バグバウンティとは何ですか？

ソフトウェアやWebサービスの脆弱性を発見した外部のセキュリティ研究者に報奨金を支払う制度。企業が自力では見つけられない脆弱性を発見する有効な手段

バグバウンティのポイントは？

外部のセキュリティ研究者がバグ（脆弱性）を報告すると報奨金がもらえる制度。Google、Apple、Microsoftなど大手テック企業が積極的に運営している。HackerOne、Bugcrowdなどのプラットフォームが仲介役として機能。重大な脆弱性には数百万〜数千万円の報奨金が支払われることもある

【ばぐばうんてぃ】

バグバウンティとは？

💡 脆弱性を見つけてくれたら「お礼」を払う制度

📌 このページのポイント

外部のセキュリティ研究者がバグ（脆弱性）を報告すると報奨金がもらえる制度
Google、Apple、Microsoftなど大手テック企業が積極的に運営している
HackerOne、Bugcrowdなどのプラットフォームが仲介役として機能
重大な脆弱性には数百万〜数千万円の報奨金が支払われることもある

バグバウンティのイメージ

ひよこ

バグバウンティって誰でも参加できるの？

ペンギン先生

基本的にはセキュリティの知識がある人なら誰でも参加できるよ。HackerOneやBugcrowdに登録して、対象企業のプログラムに参加する形だね。ルールの範囲内でテストすることが大事だよ

ひよこ

いくらくらいもらえるの？

ペンギン先生

脆弱性の深刻度によるよ。XSSのような中程度のものは数万円〜数十万円、リモートコード実行のような重大なものは数百万円以上になることも。Googleは過去に年間で合計数十億円を支払ってるんだ

ひよこ

勝手にハッキングしてるのとどう違うの？

ペンギン先生

バグバウンティは企業が「この範囲をテストしてOK」と公式に許可しているのが大きな違い。許可なく脆弱性を探すのは不正アクセスになりかねないから、必ずプログラムのルールを確認してから始めるんだ

ひよこ

企業にとってのメリットは？

ペンギン先生

自社のセキュリティチームだけでは見つけられない脆弱性を、世界中の研究者の目で見つけてもらえること。ペネトレーションテストと比べて、継続的かつ費用対効果が高いセキュリティ対策だよ

まとめ：ざっくりこれだけ覚えればOK！

「バグバウンティ」って出てきたら「脆弱性を見つけた人に報奨金を払う制度」と思えればだいたいOK！

📖 おまけ：英語の意味

「Bug Bounty」＝バグの報奨金

💬 「Bug（バグ）+ Bounty（報奨金・懸賞金）」で、バグを見つけた人への懸賞金制度だよ

← 用語集にもどる

バグバウンティ とは？

バグバウンティとは？