【ICTスタートアップリーグ特集 #36:IssueHunt】海外では一般的なプロダクトセキュリティ対策「バグバウンティ」の国内普及を目指す、IssueHuntの挑戦
2023年度から始動した、総務省によるスタートアップ支援事業を契機とした官民一体の取り組み『ICTスタートアップリーグ』。これは、総務省とスタートアップに知見のある有識者、企業、団体などの民間が一体となり、ICT分野におけるスタートアップの起業と成長に必要な「支援」と「共創の場」を提供するプログラムだ。
このプログラムでは総務省事業による研究開発費の支援や伴走支援に加え、メディアとも連携を行い、スタートアップを応援する人を増やすことで、事業の成長加速と地域活性にもつなげるエコシステムとしても展開していく。
そこでTOMORUBAでは、ICTスタートアップリーグの採択スタートアップにフォーカスした特集記事を掲載している。今回は、企業とホワイトハッカーをマッチングする「バグバウンティング」サービスを展開するIssueHunt株式会社を取り上げる。海外では一般的だというバグバウンティについてや、現在の事業の状況、今後の展望について代表取締役の横溝氏に話を聞いた。
▲IssueHunt株式会社 代表取締役 横溝一将 氏
ーーーー
<スタートアップ解説員の「ココに注目!」>
■眞田幸剛(株式会社eiicon TOMORUBA編集長)
・IssueHuntは、日本最大級のバグバウンティ・プラットフォーム「IssueHunt」を提供しています。バグバウンティ(Bug Bounty)とは、システムやソフトウェアのセキュリティ上の脆弱性を発見し、その情報を報告してもらう外部のホワイトハッカーやセキュリティ専門家に対して報奨金を支払う仕組みのこと。同社は、海外では一般的なバグバウンティの国内普及を目指しています。
・「G-STARTUP 5th Batch」最優秀賞受賞(2022年10月)、マイクロソフト社「Microsoft for Startups」採択(2022年11月)、東洋経済「すごいベンチャー100」選出(2023年9月)など、アクセラレータープログラムや大手メディアでも注目を集めているスタートアップです!
欧米では一般的に利用されている「バグバウンティ」
ーーIssueHuntさんはバグバウンティ・プラットフォームを展開していますが、まずは「バグバウンティ」について、お聞かせください。
横溝氏 : バグバウンティは「ホワイト・ハット・ハッカー(以下ホワイトハッカー)」と呼ばれる善意のハッカーと、企業をマッチングするサービスです。企業が提供しているITサービスの多くに脆弱性が存在しており、脆弱性を無くすことは至難の業です。
しかし、現在主流となっているアジャイル開発では、アップデートを繰り返す度に脆弱性も増えてしまう傾向があり、その度に脆弱性診断を受けていてはコストもかさんでしまいます。その点、「バグバウンティ」では脆弱性が見つかった時にだけ報酬を支払うため、効率的にセキュリティを強化できるのです。
日本では耳馴染みのないサービスだと思いますが、欧米では既に一般化されており、IT企業だけでなく金融機関や政府系機関までが幅広くバグバウンティを実施しています。
ーー欧米では既に一般化しているとのことですが、いつごろからサービスが出てきたのでしょうか。
横溝氏 : 欧米では2013年ごろからサービスが始まっていますが、当初はあまり一般化していませんでした。認知度を高めるきっかけになったのが、アメリカ国防総省が主催した「Hack The Pentagon」というバグバウンティのイベントです。
世界的にも話題になり、実際に高い成果もあったため、それから有名な企業が続々とバグバウンティを利用し始めました。
ーー世界では一般化しているバグバウンティが、これまで日本で広がらなかった理由を聞かせてください。
横溝氏 : 日本ではメリットよりも、リスクを恐れる企業が多いように感じます。実際に私たちが提案した先でも「逆にハッキングされるのではないか」という不安の声をよく聞きます。また、日本のSI文化、つまり開発の外注文化も要因の一つです。
海外では自社のシステム開発を内製するのが一般的ですが、日本ではベンダーに外注する企業が多く、ITサービス提供側が自ら脆弱性の改修をすることが出来ないケースがあります。結果的に、バグバウンティも広がらなかったのではないでしょうか。
ーーバグバウンティは実際に安全なのでしょうか。
横溝氏 : まず、日本のみなさんに知ってもらいたいのは、ニュースで見かけるような悪いハッカーとホワイトハッカーは根本的に違うということ。ハッキングによって悪いことをする人たちは、第一の目的が金銭のため、お金を得るためには手段を選びません。
一方でバグバウンティに登録しているホワイトハッカーたちは、副業的に活動しており、金銭が第一の目的ではありません。もちろん報酬も重要ですが、それ以上に自分の力を世の中に活かすために活動しているため、私たちが示したガイドラインもしっかり守ってくれています。
日本でバグバウンティを広めるための課題とは
ーーバグバウンティ事業を始めたきっかけを教えてください。
横溝氏 : 私たちがバグバウンティ事業に参入したのは約2年前で、それまではエンジニア向けのツールを開発していました。海外にもユーザーを抱えており、その中にはバグバウンティで有名な企業から報酬を得ている方もいたため、バグバウンティの存在を知ったのです。海外で一般的に使われているバグバウンティを、日本でも広めたいと思い、事業をスタートすることを決めました。
ーー現在は、どのような事業課題を抱えているのでしょうか?
