Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ABEMAのバグバウンティの取り組み
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Kurochan
March 20, 2026
Technology
820
1
Share
ABEMAのバグバウンティの取り組み
情報科学若手の会・セキュリティ若手の会 春の陣2026 にてLTで発表しました
https://wakate.connpass.com/event/382858/
Kurochan
March 20, 2026
More Decks by Kurochan
See All by Kurochan
2026年の個人的テーマ: 「計算機を燃やせ🔥」
kurochan
1
130
つなぐ、届ける、変える- コンテンツ配信の最前線ト——ク
kurochan
0
140
サイバーエージェント流クラウドコスト削減施策「みんなで金塊堀太郎」
kurochan
4
3.2k
AWS Elemental MediaPackageと格闘🤼
kurochan
2
100
サイバーエージェントでのSlack活用事例 @ 2025
kurochan
5
240
15年入社者に聞く! これまでのCAのキャリアとこれから
kurochan
1
370
入門 電気通信事業者
kurochan
13
5.8k
AWS x さくらのクラウドのハイブリッドクラウドによる安価なフレッツ閉域網接続の実装
kurochan
9
6.2k
GoでTCP Proxyを実装してみよう
kurochan
1
1.3k
Other Decks in Technology
See All in Technology
GCASアップデート(202603-202605)
techniczna
0
190
Redmine次期バージョン7.0の注目新機能解説 — UI/UX強化と連携強化を中心に
vividtone
1
150
R&D 祭 2024 UE5で絵コンテ・作画の制作支援ツールをつくる話
olmdrd
PRO
0
170
20260515 ID管理は会社を守る大切な砦!〜🔰情シス向け〜
oidfj
0
590
データモデリング通り #5オンライン勉強会: AIに『ビジネスの文脈』を教え込むデータモデリング
datayokocho
0
280
ワールドカフェ再び、そしてゴール・ルール・ロール・ツール / World Café Revisited, and the Goals-Rules-Roles-Tools
ks91
PRO
0
180
Databricks 月刊サービスアップデートまとめ 2026年04月号
tyosi1212
0
130
AWS WAFの運用を地道に改善し、自社で運用可能にするプラクティス
andpad
1
250
LookerとADKで作る社内AIエージェント
chanyou0311
0
240
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
2.6k
社内RAGの導入で気を付けたポイント
yakumo
1
110
「強制アップデート」か「チームの自律」か?エンタープライズが辿り着いたプラットフォームのハイブリッド運用/cloudnative-kaigi-hybrid-platform-operations
mhrtech
0
200
Featured
See All Featured
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Become a Pro
speakerdeck
PRO
31
5.9k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
550
Navigating Weather and Climate Data
rabernat
0
190
Optimizing for Happiness
mojombo
378
71k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2k
Discover your Explorer Soul
emna__ayadi
2
1.1k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
So, you think you're a good person
axbom
PRO
2
2k
Code Review Best Practice
trishagee
74
20k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
570
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.7k
Transcript
AbemaTV, Inc. All Rights Reserved 1 ABEMA バグバウンティ 取り組み 2026
March 21th @情報科学若手 会・セキュリティ若手 会 春 陣2026 LT 株式会社AbemaTV 黒崎 優太
AbemaTV, Inc. All Rights Reserved 黒崎 優太 Yuta Kurosaki 株式会社AbemaTV
ビジネスディベロップメント本部 CM配信システムのバックエンドの開発を担当 株式会社サイバーエージェント CTO統括室 サイバーエージェント インターネットゼミ(AS63790) 2 Profile kuro_m88 kurochan
ところで なぜ今日参加した か?
