TOMORUBA
会員登録

事業を活性化させる情報を共有する
コミュニティに参加しませんか?

AUBA
  1. Tomorubaトップ
  2. ニュース
  3. 【ICTスタートアップリーグ特集 #36:IssueHunt】海外では一般的なプロダクトセキュリティ対策「バグバウンティ」の国内普及を目指す、IssueHuntの挑戦
【ICTスタートアップリーグ特集 #36:IssueHunt】海外では一般的なプロダクトセキュリティ対策「バグバウンティ」の国内普及を目指す、IssueHuntの挑戦

【ICTスタートアップリーグ特集 #36:IssueHunt】海外では一般的なプロダクトセキュリティ対策「バグバウンティ」の国内普及を目指す、IssueHuntの挑戦

  • 12692
  • 12686
  • 12546
3人がチェック!

2023年度から始動した、総務省によるスタートアップ支援事業を契機とした官民一体の取り組み『ICTスタートアップリーグ』。これは、総務省とスタートアップに知見のある有識者、企業、団体などの民間が一体となり、ICT分野におけるスタートアップの起業と成長に必要な「支援」と「共創の場」を提供するプログラムだ。

このプログラムでは総務省事業による研究開発費の支援や伴走支援に加え、メディアとも連携を行い、スタートアップを応援する人を増やすことで、事業の成長加速と地域活性にもつなげるエコシステムとしても展開していく。

そこでTOMORUBAでは、ICTスタートアップリーグの採択スタートアップにフォーカスした特集記事を掲載している。今回は、企業とホワイトハッカーをマッチングする「バグバウンティング」サービスを展開するIssueHunt株式会社を取り上げる。海外では一般的だというバグバウンティについてや、現在の事業の状況、今後の展望について代表取締役の横溝氏に話を聞いた。

▲IssueHunt株式会社 代表取締役 横溝一将 氏

ーーーー

<スタートアップ解説員の「ココに注目!」>

■眞田幸剛(株式会社eiicon TOMORUBA編集長)

・IssueHuntは、日本最大級のバグバウンティ・プラットフォーム「IssueHunt」を提供しています。バグバウンティ(Bug Bounty)とは、システムやソフトウェアのセキュリティ上の脆弱性を発見し、その情報を報告してもらう外部のホワイトハッカーやセキュリティ専門家に対して報奨金を支払う仕組みのこと。同社は、海外では一般的なバグバウンティの国内普及を目指しています。

・「G-STARTUP 5th Batch」最優秀賞受賞(2022年10月)、マイクロソフト社「Microsoft for Startups」採択(2022年11月)、東洋経済「すごいベンチャー100」選出(2023年9月)など、アクセラレータープログラムや大手メディアでも注目を集めているスタートアップです!

欧米では一般的に利用されている「バグバウンティ」

ーーIssueHuntさんはバグバウンティ・プラットフォームを展開していますが、まずは「バグバウンティ」について、お聞かせください。

横溝氏 : バグバウンティは「ホワイト・ハット・ハッカー(以下ホワイトハッカー)」と呼ばれる善意のハッカーと、企業をマッチングするサービスです。企業が提供しているITサービスの多くに脆弱性が存在しており、脆弱性を無くすことは至難の業です。

しかし、現在主流となっているアジャイル開発では、アップデートを繰り返す度に脆弱性も増えてしまう傾向があり、その度に脆弱性診断を受けていてはコストもかさんでしまいます。その点、「バグバウンティ」では脆弱性が見つかった時にだけ報酬を支払うため、効率的にセキュリティを強化できるのです。

日本では耳馴染みのないサービスだと思いますが、欧米では既に一般化されており、IT企業だけでなく金融機関や政府系機関までが幅広くバグバウンティを実施しています。

ーー欧米では既に一般化しているとのことですが、いつごろからサービスが出てきたのでしょうか。

横溝氏 : 欧米では2013年ごろからサービスが始まっていますが、当初はあまり一般化していませんでした。認知度を高めるきっかけになったのが、アメリカ国防総省が主催した「Hack The Pentagon」というバグバウンティのイベントです。

世界的にも話題になり、実際に高い成果もあったため、それから有名な企業が続々とバグバウンティを利用し始めました。

ーー世界では一般化しているバグバウンティが、これまで日本で広がらなかった理由を聞かせてください。

横溝氏 : 日本ではメリットよりも、リスクを恐れる企業が多いように感じます。実際に私たちが提案した先でも「逆にハッキングされるのではないか」という不安の声をよく聞きます。また、日本のSI文化、つまり開発の外注文化も要因の一つです。

