Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ABEMAのバグバウンティの取り組み
Search
Kurochan
March 20, 2026
Technology
810
1
Share
ABEMAのバグバウンティの取り組み
情報科学若手の会・セキュリティ若手の会 春の陣2026 にてLTで発表しました
https://wakate.connpass.com/event/382858/
Kurochan
March 20, 2026
More Decks by Kurochan
See All by Kurochan
2026年の個人的テーマ: 「計算機を燃やせ🔥」
kurochan
1
120
つなぐ、届ける、変える- コンテンツ配信の最前線ト——ク
kurochan
0
140
サイバーエージェント流クラウドコスト削減施策「みんなで金塊堀太郎」
kurochan
4
3.2k
AWS Elemental MediaPackageと格闘🤼
kurochan
2
100
サイバーエージェントでのSlack活用事例 @ 2025
kurochan
5
230
15年入社者に聞く! これまでのCAのキャリアとこれから
kurochan
1
360
入門 電気通信事業者
kurochan
13
5.8k
AWS x さくらのクラウドのハイブリッドクラウドによる安価なフレッツ閉域網接続の実装
kurochan
9
6.2k
GoでTCP Proxyを実装してみよう
kurochan
1
1.3k
Other Decks in Technology
See All in Technology
MLOps導入のための組織作りの第一歩
akasan
0
350
Agents CLI と Gemini Enterprise Agent Platform で マルチエージェント開発が楽しくなる!
kaz1437
0
130
エージェントスキルを作って自分のインプットに役立てよう
tsubakimoto_s
0
420
音声言語モデル手法に関する発表の紹介
kzinmr
0
130
運用システムにおけるデータ活用とPlatform
sansantech
PRO
0
120
スクラムの中で AI-DLC workflow を 使い始めて3ヶ月の振り返り
kaminashi
0
110
コードや知識を組み込む / Incorporate Code and Knowledge
ks91
PRO
0
170
データ定義の混乱と戦う 〜 管理会計と財務会計 〜
wonohe
0
120
巨大プラットフォームを進化させる「第3のROI」
recruitengineers
PRO
2
660
「SaaSの次の時代」に重要性を増すステークホルダーマネジメントの要諦 ~解像度を圧倒的に高めPdMの価値を最大化させる方法~
kakehashi
PRO
3
1.9k
AIでAIをテストする - 音声AIエージェントの品質保証戦略
morix1500
1
130
AIコーディング時代における、ソフトウェアサプライチェーン攻撃に対する防衛術(簡易版)
soysoysoyb
0
110
Featured
See All Featured
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
170
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
2.9k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
Odyssey Design
rkendrick25
PRO
2
580
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.7k
The Pragmatic Product Professional
lauravandoore
37
7.2k
Code Reviewing Like a Champion
maltzj
528
40k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.4k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
54k
Designing Experiences People Love
moore
143
24k
Transcript
AbemaTV, Inc. All Rights Reserved 1 ABEMA バグバウンティ 取り組み 2026
March 21th @情報科学若手 会・セキュリティ若手 会 春 陣2026 LT 株式会社AbemaTV 黒崎 優太
AbemaTV, Inc. All Rights Reserved 黒崎 優太 Yuta Kurosaki 株式会社AbemaTV
ビジネスディベロップメント本部 CM配信システムのバックエンドの開発を担当 株式会社サイバーエージェント CTO統括室 サイバーエージェント インターネットゼミ(AS63790) 2 Profile kuro_m88 kurochan
ところで なぜ今日参加した か?
