Upgrade to Pro — share decks privately, control downloads, hide ads and more …

学生向けバグバウンティイベントP3NFEST参加のキロク CHUO Tech #6

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Nealle Nealle
February 26, 2025
Programming
0
940

学生向けバグバウンティイベントP3NFEST参加のキロク CHUO Tech #6

CHUO Tech #6
https://chuo-tech.connpass.com/event/345726/

Avatar for Nealle

Nealle

February 26, 2025
Tweet

More Decks by Nealle

See All by Nealle
AI巻き込み型コードレビューのススメ
Avatar for Nealle nealle
2
1.5k
Startup Tech Night ニーリーのAI活用
Avatar for Nealle nealle
0
81
モビリティSaaSにおけるデータ利活用の発展
Avatar for Nealle nealle
1
930
Pythonに漸進的に型をつける
Avatar for Nealle nealle
1
210
品質ワークショップをやってみた
Avatar for Nealle nealle
0
1.4k
DevHRに全部賭けろ
Avatar for Nealle nealle
0
250
TROCCO×dbtで実現する人にもAIにもやさしいデータ基盤
Avatar for Nealle nealle
1
2.5k
AI OCR API on Lambdaを Datadogで可視化してみた
Avatar for Nealle nealle
0
410
生成AI、実際どう? - ニーリーの場合
Avatar for Nealle nealle
0
1.1k

Other Decks in Programming

See All in Programming
Fluid Templating in TYPO3 14
Avatar for Simon Praetorius s2b
0
130
CSC307 Lecture 04
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
660
AIエージェント、”どう作るか”で差は出るか? / AI Agents: Does the "How" Make a Difference?
Avatar for r-kagaya rkaga
4
2k
Vibe Coding - AI 驅動的軟體開發
Avatar for Micky Li mickyp100
0
180
20260127_試行錯誤の結晶を1冊に。著者が解説 先輩データサイエンティストからの指南書 / author's_commentary_ds_instructions_guide
Avatar for nash_efp nash_efp
1
1k
izumin5210のプロポーザルのネタ探し #tskaigi_msup
Avatar for izumin5210 izumin5210
1
140
Oxlintはいいぞ
Avatar for Yuji Yamaguchi yug1224
5
1.4k
Oxlint JS plugins
Avatar for kazupon kazupon
1
1k
CSC307 Lecture 06
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
690
QAフローを最適化し、品質水準を満たしながらリリースまでの期間を最短化する #RSGT2026
Avatar for shibayu36 shibayu36
2
4.4k
そのAIレビュー、レビューしてますか? / Are you reviewing those AI reviews?
Avatar for r-kagaya rkaga
6
4.6k
フロントエンド開発の勘所 -複数事業を経験して見えた判断軸の違い-
Avatar for Yoichiro Kubo heimusu
7
2.8k

Featured

See All Featured
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.2k
How to build an LLM SEO readiness audit: a practical framework
Avatar for Nick Samuel nmsamuel
1
650
We Are The Robots
Avatar for Honza Javorek honzajavorek
0
170
Efficient Content Optimization with Google Search Console & Apps Script
Avatar for Katarina Dahlin katarinadahlin
PRO
1
330
How to build a perfect <img>
Avatar for Jono Alderson jonoalderson
1
4.9k
Making Projects Easy
Avatar for Brett Harned brettharned
120
6.6k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon szymonslowik
1
220
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
70
Amusing Abliteration
Avatar for ianozsvald ianozsvald
0
110

Transcript

  1. 2025.02.25 CHUO Tech #6 株式会社ニーリー 松村 有倫 NEALLE 学生向け バグバウンティイベント

    P3NFEST 参加のキロク 1

  2. 2024年4月にニーリーに入社。 開発環境整備やプラットフォーム機能開発、セキュリティ施策などの横 断開発業務に従事している。 2020年にECサイト運営企業に新卒入社。会員・決済などのプラット フォーム機能を提供するGatewayサーバーの保守・運用に3年間従事。 2022年からはチームリーダーとしてチーム運営も担当した。 2 自己紹介 株式会社ニーリー プラットフォーム開発チーム

    エンジニア Arimichi Matsumura 松村 有倫

  3. 3 プロダクト紹介

  4. 4 今日のお話 バグバウンティイベントP3NFESTに出た時の体験記です 今日のお話では • プログラム提供に向けてどんな準備が必要だったか • プログラム中の対応の流れ・経験談 という話を中心に紹介していきます!

