注目の研究テーマ

報奨金2200万円も! 【バグバウンティ】でサイバー攻撃からデジタル社会を守れ! 高校生も参加できる

サイバー空間と物理空間が融合するSociety 5.0の世界では、ソフトウエアの悪用可能なバグ、脆弱(ぜいじゃく)性が存在すれば、社会インフラが停止し、時には人命にも影響が及びます。いち早く脆弱性を発見するため、「バグバウンティプログラム(バグ報奨金制度)」が注目されています。

「バグバウンティ」とは? セキュリティーに詳しい外部技術者に「バグ」を見つけてもらう試み

ITに依存する社会では、システムに脆弱性が明らかになると、サイバー攻撃を受けるなど重大な影響を及ぼすおそれがあります。実際に、生活する上で必要不可欠であるエネルギー網や病院などの重要インフラが、サイバー攻撃により機能停止に陥り、大混乱が生じる事件も発生しています。

サイバー攻撃者や犯罪者によって弱点を見つけられ、悪用されるより前に、いち早く「バグ(不具合)」や「脆弱性」を発見、修復するために注目されているのが、バグバウンティプログラムです。

バグとは、ソフトウエアの開発において生じた不具合のことで、特にセキュリティーなどの問題につながるようなバグを脆弱性と呼びます。バウンティとは報奨金のこと。つまり、バグを見つけて報奨金を得るという取り組みがバグバウンティプログラムです。

セキュリティーなくして「Society 5.0」の実現はありえない

Society 5.0を実現した社会では、IoT(モノのインターネット)ですべての人とモノがつながり、情報を共有することであらたな価値を生み出します。人工知能(AI)やロボットなどを活用することも期待されています。

一方、システムやデータへの依存度が一気に高まります。エネルギーや交通機関、金融、医療など社会を支える重要インフラもネットワークへ接続し、デジタル化が進みますが、もしシステムに不具合が生じたり、サイバー攻撃を受ければ、社会そのものが機能不全に陥り、大混乱を引き起こしかねません。

システムにおいて重大な問題が生じないよう、悪用される前にセキュリティー上のバグである脆弱性を見つけ、修正しなければなりません。そこで注目されているのが、セキュリティーに詳しい技術者に力を借りるバグバウンティプログラムです。

バグバウンティプログラムが生まれた背景

バグバウンティプログラムについて詳しく見ていきましょう。このプログラムは、ソフトウエアの不具合である脆弱性を発見し、最初に報告した人に対して報奨金を支払う制度です。そして探し出す人々は「バグハンター」などとも呼ばれています。

ソフトウエアの機能は、ますます複雑になり、バグがないソフトウエアを開発することは困難となっています。顧客に安全にソフトウエアを使ってもらうため、多くの企業がいかに脆弱性をなくすかに苦心しています。

そこで登場したのがバグバウンティプログラムです。報奨金を出すことで、世界中の多くの技術者によって脆弱性がないかと調査されます。それにより、「攻撃者が見つけ出すより、早く探し出してバグをつぶしてしまおう」という狙いです。

労力を費やした技術者も、対価となる報酬を得られるメリットがあります。また多くの技術者がしのぎを削り、問題を見つけて報告して表彰されることは、技術者としてのモチベーションとなりますし、キャリアアップにもつながります。

あの超有名企業が導入、報奨金も充実

現在、公的機関や企業など多くの組織がマイクロソフトのWindowsを搭載したパソコンを利用しています。もしそこに重大なバグが存在すれば、当然ながらサイバー攻撃などにも狙われ、大きな事故を引き起こしてしまいかねません。

マイクロソフトでは、多くのセキュリティー専門家を雇用し多額の投資を行っていますが、それでも毎月脆弱性が判明しており、繰り返しアップデートが行われています。

そこでマイクロソフトがより多くの脆弱性をいち早く把握し、修正するため、バグバウンティプログラムを導入しています。2020年は341人より1261件報告されました。

2020年にマイクロソフトが支払った報奨金の額はいくらだと思いますか? なんと1360万ドル。日本円に換算すると約15億円となります。2019年にも1370万ドル支払っており、特に2020年が特別多かったわけではありません。

