Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ABEMAのバグバウンティの取り組み
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Kurochan
March 20, 2026
Technology
820
1
Share
ABEMAのバグバウンティの取り組み
情報科学若手の会・セキュリティ若手の会 春の陣2026 にてLTで発表しました
https://wakate.connpass.com/event/382858/
Kurochan
March 20, 2026
More Decks by Kurochan
See All by Kurochan
2026年の個人的テーマ: 「計算機を燃やせ🔥」
kurochan
1
120
つなぐ、届ける、変える- コンテンツ配信の最前線ト——ク
kurochan
0
140
サイバーエージェント流クラウドコスト削減施策「みんなで金塊堀太郎」
kurochan
4
3.2k
AWS Elemental MediaPackageと格闘🤼
kurochan
2
100
サイバーエージェントでのSlack活用事例 @ 2025
kurochan
5
230
15年入社者に聞く! これまでのCAのキャリアとこれから
kurochan
1
370
入門 電気通信事業者
kurochan
13
5.8k
AWS x さくらのクラウドのハイブリッドクラウドによる安価なフレッツ閉域網接続の実装
kurochan
9
6.2k
GoでTCP Proxyを実装してみよう
kurochan
1
1.3k
Other Decks in Technology
See All in Technology
AIと乗り切った1,500ページ超のヘルプサイト基盤刷新とさらにその先の話
mugi_uno
2
300
雑談は、センサーだった
bitkey
PRO
2
190
試作とデモンストレーション / Prototyping and Demonstrations
ks91
PRO
0
170
多角的な視点から見たAGI
terisuke
0
120
GKE Agent SandboxでAIが生成したコードを 安全に実行してみた
lamaglama39
0
180
ファインディの事業拡大を支える 拡張可能なデータ基盤へのリアーキテクチャ
hiracky16
0
830
アクセシビリティはすべての人のもの
tomokusaba
0
250
小説執筆のハーネスエンジニアリング
yoshitetsu
0
910
ブラウザの投機的読み込みと投機ルールAPIを理解し、Webサービスのパフォーマンスを最適化する
shuta13
3
270
ハーネスエンジニアリング入門
knishioka
0
110
ハーネスエンジニアリングをやりすぎた話 ~そのハーネスは解体された~
gotalab555
5
2k
Angular Architecture Revisited Modernizing Angular Architectural Patterns
rainerhahnekamp
0
120
Featured
See All Featured
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
140
Site-Speed That Sticks
csswizardry
13
1.2k
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.6k
How to make the Groovebox
asonas
2
2.1k
Joys of Absence: A Defence of Solitary Play
codingconduct
1
360
Mind Mapping
helmedeiros
PRO
1
180
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
210
Ethics towards AI in product and experience design
skipperchong
2
270
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
220
For a Future-Friendly Web
brad_frost
183
10k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.5k
Marketing to machines
jonoalderson
1
5.2k
Transcript
AbemaTV, Inc. All Rights Reserved 1 ABEMA バグバウンティ 取り組み 2026
March 21th @情報科学若手 会・セキュリティ若手 会 春 陣2026 LT 株式会社AbemaTV 黒崎 優太
AbemaTV, Inc. All Rights Reserved 黒崎 優太 Yuta Kurosaki 株式会社AbemaTV
ビジネスディベロップメント本部 CM配信システムのバックエンドの開発を担当 株式会社サイバーエージェント CTO統括室 サイバーエージェント インターネットゼミ(AS63790) 2 Profile kuro_m88 kurochan
ところで なぜ今日参加した か?