情報科学若手 会と 関わり • 2011年(15年前!)に大学 先輩に誘われ初参加 ◦ 2015-2022年まで幹事をしていました ◦ インターネット環境をつよつよにしたり
◦ 国会図書館に行って50年分 歴史を収集したり
レアゾン・ホールディングスさんと 関わり • 学生時代 アルバイト先…! ◦ 2012年-2014年頃にお世話になっていました • ソーシャルゲーム開発と(ちょっと)データ分析 ◦
すごろくゲームなど
これ 参加するしかない!💨
AbemaTV, Inc. All Rights Reserved 8
AbemaTV, Inc. All Rights Reserved ABEMA 無料 すべてのひとが楽しめる ⽣中継 ライブならではの臨場感
同時性 ⽇本のイマを捉え流⾏をつくる 報道 常に新鮮なニュース 利便性 時間と場所からの開放 ABOUT ABEMA
AbemaTV, Inc. All Rights Reserved 10
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
ABEMA セキュリティ 11 • 「いつでもどこでも繋がる社会インフラ」 を目指すABEMAにとって、 セキュリティ 非常に重要 • ABEMAをとりまくセキュリティリスク ◦ 事業規模 拡大による事業インパクト , 攻撃対象領域 増大 ◦ 継続的なトレンドとして 攻撃手法 多様化 • コードレビュー + 脆弱性診断を中心とした体制から 進化 ◦ CNAPP(Cloud Native Application Protection Platform)的な構成 導入 ◦ バグバウンティ 導入 (今日 お話)
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入するまで 12 • 脆弱性診断に加えて多角的な視点を取り入れてセキュリティ強化したかった • 「あした会議」にてバグバウンティ 採用をABEMA CTOが経営陣に提案 ◦ サイバーエージェント あした(未来)に繋がる施策等を経営陣に提案、 そ 場で決議する会議 ◦ まず ABEMAとWINTICKETでやってみることを決議 ◦ 細かい議論をすっ飛 して方向性を決議できた が大きい • 比較検討を経てIssueHuntを採用 ◦ https://issuehunt.co.jp/
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
トリアージ支援 Slack bot 13 • CTOがさくっと作ってくれた • 脆弱性 新規レポートとやりとり 通知など
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
トリアージ支援 Slack bot 14 • Geminiで簡易的なトリアージ ◦ 要約(日本語訳) ◦ スコープが対象かどうか ◦ 考えられるリスク ◦ 修正方針
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入してどうだった? / よかったこと 15 • 思ったよりたくさん報告がくる ☺ ◦ 今まで社外から 指摘を受けるケース 少なかった で、 そんなに報告来ないんじゃ?と心配していた • 脆弱性診断と 違う視点が得られる • (幸いなことに?)大半が軽微もしく 対象外だが、育成機会にもなる ◦ 常に社外からセキュリティ的な目線でもみられている感 ◦ トリアージする過程で判断軸やセキュアコーディング 知見が得られる
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
バグバウンティ導入してどうだった? / たいへんだったこと 16 • 思ったよりたくさん報告がくる 😵 ◦ 窓口を公開する以上きちんと報告を取り扱う必要がある ◦ さ ける組織的な体力を用意しておく必要がある • それっぽいけどよくみると全然違うレポート ◦ かなりもっともらしい で慎重に読まないといけない ◦ 生成AI 出力をそ まま提出した感 があるレポート (プロンプトっぽい がそ まま入ってるとか)
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
どういう報告が嬉しい? 17 • ガイドラインに則った 報告 • わかりやすい 報告 ◦ HackerOne 記事など参考になるかも ▪ https://docs.hackerone.com/en/articles/8475116-quality-reports • 検証された 報告 ◦ 推測に基づく部分が多すぎると特定が困難 ◦ 何かしら疑うに至った兆候 証拠や手順 が あると大変うれしい
AbemaTV, Inc. All Rights Reserved AbemaTV, Inc. All Rights Reserved
報告お待ちしております! 18 • ABEMA 視聴ついでに「おや?」と思ったらぜひ報告を! ◦ 報奨金あります💰💸🤑 https://issuehunt.io/programs/75563b98-3a9c-4ca3-956d-07b30d5d3962
kurochan
akasan
kaz1437
tsubakimoto_s
kzinmr
sansantech
kaminashi
ks91
wonohe
recruitengineers
kakehashi
morix1500
soysoysoyb
sabderemane
cassininazir
aki_iinuma
bluesmoon
sstephenson
rkendrick25
jcasabona
lauravandoore
maltzj
sergeychernyshev
destraynor
moore