海外では自社のシステム開発を内製するのが一般的ですが、日本ではベンダーに外注する企業が多く、ITサービス提供側が自ら脆弱性の改修をすることが出来ないケースがあります。結果的に、バグバウンティも広がらなかったのではないでしょうか。

ーーバグバウンティは実際に安全なのでしょうか。

横溝氏 : まず、日本のみなさんに知ってもらいたいのは、ニュースで見かけるような悪いハッカーとホワイトハッカーは根本的に違うということ。ハッキングによって悪いことをする人たちは、第一の目的が金銭のため、お金を得るためには手段を選びません。

一方でバグバウンティに登録しているホワイトハッカーたちは、副業的に活動しており、金銭が第一の目的ではありません。もちろん報酬も重要ですが、それ以上に自分の力を世の中に活かすために活動しているため、私たちが示したガイドラインもしっかり守ってくれています。

日本でバグバウンティを広めるための課題とは

ーーバグバウンティ事業を始めたきっかけを教えてください。

横溝氏 : 私たちがバグバウンティ事業に参入したのは約2年前で、それまではエンジニア向けのツールを開発していました。海外にもユーザーを抱えており、その中にはバグバウンティで有名な企業から報酬を得ている方もいたため、バグバウンティの存在を知ったのです。海外で一般的に使われているバグバウンティを、日本でも広めたいと思い、事業をスタートすることを決めました。

ーー現在は、どのような事業課題を抱えているのでしょうか?

横溝氏 : 私たちはプラットフォームなので、ハッカーと企業の両方を集めなければなりません。そして、ハッカーを集めるには、海外のハッカーに興味を持ってもらう必要があります。本来なら日本のハッカーを集めるのが理想ですが、日本はセキュリティ人材が20万人不足していると言われており、現実的ではありません。実際に私たちのサービスに登録しているハッカーの8割は海外の方たちです。

海外のハッカーは世界中の様々なバグバウンティサービスに登録しているので、私たちのサービスにも興味を持ってもらい登録してもらう必要があります。そのためには、お金以外のインセンティブ、たとえばポイントやランキングなどを考えなければなりません。

▲「IssueHunt バグバウンティ」は、ホワイトハッカーと企業のマッチングを図るプラットフォームだ。(画像出典:プレスリリース

ーー企業を集めるための戦略も聞かせてください。

横溝氏 : 企業側の課題は、セキュリティリテラシーです。バグバウンティ自体はキャッチーなサービスなので、興味関心を持ってくれる企業は少なくありません。しかし、どんなに現場が興味を持っても、経営陣が「セキュリティは難しいのでよく分からない」と言っていては話が進みません。

なぜバグバウンティが重要なのか、脆弱性を放置しておくとどんなリスクがあるのか説明し、セキュリティに対するリテラシーを高めていかなければなりません。

日本企業のセキュリティリテラシーを高めるために始めた新たなチャレンジ

ーー日本企業のリテラシーを高めるために、どのような取り組みをしていくのでしょうか?

横溝氏 : 一つは著名な企業の取り組みを紹介していくことです。私たちのような小さな会社には信用がありませんが、幸いなことに大企業のお客様には高評価を頂いているため、お客様の名前を借りて広報していきたいと思っています。

また、バグバウンティを広めるために、新たに企業のセキュリティ支援事業も始めました。バグバウンティはセキュリティの「最後の砦」であり、まずは自社でのセキュリティ対策が重要です。しかし、自社でセキュリティ対策をしている企業があまりにも少なかったため、その対策から支援することにしました。

ーー既存のベンダーによるセキュリティ支援との違いがあれば聞かせてください。

横溝氏 : 既存のセキュリティ支援とは、アプローチが違います。これまでは開発が終わってからセキュリティを強化するのが一般的でしたが、私たちが提供しているのは開発の中にセキュリティを取り入れたアプローチです。

一般的にセキュリティ担当者は開発のノウハウがありませんし、開発エンジニアはセキュリティのノウハウを持ち合わせていません。しかし、私たちはもともとエンジニア向けのツールを開発しており、それからセキュリティのノウハウを身につけました。

開発とセキュリティ、両方のノウハウを持ち合わせている私たちだからこそ、開発にセキュリティを組み合わせたアプローチが可能です。この手法が広がれば、セキュリティのノウハウを身に着けた開発エンジニアが増え、セキュリティエンジニアの不足も補うことができるでしょう。