バグの深刻さ、影響度によって報奨金の金額は変化しますが、マイクロソフトが2020年に脆弱性1件に対して支払ったもっとも多い報奨金は2200万円に及んでいます。

バグバウンティプログラムをすべての企業が実施しているわけではありませんが、外部技術者の力を借りる動きはますます加速しています。海外ほどではありませんが、国内でもいち早く取り組みをはじめたサイボウズをはじめ、LINEなど有名企業が導入しています。

<LINE Security Bug Bounty Program -日本語版->

教育の側面を持つバグバウンティプログラム

バグバウンティプログラムでは、ただ単に技術力が問われるのではありません。ルールに従って調査を行う必要があり、倫理観を持って脆弱性と向き合う必要があります。

そのため、バグバウンティプログラムをヒントとして、大学が学びのひとつとしてコンテストを取り入れるケースも出始めました。

千葉大学が学生対象のコンテストを開催!

千葉大学では、倫理観など含めたセキュリティーの専門家を育てるため、2016年より毎年学内の学生を対象とした「セキュリティバグハンティングコンテスト」を開催しています。

まさに海外で開催されているバグバウンティプログラムをモデルとした試みで、指定したシステムから脆弱性を探し出す技術を競います。

参加にあたっては、あらかじめ大学の講習会を受講して「ハンターライセンス」を取得する必要があるなど、倫理面、法律制度などを学んだ上で技術力を競うコンテストとなっています。

実益も備えた技術学習の側面

大学がコンテストなど実施していなくとも、大学生として情報システムやセキュリティーを学校で研究する傍ら、一般に開催されているバグバウンティプログラムにチャレンジしてみるのも良いでしょう。実践の場で最新の技術動向を知るヒントになるはずです。

もしバグを見つけることができれば、報奨金も得られますし、セキュリティー技術者としての実績にもなり、就職の際にアピールにもなります。

高校生でも目指せる!?「バグハンター」

「バグハンター」を目指すことに特別な資格が必要なわけではありません。大学に入学していなくとも、高校生が趣味のひとつとして取り組んでも良いのです。

ただし脆弱性が悪用されてしまえば、社会に大きな影響を及ぼしかねず、慎重に取り扱う必要がある情報です。きちんとした手続きを踏まず、勝手に一般に公開すれば、混乱を引き起こすだけでなく、違法となる場合もあります。

また無許可の環境でむやみに脆弱性を探し出そうとして誤動作を起こさせたり、動作を妨害するような行為などを行えば、犯罪として処罰されるおそれがあります。

脆弱性を扱う際は、倫理観を持って行い、法律違反とならないよう注意してください。バグバウンティプログラムに参加する場合は、必ず条件を確認し、ルールを守って参加しましょう。

また発見、報告する際の一般的なルールは、情報処理推進機構(IPA)が「情報セキュリティ早期警戒パートナーシップガイドライン」を公開しています。バグハンターを目指すのであれば、目を通しておいても良いでしょう。

システムの「バグ、脆弱性」を学ぶことができる大学

脆弱性は、システム開発やセキュリティーなどと関連深いテーマです。セキュリティーを学ぶ大学に行けば、関連した技術を学べます。

立命館大学 情報理工学部

学科内には7コースがあり、情報システムやネットワーク技術をはじめ、セキュリティー、暗号技術など学ぶ「セキュリティ・ネットワークコース」が設置されています。システム開発やセキュリティー対策など安全なシステムの実現に向けた技術を学ぶカリキュラムなどが充実しています。

立命館大学 情報理工学部
http://www.ritsumei.ac.jp/ise/

東京電機大学 未来科学研究科

学科内に設置される情報メディア学専攻では、安全なコンピューターやネットワークなどの技術を学ぶ「ネットワーキング・コンピューティング部門」やサイバー攻撃の対策技術を研究する「サイバーセキュリティ部門」があります。制度やマネジメントに関する研究なども行っています。

東京電機大学 未来科学研究科
https://www.dendai.ac.jp/about/graduate/mirai_kagaku/