学生向けバグバウンティイベントP3NFEST参加のキロク CHUO Tech #6

2025.02.25 CHUO Tech #6 株式会社ニーリー松村有倫 NEALLE 学生向けバグバウンティイベント
P3NFEST 参加のキロク 1

2024年4月にニーリーに入社。開発環境整備やプラットフォーム機能開発、セキュリティ施策などの横断開発業務に従事している。 2020年にECサイト運営企業に新卒入社。会員・決済などのプラットフォーム機能を提供するGatewayサーバーの保守・運用に3年間従事。 2022年からはチームリーダーとしてチーム運営も担当した。 2 自己紹介株式会社ニーリープラットフォーム開発チーム
エンジニア Arimichi Matsumura 松村有倫

3 プロダクト紹介

4 今日のお話バグバウンティイベントP3NFESTに出た時の体験記です今日のお話では • プログラム提供に向けてどんな準備が必要だったか • プログラム中の対応の流れ・経験談という話を中心に紹介していきます！

5 P3NFESTとは https://issuehunt.jp/events/2025/winter/p3nfestbugbounty バグバウンティプラットフォーム「IssueHunt」の学生限定バグバウンティイベントニーリーでは過去2回プログラム提供（2024冬・夏）

6 参加の経緯脆弱性検知はいろいろやれてる • 年次の脆弱性診断 • 各種ツールによる脆弱性スキャン ◦ trivy /
Dependabot / GuardDuty 攻撃者目線の対策はまだまだ… バグバウンティとかやれるといいかもいきなりは怖くない？運用回る？ • コミュニケーションコスト • 修正対応 • etc. VS イベント参加なら参加者・期間ともに限定されてハードル低め！お試しには良さそう！

7 参加の経緯初回参加時のレポートはテックブログにも載っているので是非ご覧ください！ https://nealle-dev.hatenablog.com/entry/2024/05/07/170601

8 プログラムの用意バグバウンティに参加するにはプログラムを用意する必要があるそのための作業は大きく2つ診断環境の用意バグハントしてもらうアプリケーションの用意報奨金の設定報告に対してお支払いするお金に関する設定検討

9 プログラムの用意：診断環境禁止事項の検討 • 外部に影響が出てしまう操作はあらかじめポリシーで禁止しておく ◦ 外部APIへの連携を含む機能 etc. • 権限でしばれるならそれがベター
アカウントの用意 • toB向け管理画面はサインアップ機能を公開していない • アカウントを事前に払い出さないといけない • 診断に必要な権限のセットを検討して用意 → やることは脆弱性診断の準備と似ている

10 プログラムの用意：報奨金の設定支払い額の設定 • 重大度ごとに設定 ◦ デフォルト設定を参考に • 今回はイベントなので情報提供レベルも有用な報告には極力お支払いすることに
支払い額の設定画面予算上限の設定 • 報奨金総額の上限を設定できる ◦ 報告が来すぎた場合も安心 • ニーリーでは10万でお試し • 社内の予算に対して多少余裕持たせるのがよさそう ◦ 予算尽きても来ている報告には報奨金支払いたい

11 実際の対応準備を済ませたらいざプログラムスタート！報告の受け取り・脆弱性の概要・再現手順・CVSSスコアの報告を受ける報奨金の決定 CVSSスコアの
重大度で目安の報奨金が決まる調整して報奨金をお支払い脆弱性の修正リスクを元に対応期限と対応チームを決定緊急度の高いものは運営側で即対応することも内容の調査・再現するか・原因・既知の脆弱性か・リスクを調べる

12 報告者とのやりとりこんな感じで報告が届く CVSSや脆弱性種別で報奨金の目安額を出してくれる

13 報告者とのやりとり報告者とはチャットでやりとり国内イベントなので日本語でOK → ハードル低👌

14 難しかったこと報奨金のジャッジに悩むケース CVSSだけでリスクを判断することはできないプロダクトの性質 / 攻撃が現実的かなども絡むこれは脆弱性なのか…？と悩むような報告も脆弱性対応の差配開発チーム内での優先度・リソースの調整はやっぱり難しい
今は修正を一部巻き取るのも必要な時期特に即時対応が必要ない脆弱性の扱いは今後の課題

15 よかったこと攻撃者目線のセキュリティ対策攻撃者がどこを狙ってくるのかの理解が進んだ脆弱性診断で出てこなさそうなニッチめな報告も費用対効果よく脆弱性を見つけられた過去2回参戦、どちらも費用は10万円未満脆弱性診断と単純比較はできないにしてもオトク

16 まとめ • バグバウンティプログラムの参加の流れを紹介 • 攻撃者観点でのセキュリティ対策のスタートとしてはお手軽 & 効果◎ • 網羅的なセキュリティ対策にプラスする形で導入するとよさそう
• いずれはステップアップして通期開催も目指したい💪

ニーリーではプロダクトエンジニア、その他のポジションも積極採用中です！ https://jobs.nealle.com/ We are hiring!!!

学生向けバグバウンティイベントP3NFEST参加のキロク CHUO Tech #6

学生向けバグバウンティイベントP3NFEST参加のキロク CHUO Tech #6

Nealle

More Decks by Nealle

Other Decks in Programming

Featured

Transcript

2025.02.25 CHUO Tech #6 株式会社ニーリー松村有倫 NEALLE 学生向けバグバウンティイベント

3 プロダクト紹介

4 今日のお話バグバウンティイベントP3NFESTに出た時の体験記です今日のお話では • プログラム提供に向けてどんな準備が必要だったか • プログラム中の対応の流れ・経験談という話を中心に紹介していきます！

5 P3NFESTとは https://issuehunt.jp/events/2025/winter/p3nfestbugbounty バグバウンティプラットフォーム「IssueHunt」の学生限定バグバウンティイベントニーリーでは過去2回プログラム提供（2024冬・夏）

6 参加の経緯脆弱性検知はいろいろやれてる • 年次の脆弱性診断 • 各種ツールによる脆弱性スキャン ◦ trivy /

7 参加の経緯初回参加時のレポートはテックブログにも載っているので是非ご覧ください！ https://nealle-dev.hatenablog.com/entry/2024/05/07/170601

9 プログラムの用意：診断環境禁止事項の検討 • 外部に影響が出てしまう操作はあらかじめポリシーで禁止しておく ◦ 外部APIへの連携を含む機能 etc. • 権限でしばれるならそれがベター

10 プログラムの用意：報奨金の設定支払い額の設定 • 重大度ごとに設定 ◦ デフォルト設定を参考に • 今回はイベントなので情報提供レベルも有用な報告には極力お支払いすることに

11 実際の対応準備を済ませたらいざプログラムスタート！報告の受け取り・脆弱性の概要・再現手順・CVSSスコアの報告を受ける報奨金の決定 CVSSスコアの

12 報告者とのやりとりこんな感じで報告が届く CVSSや脆弱性種別で報奨金の目安額を出してくれる

13 報告者とのやりとり報告者とはチャットでやりとり国内イベントなので日本語でOK → ハードル低👌

16 まとめ • バグバウンティプログラムの参加の流れを紹介 • 攻撃者観点でのセキュリティ対策のスタートとしてはお手軽 & 効果◎ • 網羅的なセキュリティ対策にプラスする形で導入するとよさそう

ニーリーではプロダクトエンジニア、その他のポジションも積極採用中です！ https://jobs.nealle.com/ We are hiring!!!