ーー最後にこれからのビジョンをお願いします。

横溝氏 : 私たちのビジョンは、企業とベンダーの情報格差を埋めていくことです。セキュリティを外注する企業が多い日本では、社内にセキュリティの知識を持った人材がいないことも珍しくありません。私たちの事業が拡大することで、開発エンジニアがセキュリティの知識を見つけることになり、ベンダーとの情報格差を埋めていけるはずです。

私たちだけでは難しい大きなチャレンジだと思いますが、私たちが結果を出すことで既存のベンダーも追随してくれば、業界構造を大きく変えられると思います。

▲IssueHuntは学生のためのサイバーセキュリティカンファレンス「P3NFEST」を主催。バグバウンティはもちろん、「日本のサイバーセキュリティのレベルを一段階引き上げる」ための取り組みに着手している。(画像出典:プレスリリース

取材後記

企業のシステムがハッキングされる度に大きなニュースになるように、セキュリティは私たちの生活にも直結する話だ。「大企業なのだから、セキュリティ対策もしっかりしているだろう」とは思っていたが、横溝氏の話を聞く限りはそうでもないらしい。これまで長く続いてきた「外注文化」を変えるのは容易ではないと思うが、安心して生活するためにもIssueHuntのチャレンジに期待したい。

※ICTスタートアップリーグの特集ページはコチラをご覧ください。

(編集:眞田 幸剛、文:鈴木光平)

新規事業創出・オープンイノベーションを実践するならAUBA(アウバ)

AUBA

eiicon companyの保有する日本最大級のオープンイノベーションプラットフォーム「AUBA(アウバ)」では、オープンイノベーション支援のプロフェッショナルが最適なプランをご提案します。

チェックする場合はログインしてください

前へ一覧へ戻る次へ

コメント3件

  • 奥田文祥

    奥田文祥

    • 神戸おくだ社労士事務所
    0いいね
    チェックしました
  • 眞田 幸剛

    眞田 幸剛

    • eiicon company
    0いいね
    チェックしました

おすすめブログ

  • 一般的なIT オフショア開発リスク を回避するには?

    オフショア開発では、本当にビジネスに利益を期待できるかということについて、数々反対意見が載っています。多くの企業はオフショア開発がビジネスのパフォーマンスと予算に積極的に影響することから、賞賛している一方、オフショア開発の成果は、ビジネスにもたらすリスクを上回ることはできないとも述べています。フォーブス(Forbes)の調査によると、多様な労働力で働く管理者と指導者の67%が、言葉の壁が非効率につながると感じていました。言葉の壁は、オフショア開発の導入時に直面する課題の一つでもあります。その他にも、セキュリティリスク、隠れたコストや質の低い結果を得るリスクなどの問題も、オフショアプロジェクトで発生し、委託企業に深刻なダメージを与える可能性があります。一般的なITオフショア開発リスク1. セキュリティリスク 2. コミュニケーション不足3. 隠れたコスト4. 質の低い結果を得るリスク5. 文化の違い詳細についてはこちら。------------------------------------------------------------LTSグループがこれらの オフショア開発リスク の軽減にどのように対応でき

    山下秋子

    2年前

  • コミュニケーションにおけるICTの課題は?

    1971 年当時、ICT といえば通信でしました。それは、政府部門の外の国のオペレーターによって運営される音声または固定インフラを中心に展開していました。その後、1980 年代初頭に市場自由化というパラダイムシフトが起こりました。また、携帯電話の登場により、単なる経営上のシンボルから今日では日常生活の至る所に普及したツールへと爆発的に成長し、世界中で地球上の人口とほぼ同じ数の携帯電話契約が存在しています。通信 ICT インフラは、今日のデジタル ビジネスの根幹です。ユーザーに権限を与え、ビジネスを運営するアプリケーションを実行するために必要なコンピューター、ネットワーク、職場、データ プラットフォームの機能を提供します。従来のインフラには高価なハードウェア、データセンター、サーバーが混在しており、すべて手動介入が必要です。クラウドの価値を最大化するために、企業はソフトウェア定義のインテリジェントなインフラに最新化しています。通信ICTインフラ市場は、最先端の通信サービスや先進技術の拡大により、成長を続けています。これには、ネットワーク ハードウェア、ソフトウェア、スムーズで効果的なコミュニケーション エクスペ