横溝氏 : 私たちはプラットフォームなので、ハッカーと企業の両方を集めなければなりません。そして、ハッカーを集めるには、海外のハッカーに興味を持ってもらう必要があります。本来なら日本のハッカーを集めるのが理想ですが、日本はセキュリティ人材が20万人不足していると言われており、現実的ではありません。実際に私たちのサービスに登録しているハッカーの8割は海外の方たちです。
海外のハッカーは世界中の様々なバグバウンティサービスに登録しているので、私たちのサービスにも興味を持ってもらい登録してもらう必要があります。そのためには、お金以外のインセンティブ、たとえばポイントやランキングなどを考えなければなりません。
▲「IssueHunt バグバウンティ」は、ホワイトハッカーと企業のマッチングを図るプラットフォームだ。(画像出典:プレスリリース)
ーー企業を集めるための戦略も聞かせてください。
横溝氏 : 企業側の課題は、セキュリティリテラシーです。バグバウンティ自体はキャッチーなサービスなので、興味関心を持ってくれる企業は少なくありません。しかし、どんなに現場が興味を持っても、経営陣が「セキュリティは難しいのでよく分からない」と言っていては話が進みません。
なぜバグバウンティが重要なのか、脆弱性を放置しておくとどんなリスクがあるのか説明し、セキュリティに対するリテラシーを高めていかなければなりません。
日本企業のセキュリティリテラシーを高めるために始めた新たなチャレンジ
ーー日本企業のリテラシーを高めるために、どのような取り組みをしていくのでしょうか?
横溝氏 : 一つは著名な企業の取り組みを紹介していくことです。私たちのような小さな会社には信用がありませんが、幸いなことに大企業のお客様には高評価を頂いているため、お客様の名前を借りて広報していきたいと思っています。
また、バグバウンティを広めるために、新たに企業のセキュリティ支援事業も始めました。バグバウンティはセキュリティの「最後の砦」であり、まずは自社でのセキュリティ対策が重要です。しかし、自社でセキュリティ対策をしている企業があまりにも少なかったため、その対策から支援することにしました。
ーー既存のベンダーによるセキュリティ支援との違いがあれば聞かせてください。
横溝氏 : 既存のセキュリティ支援とは、アプローチが違います。これまでは開発が終わってからセキュリティを強化するのが一般的でしたが、私たちが提供しているのは開発の中にセキュリティを取り入れたアプローチです。
一般的にセキュリティ担当者は開発のノウハウがありませんし、開発エンジニアはセキュリティのノウハウを持ち合わせていません。しかし、私たちはもともとエンジニア向けのツールを開発しており、それからセキュリティのノウハウを身につけました。
開発とセキュリティ、両方のノウハウを持ち合わせている私たちだからこそ、開発にセキュリティを組み合わせたアプローチが可能です。この手法が広がれば、セキュリティのノウハウを身に着けた開発エンジニアが増え、セキュリティエンジニアの不足も補うことができるでしょう。
ーー最後にこれからのビジョンをお願いします。
横溝氏 : 私たちのビジョンは、企業とベンダーの情報格差を埋めていくことです。セキュリティを外注する企業が多い日本では、社内にセキュリティの知識を持った人材がいないことも珍しくありません。私たちの事業が拡大することで、開発エンジニアがセキュリティの知識を見つけることになり、ベンダーとの情報格差を埋めていけるはずです。
私たちだけでは難しい大きなチャレンジだと思いますが、私たちが結果を出すことで既存のベンダーも追随してくれば、業界構造を大きく変えられると思います。
▲IssueHuntは学生のためのサイバーセキュリティカンファレンス「P3NFEST」を主催。バグバウンティはもちろん、「日本のサイバーセキュリティのレベルを一段階引き上げる」ための取り組みに着手している。(画像出典:プレスリリース)
取材後記
企業のシステムがハッキングされる度に大きなニュースになるように、セキュリティは私たちの生活にも直結する話だ。「大企業なのだから、セキュリティ対策もしっかりしているだろう」とは思っていたが、横溝氏の話を聞く限りはそうでもないらしい。これまで長く続いてきた「外注文化」を変えるのは容易ではないと思うが、安心して生活するためにもIssueHuntのチャレンジに期待したい。
※ICTスタートアップリーグの特集ページはコチラをご覧ください。
(編集:眞田 幸剛、文:鈴木光平)