  5. 5 P3NFESTとは https://issuehunt.jp/events/2025/winter/p3nfestbugbounty バグバウンティプラットフォーム「IssueHunt」の学生限定バグバウンティイベント ニーリーでは過去2回プログラム提供(2024冬・夏)

  6. 6 参加の経緯 脆弱性検知はいろいろやれてる • 年次の脆弱性診断 • 各種ツールによる脆弱性スキャン ◦ trivy /

    Dependabot / GuardDuty 攻撃者目線の対策はまだまだ… バグバウンティとかやれるといいかも いきなりは怖くない?運用回る? • コミュニケーションコスト • 修正対応 • etc. VS イベント参加なら参加者・期間ともに限定されてハードル低め! お試しには良さそう!

  7. 7 参加の経緯 初回参加時のレポートはテックブログにも載っているので是非ご覧ください! https://nealle-dev.hatenablog.com/entry/2024/05/07/170601

  8. 8 プログラムの用意 バグバウンティに参加するにはプログラムを用意する必要がある そのための作業は大きく2つ 診断環境の用意 バグハントしてもらう アプリケーションの用意 報奨金の設定 報告に対してお支払いする お金に関する設定検討

  9. 9 プログラムの用意:診断環境 禁止事項の検討 • 外部に影響が出てしまう操作はあらかじめポリシーで禁止しておく ◦ 外部APIへの連携を含む機能 etc. • 権限でしばれるならそれがベター

    アカウントの用意 • toB向け管理画面はサインアップ機能を公開していない • アカウントを事前に払い出さないといけない • 診断に必要な権限のセットを検討して用意 → やることは脆弱性診断の準備と似ている

  10. 10 プログラムの用意:報奨金の設定 支払い額の設定 • 重大度ごとに設定 ◦ デフォルト設定を参考に • 今回はイベントなので情報提供レベルも 有用な報告には極力お支払いすることに

    支払い額の設定画面 予算上限の設定 • 報奨金総額の上限を設定できる ◦ 報告が来すぎた場合も安心 • ニーリーでは10万でお試し • 社内の予算に対して多少余裕持たせるのがよさそう ◦ 予算尽きても来ている報告には報奨金支払いたい

  11. 11 実際の対応 準備を済ませたらいざプログラムスタート! 報告の受け取り ・脆弱性の概要 ・再現手順 ・CVSSスコア の報告を受ける 報奨金の決定 CVSSスコアの

    重大度で目安の 報奨金が決まる 調整して報奨金を お支払い 脆弱性の修正 リスクを元に 対応期限と 対応チームを決定 緊急度の高いものは 運営側で即対応することも 内容の調査 ・再現するか ・原因 ・既知の脆弱性か ・リスク を調べる

  12. 12 報告者とのやりとり こんな感じで報告が届く CVSSや脆弱性種別で報奨金の目安額を出してくれる

  13. 13 報告者とのやりとり 報告者とはチャットでやりとり 国内イベントなので日本語でOK → ハードル低👌

  14. 14 難しかったこと 報奨金のジャッジに悩むケース CVSSだけでリスクを判断することはできない プロダクトの性質 / 攻撃が現実的かなども絡む これは脆弱性なのか…?と悩むような報告も 脆弱性対応の差配 開発チーム内での優先度・リソースの調整はやっぱり難しい

    今は修正を一部巻き取るのも必要な時期 特に即時対応が必要ない脆弱性の扱いは今後の課題

  15. 15 よかったこと 攻撃者目線のセキュリティ対策 攻撃者がどこを狙ってくるのかの理解が進んだ 脆弱性診断で出てこなさそうなニッチめな報告も 費用対効果よく脆弱性を見つけられた 過去2回参戦、どちらも費用は10万円未満 脆弱性診断と単純比較はできないにしてもオトク

  16. 16 まとめ • バグバウンティプログラムの参加の流れを紹介 • 攻撃者観点でのセキュリティ対策のスタートとしてはお手軽 & 効果◎ • 網羅的なセキュリティ対策にプラスする形で導入するとよさそう

    • いずれはステップアップして通期開催も目指したい💪

  17. ニーリーではプロダクトエンジニア、 その他のポジションも積極採用中です! https://jobs.nealle.com/ We are hiring!!!