Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ABEMAのバグバウンティの取り組み
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Kurochan
March 20, 2026
Technology
0
8
ABEMAのバグバウンティの取り組み
情報科学若手の会・セキュリティ若手の会 春の陣2026 にてLTで発表しました
https://wakate.connpass.com/event/382858/
Kurochan
March 20, 2026
Tweet
Share
More Decks by Kurochan
See All by Kurochan
2026年の個人的テーマ: 「計算機を燃やせ🔥」
kurochan
1
110
つなぐ、届ける、変える- コンテンツ配信の最前線ト——ク
kurochan
0
130
サイバーエージェント流クラウドコスト削減施策「みんなで金塊堀太郎」
kurochan
4
3.1k
AWS Elemental MediaPackageと格闘🤼
kurochan
2
92
サイバーエージェントでのSlack活用事例 @ 2025
kurochan
5
210
15年入社者に聞く! これまでのCAのキャリアとこれから
kurochan
1
360
入門 電気通信事業者
kurochan
13
5.8k
AWS x さくらのクラウドのハイブリッドクラウドによる安価なフレッツ閉域網接続の実装
kurochan
9
6.1k
GoでTCP Proxyを実装してみよう
kurochan
1
1.3k
Other Decks in Technology
See All in Technology
(Test) ai-meetup slide creation
oikon48
3
430
ソフトバンク流!プラットフォームエンジニアリング実現へのアプローチ
sbtechnight
1
180
AWSの資格って役に立つの?
tk3fftk
2
360
プラットフォームエンジニアリングはAI時代の開発者をどう救うのか
jacopen
7
3.8k
Claude Code 2026年 最新アップデート
oikon48
13
10k
会社紹介資料 / Sansan Company Profile
sansan33
PRO
16
410k
形式手法特論:SMT ソルバで解く認可ポリシの静的解析 #kernelvm / Kernel VM Study Tsukuba No3
ytaka23
1
300
Yahoo!ショッピングのレコメンデーション・システムにおけるML実践の一例
lycorptech_jp
PRO
1
220
AWS DevOps Agent vs SRE俺 / AWS DevOps Agent vs me, the SRE
sms_tech
3
890
GCASアップデート(202601-202603)
techniczna
0
210
Kiro Powers 入門
k_adachi_01
0
110
Scrumは歪む — 組織設計の原理原則
dashi
0
200
Featured
See All Featured
Optimising Largest Contentful Paint
csswizardry
37
3.6k
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
78
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
200
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
150
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
400
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.4k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
220
Unsuck your backbone
ammeep
672
58k
Building an army of robots
kneath
306
46k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
640
Designing for Performance
lara
611
70k
Into the Great Unknown - MozCon
thekraken
40
2.3k
Transcript
AbemaTV, Inc. All Rights Reserved 1 ABEMA バグバウンティ 取り組み 2026
March 21th @情報科学若手 会・セキュリティ若手 会 春 陣2026 LT 株式会社AbemaTV 黒崎 優太
AbemaTV, Inc. All Rights Reserved 黒崎 優太 Yuta Kurosaki 株式会社AbemaTV
ビジネスディベロップメント本部 CM配信システムのバックエンドの開発を担当 株式会社サイバーエージェント CTO統括室 サイバーエージェント インターネットゼミ(AS63790) 2 Profile kuro_m88 kurochan
ところで なぜ今日参加した か?
