世界70万人のホワイトハッカーコミュニティ「IssueHunt」、企業システムのバグ発見サービスに参入

SHARE:
Image credit: BoostIO

IssueHunt」は、2018年6月に BoostIO がローンチしたオープンソースのバグ修正をクラウドソーシング的に依頼できるプラットフォームだ。オープンソース開発者が GitHub 上のレポジトリを IssueHunt に登録し、ユーザからバグ報告をもらってバグ修正を効率化できるこのサービスは、開始から4年を経てユーザ数は70万人を超えた(海外ユーザが9割超)。

BoostIO はこれまで、オープンソースを対象にのみ IssueHunt を提供してきたが、今回新たに、企業向けにもこのサービスを立ち上げたことを明らかにした。ホワイトハッカーの力を企業のシステム開発に借りることで、エンタープライズセキュリティの向上と作業効率化を狙う。企業はバグを見つけてくれたユーザ(コントリビューター)に対し、IssueHunt を通して報奨金を支払う。

Image credit: BoostIO

BoostIO はあわせて、日本初のバグバウンティプラットフォームを立ち上げた経験を持つ、サイバーセキュリティ専門家の高野聖玄氏がアドバイザーに就任したことも明らかにした。また、本日開催の IVS 2022 NAHA のピッチコンペティション「LaunchPad」でもファイナリストとして登壇する14社の1社に選ばれたそうだ。

IssueHunt のローンチから4年。ユーザ数は70万人にまで増え、海外ユーザが90%を超えるなど、グローバルサービスとして、順調に成長にしているかに見える。企業向けのバグ発見サービス、俗にバグバウンティと呼ばれるこの仕組みをなぜ今始めるのか、社会情勢やトレンドも含め、BoostIO の横溝一将氏に伺った。

ポッドキャスト全文

ということで、横溝さん、こんにちは。BoostIO がローンチしたのは、だいぶ前ですかね?

横溝:IssueHunt というプロダクトをローンチしたのは2018年でして、元々オープンソースプロジェクト向けの報奨金サービスとしてローンチしたところが始まりになります。今回バグバウンティサービスをローンチするんですが、その名前も IssueHunt のまま使う感じになります。

どこか何かが進化するんですか?

横溝:はい。まず、先にバグバウンティという仕組みを軽く説明させていただくと、セキュリティの脆弱性診断をしたい企業様とのホワイトハッカーをつなぐプラットフォームの役回りを僕たちがご提供します。

仕組みとしましては、ホワイトハッカーの方々が脆弱性を見つけて企業様に報告をすることで、企業様から謝礼をいただくといった形でして、このモデルがもうバグバウンティという名前で、欧米、特にアメリカでは、もう完全に普及期に入っています。

いわゆる先進的なシリコンバレー企業のかなり多くが今も実証していまして、その反面m日本ではまだまだ実証されているところが少ない。今回それで参入を決めたというのが経緯です。

アメリカでは結構メジャーなんですか?

横溝:そうですね。もう完全に普及期に入っていると言って過言ではないかなと思ってますね。例えば、エンタープライズ企業ですと、Paypal とか、AT&T とかもやっていますし、Uber とか Airbnb とかもやっていまして、本当に先端的な企業からエンタープライズまで幅広く実証されています。

御社でサービスを開始されてから4年ぐらい経っているんですけれども、バグバウンティがそもそも大企業はともかく、スタートアップにもそんなに定着していないのって、どういう理由があるんですかね?

横溝:やはり一つ大きな要因としてあるのが、プラットフォームが日本に無いっていうところはあるかなと思っています。

BoostIO 横溝一将氏
Image credit: BoostIO

御社がありますよね?

横溝:いえ、オープンソースに関しましては、バグバウンティというよりは、今風に言うと、Conribute to Earn のようなサービスでして、オープンソースプロジェクトに対してコントリビューションすることで、お金をもらえるっていうものが2018年にローンチしたものです。

一方、今回ローンチするのは。シンプルに、企業様の、オープンソースとかは全く関係なく、動いているプロダクションの Web サービスとかアプリケーションとかの脆弱性を見つけて、報告するとお金がもらえるような仕組みです。

なるほど。オープンソース関係なく、エンタープライズでガリガリに使われているようなアプリであるとか、そういったものも試してで、それでバグの報告を上げると報酬が手に入ると。

横溝:はい。日本にはそのプラットフォームがまず存在しなくて、もちろん、アメリカにはもう HackerOne とか、Bugcrowd とか、数百億調達しているようなプレーヤーもいるんですけれども、日本企業がこれらを導入しようとすると、ものすごくハードルが高い。

まずそもそも全部英語で、カスタマーサポートもちろん英語ですし、請求書支払とかも対応していないです。日本の商習慣に合ってないようなところもありますので、正直なところ、ああいったサービスを日本の企業様が使うのは、かなりハードルが高いかなと思っています。

実際、7月8日に正式にサービスインするわけですが、これまでにテストベースで入ってきている企業さんは、大手とか、スタートアップとか、どんな企業が興味を示している感じですか?