    千秋 マベナ

    2ヶ月前

  • 一般的な手術装置市場|サイズ「2023年に15.96 bn」

    "一般手術用器具 市場洞察:一般手術用器具 市場に関する調査レポートにより、バイヤーはさまざまなエンド ユーザーに独自のソリューションを提供し、業界内でのビジネス プレゼンスを向上させることができます。 このレポートには、買い手が業務に集中し、さまざまな目標をスムーズに達成できるように、市場シェア、規模、成長率に関する正確な統計が紹介されています。 戦略プランナーが生産量、サービスの提供、つながりの構築、消費者の意識の醸成に関する政策を計画するための調査では、市場の成長に影響を与える多数の推進要因、制約、機会、脅威について説明されています。一般手術用機器の市場規模は2023年に159億6000万米ドルと評価され、予測期間(2023年から2030年)中に8.28%のCAGRを記録し、市場は2030年までに301億6000万米ドルの価値があると予測されています。一般手術用器具 市場 のサンプル コピーを入手する@ https://marketresearchcommunity.com/sample-request/?rid=3477さらに、この報告書では、主要企業が潜在的な顧客を決定しターゲットを絞るため

    2ヶ月前

おすすめ記事

シリーズ

ICTスタートアップリーグ

2023年度から始動した、総務省によるスタートアップ支援事業を契機とした官民一体の取り組み『ICTスタートアップリーグ』。これは、総務省とスタートアップに知見のある有識者、企業、団体などの民間が一体となり、ICT分野におけるスタートアップの起業と成長に必要な「支援」と「競争の場」を提供するプログラムです。TOMORUBAではICTスタートアップリーグに参加しているスタートアップ各社の事業や取り組みを特集していきます。

【ICTスタートアップリーグ特集 #37:a42】ブロックチェーンを用いたスマートロックの魅力とは。a42が起こすイノベーションに迫る

【ICTスタートアップリーグ特集 #36:IssueHunt】海外では一般的なプロダクトセキュリティ対策「バグバウンティ」の国内普及を目指す、IssueHuntの挑戦

【ICTスタートアップリーグ特集 #35:YStory】セルフケアアプリで女性たちの更年期をアップデート!YStoryが提案する新たなライフスタイル

【ICTスタートアップリーグ特集 #34:プロッセル】起業/就職に偏ることなく高専人のキャリア構築を支援!プロッセルが展開するキャリアパートナー事業が見据えるゴールとは

【ICTスタートアップリーグ特集 #32:AironWorks】イスラエルの尖ったセキュリティ技術で世界へ。ハッカー目線のプロダクト思想でプログラムを作るAironWorks

【ICTスタートアップリーグ特集 #37:a42】ブロックチェーンを用いたスマートロックの魅力とは。a42が起こすイノベーションに迫る

【ICTスタートアップリーグ特集 #36:IssueHunt】海外では一般的なプロダクトセキュリティ対策「バグバウンティ」の国内普及を目指す、IssueHuntの挑戦

【ICTスタートアップリーグ特集 #35:YStory】セルフケアアプリで女性たちの更年期をアップデート!YStoryが提案する新たなライフスタイル

【ICTスタートアップリーグ特集 #34:プロッセル】起業/就職に偏ることなく高専人のキャリア構築を支援!プロッセルが展開するキャリアパートナー事業が見据えるゴールとは

【ICTスタートアップリーグ特集 #32:AironWorks】イスラエルの尖ったセキュリティ技術で世界へ。ハッカー目線のプロダクト思想でプログラムを作るAironWorks

【ICTスタートアップリーグ特集 #37:a42】ブロックチェーンを用いたスマートロックの魅力とは。a42が起こすイノベーションに迫る

【ICTスタートアップリーグ特集 #36:IssueHunt】海外では一般的なプロダクトセキュリティ対策「バグバウンティ」の国内普及を目指す、IssueHuntの挑戦

【ICTスタートアップリーグ特集 #35:YStory】セルフケアアプリで女性たちの更年期をアップデート!YStoryが提案する新たなライフスタイル

【ICTスタートアップリーグ特集 #34:プロッセル】起業/就職に偏ることなく高専人のキャリア構築を支援!プロッセルが展開するキャリアパートナー事業が見据えるゴールとは

【ICTスタートアップリーグ特集 #32:AironWorks】イスラエルの尖ったセキュリティ技術で世界へ。ハッカー目線のプロダクト思想でプログラムを作るAironWorks