情報科学若手 会と 関わり • 2011年(15年前!)に大学 先輩に誘われ初参加 ◦ 2015-2022年まで幹事をしていました ◦ インターネット環境をつよつよにしたり
◦ 国会図書館に行って50年分 歴史を収集したり
レアゾン・ホールディングスさんと 関わり • 学生時代 アルバイト先…! ◦ 2012年-2014年頃にお世話になっていました • ソーシャルゲーム開発と(ちょっと)データ分析 ◦
すごろくゲームなど
これ 参加するしかない!💨
AbemaTV, Inc. All Rights Reserved 8
AbemaTV, Inc. All Rights Reserved ABEMA 無料 すべてのひとが楽しめる ⽣中継 ライブならではの臨場感
同時性 ⽇本のイマを捉え流⾏をつくる 報道 常に新鮮なニュース 利便性 時間と場所からの開放 ABOUT ABEMA
AbemaTV, Inc. All Rights Reserved 10
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
ABEMA セキュリティ 11 • 「いつでもどこでも繋がる社会インフラ」 を目指すABEMAにとって、 セキュリティ 非常に重要 • ABEMAをとりまくセキュリティリスク ◦ 事業規模 拡大による事業インパクト , 攻撃対象領域 増大 ◦ 継続的なトレンドとして 攻撃手法 多様化 • コードレビュー + 脆弱性診断を中心とした体制から 進化 ◦ CNAPP(Cloud Native Application Protection Platform)的な構成 導入 ◦ バグバウンティ 導入 (今日 お話)
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入するまで 12 • 脆弱性診断に加えて多角的な視点を取り入れてセキュリティ強化したかった • 「あした会議」にてバグバウンティ 採用をABEMA CTOが経営陣に提案 ◦ サイバーエージェント あした(未来)に繋がる施策等を経営陣に提案、 そ 場で決議する会議 ◦ まず ABEMAとWINTICKETでやってみることを決議 ◦ 細かい議論をすっ飛 して方向性を決議できた が大きい • 比較検討を経てIssueHuntを採用 ◦ https://issuehunt.co.jp/
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
トリアージ支援 Slack bot 13 • CTOがさくっと作ってくれた • 脆弱性 新規レポートとやりとり 通知など
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
トリアージ支援 Slack bot 14 • Geminiで簡易的なトリアージ ◦ 要約(日本語訳) ◦ スコープが対象かどうか ◦ 考えられるリスク ◦ 修正方針
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入してどうだった? / よかったこと 15 • 思ったよりたくさん報告がくる ☺ ◦ 今まで社外から 指摘を受けるケース 少なかった で、 そんなに報告来ないんじゃ?と心配していた • 脆弱性診断と 違う視点が得られる • (幸いなことに?)大半が軽微もしく 対象外だが、育成機会にもなる ◦ 常に社外からセキュリティ的な目線でもみられている感 ◦ トリアージする過程で判断軸やセキュアコーディング 知見が得られる
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入してどうだった? / たいへんだったこと 16 • 思ったよりたくさん報告がくる 😵 ◦ 窓口を公開する以上きちんと報告を取り扱う必要がある ◦ さ ける組織的な体力を用意しておく必要がある • それっぽいけどよくみると全然違うレポート ◦ かなりもっともらしい で慎重に読まないといけない ◦ 生成AI 出力をそ まま提出した感 があるレポート (プロンプトっぽい がそ まま入ってるとか)
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
どういう報告が嬉しい? 17 • ガイドラインに則った 報告 • わかりやすい 報告 ◦ HackerOne 記事など参考になるかも ▪ https://docs.hackerone.com/en/articles/8475116-quality-reports • 検証された 報告 ◦ 推測に基づく部分が多すぎると特定が困難 ◦ 何かしら疑うに至った兆候 証拠や手順 が あると大変うれしい
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
報告お待ちしております! 18 • ABEMA 視聴ついでに「おや?」と思ったらぜひ報告を! ◦ 報奨金あります💰💸🤑 https://issuehunt.io/programs/75563b98-3a9c-4ca3-956d-07b30d5d3962
SiteGround - Reliable hosting with speed, security, and support you can count on.
kurochan
oikon48
sbtechnight
tk3fftk
jacopen
sansan33
ytaka23
lycorptech_jp
sms_tech
techniczna
k_adachi_01
.jpg){kind=avatar}
dashi
csswizardry
marketingsoph
minecr
sabderemane
chikuwait
sergeychernyshev
axbom
ammeep
kneath
baasie
lara
thekraken