情報科学若手 会と 関わり • 2011年(15年前!)に大学 先輩に誘われ初参加 ◦ 2015-2022年まで幹事をしていました ◦ インターネット環境をつよつよにしたり
◦ 国会図書館に行って50年分 歴史を収集したり
レアゾン・ホールディングスさんと 関わり • 学生時代 アルバイト先…! ◦ 2012年-2014年頃にお世話になっていました • ソーシャルゲーム開発と(ちょっと)データ分析 ◦
すごろくゲームなど
これ 参加するしかない!💨
AbemaTV, Inc. All Rights Reserved 8
AbemaTV, Inc. All Rights Reserved ABEMA 無料 すべてのひとが楽しめる ⽣中継 ライブならではの臨場感
同時性 ⽇本のイマを捉え流⾏をつくる 報道 常に新鮮なニュース 利便性 時間と場所からの開放 ABOUT ABEMA
AbemaTV, Inc. All Rights Reserved 10
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
ABEMA セキュリティ 11 • 「いつでもどこでも繋がる社会インフラ」 を目指すABEMAにとって、 セキュリティ 非常に重要 • ABEMAをとりまくセキュリティリスク ◦ 事業規模 拡大による事業インパクト , 攻撃対象領域 増大 ◦ 継続的なトレンドとして 攻撃手法 多様化 • コードレビュー + 脆弱性診断を中心とした体制から 進化 ◦ CNAPP(Cloud Native Application Protection Platform)的な構成 導入 ◦ バグバウンティ 導入 (今日 お話)
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入するまで 12 • 脆弱性診断に加えて多角的な視点を取り入れてセキュリティ強化したかった • 「あした会議」にてバグバウンティ 採用をABEMA CTOが経営陣に提案 ◦ サイバーエージェント あした(未来)に繋がる施策等を経営陣に提案、 そ 場で決議する会議 ◦ まず ABEMAとWINTICKETでやってみることを決議 ◦ 細かい議論をすっ飛 して方向性を決議できた が大きい • 比較検討を経てIssueHuntを採用 ◦ https://issuehunt.co.jp/
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
トリアージ支援 Slack bot 13 • CTOがさくっと作ってくれた • 脆弱性 新規レポートとやりとり 通知など
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
トリアージ支援 Slack bot 14 • Geminiで簡易的なトリアージ ◦ 要約(日本語訳) ◦ スコープが対象かどうか ◦ 考えられるリスク ◦ 修正方針
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入してどうだった? / よかったこと 15 • 思ったよりたくさん報告がくる ☺ ◦ 今まで社外から 指摘を受けるケース 少なかった で、 そんなに報告来ないんじゃ?と心配していた • 脆弱性診断と 違う視点が得られる • (幸いなことに?)大半が軽微もしく 対象外だが、育成機会にもなる ◦ 常に社外からセキュリティ的な目線でもみられている感 ◦ トリアージする過程で判断軸やセキュアコーディング 知見が得られる
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入してどうだった? / たいへんだったこと 16 • 思ったよりたくさん報告がくる 😵 ◦ 窓口を公開する以上きちんと報告を取り扱う必要がある ◦ さ ける組織的な体力を用意しておく必要がある • それっぽいけどよくみると全然違うレポート ◦ かなりもっともらしい で慎重に読まないといけない ◦ 生成AI 出力をそ まま提出した感 があるレポート (プロンプトっぽい がそ まま入ってるとか)
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
どういう報告が嬉しい? 17 • ガイドラインに則った 報告 • わかりやすい 報告 ◦ HackerOne 記事など参考になるかも ▪ https://docs.hackerone.com/en/articles/8475116-quality-reports • 検証された 報告 ◦ 推測に基づく部分が多すぎると特定が困難 ◦ 何かしら疑うに至った兆候 証拠や手順 が あると大変うれしい
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
報告お待ちしております! 18 • ABEMA 視聴ついでに「おや?」と思ったらぜひ報告を! ◦ 報奨金あります💰💸🤑 https://issuehunt.io/programs/75563b98-3a9c-4ca3-956d-07b30d5d3962
SiteGround - Reliable hosting with speed, security, and support you can count on.
kurochan
techniczna
vividtone
olmdrd
.png){kind=avatar}
oidfj
datayokocho
ks91
tyosi1212
andpad
chanyou0311
oracle4engineer
yakumo
mhrtech
denniskardys
speakerdeck
baasie
rabernat
mojombo
aleyda
emna__ayadi
lemiorhan
axbom
trishagee
tammyeverts
jcasabona
