OSS向け報奨金サービスIssueHunt、新たにバグバウンティ（脆弱性報奨金制度）プラットフォームを公開

　BoostIOは、同社が提供するOSS向け報奨金サービス「IssueHunt」にて、世界中のホワイトハッカーに脆弱性診断を依頼できるバグバウンティ（脆弱性報奨金制度）プラットフォームの提供を7月8日に開始した。

　バグバウンティ（脆弱性報奨金制度）とは、企業が自社の製品やサービスに対する脆弱性診断プログラムを公開し、セキュリティリサーチャー（ホワイトハッカー）が脆弱性を発見・報告することで、企業から報奨金を受け取ることができる仕組みのこと。

　IssuHuntは、2018年より提供されているオープンソースプロジェクト向け報奨金サービス。海外ユーザー比率は90％を超え、ユーザーの一部が海外のバグバウンティサービスに登録をしていることから、日本国内にもバグバウンティの文化を広げ、より安全なサイバー空間を作ることを目的として、今回のバグバウンティサービスの提供に至った。

　自社でバグバウンティのプログラムを運営するには、規約の用意、報奨金額の設定、リサーチャーの集客、本人確認などが必要になるが、IssueHuntでは、バグバウンティに必要な準備をプラットフォームとして用意し、クラウドソーシングの形で、脆弱性診断をリサーチャーに依頼できる。

　IssueHuntのバグバウンティサービスは成果報酬型で、報奨金の支払い対象に設定した脆弱性のみに支払いが発生する。初期費用や月額基本料金等もなく、リサーチャーに支払った報奨金の20％を手数料としてIssueHuntに支払う。

　また、人材採用支援の機能も提供し、ジョブオファーを受け取る設定をしているリサーチャーに対し、採用オファーの送付や、企業ページより求職者情報の掲載が可能。

　今回のバグバウンティサービスのリリースにあたり、BoostIO 代表 横溝一将氏は次のようにコメントした。

　「セキュリティエンジニアの方々は非常に高い意識を持っているが、経営者層に理解がなく、セキュリティ対策に充てる予算獲得に苦労している話をよく伺う。IssueHuntを通じて、バグバウンティはもちろんだが、セキュリティ強化そのものに予算を掛けていく文化を作り、サイバー空間をより安全にしていきたい。

　日本人のエンジニアが日本語で利用できるサービスでもあるので、日本にもバグバウンティという文化を根付かせていきたい。さらに、IssueHuntはグローバルで使われているため、今回のリリースによって、日本のエンジニアの優秀さが世界中に伝わるのではないかと期待している」