつなぐプラットフォームの役回りを僕たちがご提供します。

仕組みとしましては、ホワイトハッカーの方々が脆弱性を見つけて企業様に報告をすることで、企業様から謝礼をいただくといった形でして、このモデルがもうバグバウンティという名前で、欧米、特にアメリカでは、もう完全に普及期に入っています。

いわゆる先進的なシリコンバレー企業のかなり多くが今も実証していまして、その反面m日本ではまだまだ実証されているところが少ない。今回それで参入を決めたというのが経緯です。

アメリカでは結構メジャーなんですか?

横溝:そうですね。もう完全に普及期に入っていると言って過言ではないかなと思ってますね。例えば、エンタープライズ企業ですと、Paypal とか、AT&T とかもやっていますし、Uber とか Airbnb とかもやっていまして、本当に先端的な企業からエンタープライズまで幅広く実証されています。

御社でサービスを開始されてから4年ぐらい経っているんですけれども、バグバウンティがそもそも大企業はともかく、スタートアップにもそんなに定着していないのって、どういう理由があるんですかね?

横溝:やはり一つ大きな要因としてあるのが、プラットフォームが日本に無いっていうところはあるかなと思っています。

BoostIO 横溝一将氏
Image credit: BoostIO

御社がありますよね?

横溝:いえ、オープンソースに関しましては、バグバウンティというよりは、今風に言うと、Conribute to Earn のようなサービスでして、オープンソースプロジェクトに対してコントリビューションすることで、お金をもらえるっていうものが2018年にローンチしたものです。

一方、今回ローンチするのは。シンプルに、企業様の、オープンソースとかは全く関係なく、動いているプロダクションの Web サービスとかアプリケーションとかの脆弱性を見つけて、報告するとお金がもらえるような仕組みです。

なるほど。オープンソース関係なく、エンタープライズでガリガリに使われているようなアプリであるとか、そういったものも試してで、それでバグの報告を上げると報酬が手に入ると。

横溝:はい。日本にはそのプラットフォームがまず存在しなくて、もちろん、アメリカにはもう HackerOne とか、Bugcrowd とか、数百億調達しているようなプレーヤーもいるんですけれども、日本企業がこれらを導入しようとすると、ものすごくハードルが高い。

まずそもそも全部英語で、カスタマーサポートもちろん英語ですし、請求書支払とかも対応していないです。日本の商習慣に合ってないようなところもありますので、正直なところ、ああいったサービスを日本の企業様が使うのは、かなりハードルが高いかなと思っています。

【ここからはBRIDGE Members(会員)の方のみご覧いただけます】

続きを読む

BRIDGE Members

BRIDGEでは会員制度「BRIDGE Members」を運営しています。会員向けコミュニティ「BRIDGE Tokyo」ではテックニュースやトレンド情報のまとめ、Discord、イベントなどを通じて、スタートアップと読者のみなさんが繋がる場所を提供いたします。登録は無料です。
  • テックニュース全文購読
  • 月次・テーマまとめ「Canvas」
  • コミュニティDiscord
  • イベント「BRIDGE Tokyo」
無料メンバー登録