第三者からの脆弱性報告を受け付けるオールインワンソリューション「IssueHunt VDP」事前登録開始

• 背景

 当社は、セキュリティリサーチャーに脆弱性診断を依頼出来るクラウドソーシングサービス「IssueHuntバグバウンティ」（ https://issuehunt.jp/ ）の提供を行っています。
 お客様と対話を進める中で直面した課題である「外部からの脆弱性報告が担当者に届かず、脆弱性が放置されてしまっている」を解決するため、外部からの脆弱性報告を受け付ける手段としてアメリカ政府も導入している、Vulnerability Disclosure Program（日本語訳：脆弱性開示プログラム）を日本企業向けにアレンジし、IssueHunt VDPとして年内の正式版公開を予定しております。
  

• 解決する課題

脆弱性の報告が、セキュリティ担当者に伝達されない
 脆弱性報告がカスタマーサポートに送られている事が原因で、セキュリティチームに直接届かず、最悪の場合見逃されてしまっている状況があります。第三者が脆弱性を偶然見つけた場合でも、脆弱性報告に関する規約がなければ、発見者がどれほど善意を持っていたとしても、法的責任を恐れて報告を行わない場合があります。
 
 情報漏洩リスク
 脆弱性報告を伝達する手段がないため、最悪の場合はSNSへ公開をされてしまうリスクがあります。また、脆弱性報告を受け付ける手段として、独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERTコーディネーションセンターが提供している「情報セキュリティ早期警戒パートナーシップ」の存在が挙げられますが、脆弱性報告が企業に届くまで数日のタイムラグが発生するため、その間脆弱性（≒個人情報漏洩リスク）が放置されてしまいます。
  

• サービス概要

 自社サービスの脆弱性を発見した第三者が、報告を送る事が出来る脆弱性報告に特化した窓口をノーコードで設置する事が出来、脆弱性情報を管理する事が出来るシステムです。
 2022年4月にRFC9116（※）として発表された、セキュリティポリシーや脆弱性報告時の連絡先をウェブサイト上に記載するための仕組み、security.txtの生成にも対応しております。
 ※RFC9116リンク：https://www.rfc-editor.org/rfc/rfc9116

• IssueHunt VDPで出来ること

脆弱性に特化したフォーム
 脆弱性の深刻度を算出するCVSSや脆弱性の再現方法、利用環境など、脆弱性の報告に特化した報告フォームを、Embedでウェブサイトに埋め込みや公開Urlで設置が可能です。
 
 重大な脆弱性に迅速に対応
 Slackと連携しているため、報告が来ると、然るべき人にメンション付きで通知が届きます。これにより、重要な報告の見逃しを防ぐことが可能です。
 
 脆弱性をチーム間で一元管理
 受け取った報告はダッシュボード内に蓄積され、ステータス（対応待ち・改善済み、など）を可視化し、チームで共有することが可能です。
 
 エンジニアリソース不要
 全てNo Codeでフォームの設置から運用まで実施することが出来ます。貴重なエンジニアリソースを投下する必要がありません。
 
 security.txt互換性
 security.txtの作成に必要なページ（報告先・ポリシー・謝辞・採用情報等）を、ワンクリックで作成。通常数日かかるsecurity.txtの準備が、5分で完了します。GoogleやFacebook等のトップグローバル企業が導入している最先端の仕組みを、事前準備不要で導入することが出来ます。
  

• IssueHunt VDPの利用及びキャンペーンについて

 現在サービス提供前ですが、下記より事前登録を頂けますと、年内の正式版公開より前に、ベータ版のご案内をさせて頂きます。
 また、2022年10月31日までにお申込み頂いた企業様に対しましては、正式版公開後、有料プランを3ヶ月無料でご利用頂けるクーポンをお渡しさせて頂きます。
 事前登録Url：https://issuehunt.jp/vdp
 
 ===
 
 【会社概要】
 会社名：BoostIO株式会社
 代表者：横溝 一将
 所在地：東京都渋谷区渋谷2-6-6 Good morning building 201
 お問い合わせ先：https://issuehunt.jp/vdp