横溝:今のところ、スタートアップというよりも、ポスト IPO 企業の方がバグバウンティには相性がいいかなと思っています。と言いますのも、いわゆる従来からある委託型の脆弱性診断をやってらっしゃる会社はたくさんあると思うんですが、まずあれをやっていただいて、そのアドオンとしてバグバウンティをやっていただくポジショニングが一番最適であると考えています。

その理由は、脆弱性診断は比較的高くて、数百万円とか数千万円とかしますので、それを定常的にに実施するのはコストの面からかなり難しいところがあります。したがって、年度毎とか、2〜3年に一度とか、大きなアップデートの前とかに一回依頼してやっていただいて、その診断と診断の間の機能追加によって生み出されてしまう脆弱性を、常に外部の目にさらして報告を受けられる、かつ成果報酬型で診断を行うことができる、というところのポジショニングが一番最適かなと思っております。

ですので、今はポスト IPO 企業様をターゲットにご紹介をさせていただいています。

特にその日本企業にとって合うかどうかっていう観点で言うとですね、自分のところのアプリの脆弱性をさせてもらうっていうのは、ある日後恥ずかしいというか、晒す部分がありますよね。もちろん、それによって問題が解決すればいいんですけれども、その辺ってアレルギーとかあったりしないんですかね?

横溝:それは間違いないと思ってまして、一番多くいただく質問・懸念がそこになります。バグバウンティの本質というのは、バグバウンティをやろうかやらまいが、脆弱性ある時はあるので、それをあの悪意あるハッカーが悪用して、例えばもう個人情報をブッコ抜いてダークウェブに販売したりとか、そういった事件も実際発生していますので、そういった事件が起きる前に、全員のホワイトハッカーの方々に診断をしていただいて謝礼をお渡しすることで悪用される前に防ぐ。これがバグバウンティの本質かなと思っております
ので、この文化自体も広げていく必要があるかなと考えています。

(今回のサービスローンチは)IssueHunt の範囲を広げるという理解でいいんですかね。今まではオープンソースのみだったけれども、それがエンタープライズ系の企業さんも対象になるということになるんですけども、この広げようと思ったきっかけは、何か出来事があったんですか?

横溝:IssueHunt を2018年に6月にローンチした時に、わりとすぐにユーザさんが広がっていったんですね。著名なオープンソースプロジェクトも数多く、現在、25,000件くらい登録をいただいていますし、バイネームであげると、めちゃくちゃ有名なオープンソース開発者の方々も登録をいただいたところが一番最初のステップで発生したことになります。

その後、いわゆるお金を稼ぐために IssueHunt に登録してコントリビューションするような方々も多く登録をしてきまして、でそういった方々のプロフィールを確認したところ、例えば HackerOne とか Bugcrowd とか、海外のバグパンティプラットフォームに登録をしていたことがわかりました。

アメリカであれだけバグバウンティが流行ってるのに、日本ではまだ全然名前すら知られてないような状況ですので、このサービスを横展開し、サイバーセキュリティはもう国としても取り組まないような時かなと思ってますので、日本のサイバー空間は安全にするところに寄与できればいいなと思って今回参入を決めました。

いくつか Web 系のアプリに関していうと、脆弱性のテストをするようなプラットフォームって、いくつか出てきてはいるんですけど、もちろん、脆弱性のテストはできるんだけれども、それをどこを直せばその問題が解決できるのかっていうところを提示するところまでなかなか至っていなくて、それを自動ではなかなか難しいし、どうしても人の手がかかる部分だと思うんです。

そういう点でいうと、今回の Issue Hunt は、オープンソースでやってらした当初の機能と一緒で、ここを直せば直るよ、っていうところまで含めて提示するようなイメージなんですかね?

横溝:そうですね。ここは完全に企業様のニーズに合わせることが可能でして、基本的にはあくまで報告を受け取る場所として使っていただくところがまず前提としてありますが、ホワイトハッカーの方々に直すところまで、どうやったら直せるのか教えてくださいといった、提案も書いていただくことは可能です。一応対応はできますが、そこはやっぱりバグを見つけるのと直すのはまた別のスキルっていうところがありますので、期待値はそうですね、やってみないとわからないとこは正直あります。

もちろん直せたら、ひょっとしたら、そソースコードを公開しなきゃいけないかもしれないし、もしくはすごいホワイトハッカーの人がいたら、リバースエンジニアにしてやっちゃうかもしれませんが、それはケースバイケースですね。料金もケースバイケースですか?