情報科学若手 会と 関わり • 2011年(15年前!)に大学 先輩に誘われ初参加 ◦ 2015-2022年まで幹事をしていました ◦ インターネット環境をつよつよにしたり
◦ 国会図書館に行って50年分 歴史を収集したり
レアゾン・ホールディングスさんと 関わり • 学生時代 アルバイト先…! ◦ 2012年-2014年頃にお世話になっていました • ソーシャルゲーム開発と(ちょっと)データ分析 ◦
すごろくゲームなど
これ 参加するしかない!💨
AbemaTV, Inc. All Rights Reserved 8
AbemaTV, Inc. All Rights Reserved ABEMA 無料 すべてのひとが楽しめる ⽣中継 ライブならではの臨場感
同時性 ⽇本のイマを捉え流⾏をつくる 報道 常に新鮮なニュース 利便性 時間と場所からの開放 ABOUT ABEMA
AbemaTV, Inc. All Rights Reserved 10
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
ABEMA セキュリティ 11 • 「いつでもどこでも繋がる社会インフラ」 を目指すABEMAにとって、 セキュリティ 非常に重要 • ABEMAをとりまくセキュリティリスク ◦ 事業規模 拡大による事業インパクト , 攻撃対象領域 増大 ◦ 継続的なトレンドとして 攻撃手法 多様化 • コードレビュー + 脆弱性診断を中心とした体制から 進化 ◦ CNAPP(Cloud Native Application Protection Platform)的な構成 導入 ◦ バグバウンティ 導入 (今日 お話)
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入するまで 12 • 脆弱性診断に加えて多角的な視点を取り入れてセキュリティ強化したかった • 「あした会議」にてバグバウンティ 採用をABEMA CTOが経営陣に提案 ◦ サイバーエージェント あした(未来)に繋がる施策等を経営陣に提案、 そ 場で決議する会議 ◦ まず ABEMAとWINTICKETでやってみることを決議 ◦ 細かい議論をすっ飛 して方向性を決議できた が大きい • 比較検討を経てIssueHuntを採用 ◦ https://issuehunt.co.jp/
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
トリアージ支援 Slack bot 13 • CTOがさくっと作ってくれた • 脆弱性 新規レポートとやりとり 通知など
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
トリアージ支援 Slack bot 14 • Geminiで簡易的なトリアージ ◦ 要約(日本語訳) ◦ スコープが対象かどうか ◦ 考えられるリスク ◦ 修正方針
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入してどうだった? / よかったこと 15 • 思ったよりたくさん報告がくる ☺ ◦ 今まで社外から 指摘を受けるケース 少なかった で、 そんなに報告来ないんじゃ?と心配していた • 脆弱性診断と 違う視点が得られる • (幸いなことに?)大半が軽微もしく 対象外だが、育成機会にもなる ◦ 常に社外からセキュリティ的な目線でもみられている感 ◦ トリアージする過程で判断軸やセキュアコーディング 知見が得られる
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入してどうだった? / たいへんだったこと 16 • 思ったよりたくさん報告がくる 😵 ◦ 窓口を公開する以上きちんと報告を取り扱う必要がある ◦ さ ける組織的な体力を用意しておく必要がある • それっぽいけどよくみると全然違うレポート ◦ かなりもっともらしい で慎重に読まないといけない ◦ 生成AI 出力をそ まま提出した感 があるレポート (プロンプトっぽい がそ まま入ってるとか)
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
どういう報告が嬉しい? 17 • ガイドラインに則った 報告 • わかりやすい 報告 ◦ HackerOne 記事など参考になるかも ▪ https://docs.hackerone.com/en/articles/8475116-quality-reports • 検証された 報告 ◦ 推測に基づく部分が多すぎると特定が困難 ◦ 何かしら疑うに至った兆候 証拠や手順 が あると大変うれしい
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
報告お待ちしております! 18 • ABEMA 視聴ついでに「おや?」と思ったらぜひ報告を! ◦ 報奨金あります💰💸🤑 https://issuehunt.io/programs/75563b98-3a9c-4ca3-956d-07b30d5d3962
kurochan
mugi_uno
bitkey
ks91
terisuke
.jpg){kind=avatar}
lamaglama39
hiracky16
tomokusaba
yoshitetsu
shuta13
knishioka
gotalab555
rainerhahnekamp
techseoconnect
csswizardry
lindahogenes
asonas
codingconduct
helmedeiros
nikkihalliwell
skipperchong
427marketing
brad_frost
signer
jonoalderson
