運営しているウェブサービス等に対し、外部から指摘を受けて脆弱性の存在が発覚することは、決して珍しいことではありません。
第三者が脆弱性を偶然発見したとしても、脆弱性を報告する窓口がなければそもそも報告を受け付けることが出来ず、
サイバー攻撃に遭うリスクが高まってしまいます。
独立行政法人情報処理推進機構も、脆弱性報告窓口の設置を呼びかける声明を出しています。
脆弱性に特化したフォーム
脆弱性の深刻度を算出するCVSSや脆弱性の再現方法利用環境など、脆弱性の報告に特化した報告フォームを、Embedでウェブサイトに埋め込みや公開Urlで設置が可能です。
脆弱性をチーム間で一元管理
受け取った報告はダッシュボード内に蓄積され、ステータス(対応待ち・改善済み、など)を可視化し、チームで共有することが可能です。
運用代行支援
報告を行った方とのやり取り代行や深刻度スコアリング等を当社に委託頂くなど、運用代行もサポートさせて頂きます。
エンジニアリソース不要
全てNo Codeでフォームの設置から運用まで実施することが出来ます。貴重なエンジニアリソースを投下する必要がありません。
⚠️ 脆弱性の報告が、セキュリティ担当者に伝達されない
カスタマーサポートしか報告出来る場所がなく、発見者が報告をしたとしても、セキュリティ担当者に伝達されない場合があります。最悪のケースとして、SNSに脆弱性が公開されてしまった事例もあります。
⚠️ 発見された脆弱性が、届くのが遅い
発見者が早期警戒パートナーシップへ脆弱性を報告し、JPCERT/CCを経由して企業が報告を受け取る場合もありますが、実際に企業が報告を受け取るまで数日以上のタイムラグがあるため、脆弱性(≒個人情報漏洩リスク)が放置されてしまいます。
⚠️ 善良な発見者が、法的責任を恐れる可能性
調査に関する規約がなければ、発見者がどれほど善意を持っていたとしても、法的責任を恐れて報告を行わない場合があります。その結果、本来直す事が出来た脆弱性が放置されてしまいます。
メリット①ゼロデイ対策
悪意を持ったハッカーが脆弱性を用いて攻撃を行う前に、ユーザーや善意の報告者から報告を受け取る事で、修正を行う事が出来ます。コミュニティの力を借りて、情報漏洩事故を未然に防ぐことが出来ます。
メリット②メンバーの成長
社内で見つけることの出来なかった脆弱性が報告される場合が多いため、報告を受けてから直すまでの一連の流れを通じ、社内にノウハウを蓄積する事が出来ます。
メリット③企業ブランド向上
報告者に対する謝辞を掲載する事で、エンジニアコミュニティから好意的に受け入れられる事を期待する事が出来、採用面をはじめとした、様々なブランド力向上を見込む事が期待できます。
.png)