横溝:ありがとうございます。料金設定に関しましては、まず月額基本料金は無料でご提供させていただきます。で、ホワイトハッカーに支払う謝礼の20%をアドオンで企業様から手数料として当社に頂くところがビジネスモデルになっております。

企業様から一回当社の方にホワイトハッカーの謝礼と手数料を合計した金額を銀行払いでお支払いいただきます。うちにユーザ(ホワイトハッカー)は95%くらいが、海外からというところもあり、当社からユーザさんに対しての海外送金を行うとか、そういった送金機能も当社がプラットフォームとして担う形になります。

エスクロー的に一回お金をお預かりして、一定期間を置いたとしても、万が一誰からもなんかそのバグに対する指摘が上がってこなかったりした場合に関しては、お金は依頼された企業に戻すっていう感じになる?

横溝:はい。一応、付加価値とし、セキュリティエンジニア採用支援機能までご提供する予定でして、ホワイトハッカー側が登録をする時にジョブオファーを受け取るかどうかを選ぶことができます。受け取る設定にしているホワイトハッカーの方に対しては、企業様からあのジョブオファーを直接 DM でお送りいただく機能と、あと企業様のページに求職者情報をジョブボードでで掲載できる機能までご提供させていただく予定です。

当社は HR 企業ではありませんので、紹介手数料とかは無しでご提供させていただくんですけれども、この採用支援機能をお使いいただく企業様に関しましては月額20万円をお支払いいただきます。

紹介手数料は発生しないけど固定金額が発生するということですね。人数にかかわらずということですね。

横溝:プログラムの種類でちょっと一点だけ補足をさせていただくと、こういった脆弱性診断プログラムを表に出したくない企業様も間違いなくいらっしゃると思っていて、今もご提案させていただく中で、表に出したくないニーズがほぼ全てですので、プログラムの種類としまして2種類用意しています。

一つはパブリックで、これは誰でも見れまして誰でも報告できるっていうもの。もう一つはプライベートプログラムというオプションも用意しておりまして、こちらは企業様が招待したホワイトハッカーの方だけがプログラムページも見れて、報告も行うことができるというものです。当社の方からあのホワイトハッカーの方々を数十人、数百人ご推薦させていただくところも無料であのカスタマーサポートとしてやらせていただきます。

そうすると、誰かがもバグのレポートが上がってこないってことは、ほぼないということですね。

横溝:考えづらいですね。今ローンチキャンペーンをやっておりまして、7月末までにご契約をいただいた企業さまに関しましては、ホワイトハッカーへの支払総額50万円までは、利用料金完全無料でご提供させていただきます。ですので、採用支援機能とか、報奨金の手数料とかも、無料でご提供させていただければと思っております。

あと社内版バグバウンティにもご対応をさせていただく予定でして、例えば NTT コミュニケーションズ様とかは社内メンバーだけでバグバウンティを実施されたりしております。たまにそういう要望もいただいておりまして、例えば社内の人たちだけでバグバウンティを実施したい、っていうケースもご対応をすることが可能です。

この場合は個社毎に対応させていただければと思っているん!ですけれども、例えば報奨金はもちろんなしでご提供させていただいてポイントを付与するとか、そういったところでインセンティブ付けをしていただいて、人事評価等に使っていただくとよろしいのかなと思っているところがあります。

その場合は、環境は特にオンプレとかではなくて、あくまで Issue の今の SaaS で動くモデルをそのまま使っていただくわけですね。ただ、表に対しては、報告をするためのページをオープンにしてませんということですね。

以前の IssueHunt(オープンソース版)だと報酬は米ドルだったと思いますが、今回はバグバウンティ版ではどうなりますか?

横溝:今回は完全に日本円でご提供させていただく予定になります。

クリプト(仮想通貨)とかの予定も特にない?

横溝:そうですね。むしろ、オープンソース版の方にクリプト対応をする予定になっておりまして、それもわりと近いうちに実は実施しようかと思っています。あと、社会情勢で一個大きなところが、クレジットカード事業者が準拠するガイドラインであるん PCI DSS の今年3月のアップデートでバグバウンティの利用が推奨されております。

特にフィンテック企業様ですとか、そういった企業様にやはりこれまではバグバウンティをやりたくても、海外のプラットフォームしか無いっていうところがありましたので、そこで日本製のプラットフォームを安心してお使いいただけるようなところもご提供させていただければなと考えております。

へー、初耳ですね。あまりフィンテック業界でその手の話を聞かないんでしが、PCI DSS って今、バージョン 4.0 とかですかね。それはすごいですね。追い風ですね。フィンテックと相性がいいと。

横溝:そうですね。言わば、バグバウンティプログラムというのは、言ってしまえば、ペネトレーションテストのクラウドソーシングのようなものなので、PCI DSS 準拠企業様には、いい感じでお使いいただけるんじゃないかなと思います。