バグバウンティプラットフォーム「IssueHunt」が、情報漏洩を未然に防ぐ脆弱性報告窓口設置ツール「IssueHunt VDP」を正式公開

• 背景

 当社は、セキュリティリサーチャーに脆弱性診断を依頼出来るプラットフォーム「IssueHuntバグバウンティ」（ https://issuehunt.jp/ ）の提供を行っています。
 お客様と対話を進める中で直面した課題である「外部からの脆弱性報告がセキュリティ担当者に届かず、情報漏洩リスクが放置されてしまっている」を解決するため、外部からの脆弱性報告を受け付ける手段としてアメリカ政府も導入している”Vulnerability Disclosure Program”を、日本企業向けにアレンジした「IssueHunt VDP」の提供を開始致しました。
  

• 解決する課題

情報漏洩リスク
 脆弱性報告を伝達する手段がないため、最悪の場合はSNSへ公開をされてしまうリスクがあります。また、脆弱性報告を受け付ける手段として、独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERTコーディネーションセンターが提供している「情報セキュリティ早期警戒パートナーシップ」の存在が挙げられますが、脆弱性報告が企業に届くまで数日のタイムラグが発生するため、その間脆弱性（≒個人情報漏洩リスク）が放置されてしまいます。
 
 脆弱性の報告が、セキュリティ担当者に伝達されない
 脆弱性報告がカスタマーサポートに送られている事が原因で、セキュリティチームに直接届かず、最悪の場合見逃されてしまっている状況があります。第三者が脆弱性を偶然見つけた場合でも、脆弱性報告に関する規約がなければ、発見者がどれほど善意を持っていたとしても、法的責任を恐れて報告を行わない場合があります。
  

• サービス概要

 脆弱性報告に特化した窓口をノーコードで設置する事が出来、貴社の脆弱性を発見した第三者が報告を行うことが出来ます。
 報告が来るとSlack通知が届くため、セキュリティ担当者がすぐに確認することが出来、見逃しを防ぐことが出来ます。
 
 また、2022年4月にRFC9116（※）として発表された、セキュリティポリシーや脆弱性報告時の連絡先をウェブサイト上に記載するための仕組み、security.txtの生成にも対応しております。
 ※RFC9116リンク：https://www.rfc-editor.org/rfc/rfc9116

• IssueHunt VDPで出来ること

脆弱性に特化したフォーム
 脆弱性の深刻度を算出するCVSSや脆弱性の再現方法、利用環境など、脆弱性の報告に特化した報告フォームを、Embedでウェブサイトに埋め込みや公開Urlで設置が可能です。
 
 脆弱性をチーム間で一元管理
 受け取った報告はダッシュボード内に蓄積され、ステータス（対応待ち・改善済み、など）を可視化し、チームで共有することが可能です。
 
 エンジニアリソース不要
 全てNo Codeでフォームの設置から運用まで実施することが出来ます。貴重なエンジニアリソースを投下する必要がありません。
 
 security.txt互換性
 security.txtの作成に必要なページ（報告先・ポリシー・謝辞・採用情報等）を、ワンクリックで作成。通常数日かかるsecurity.txtの準備が、5分で完了します。GoogleやFacebook等のトップグローバル企業が導入している最先端の仕組みを、事前準備不要で導入することが出来ます。
  

• IssueHunt VDPの利用について

 こちらのUrlより登録頂くことで、すぐに利用を開始することが出来ます。
 https://issuehunt.jp/vdp
 
 ご不明点がございましたら、こちらよりお問い合わせください。
 https://issuehunt.jp/about-us
 
 ===
 
 【会社概要】
 会社名：BoostIO株式会社
 代表者：横溝 一将
 所在地：東京都中央区日本橋茅場町一丁目8番1号 茅場町一丁目平和ビル
 お問い合わせ先：https://issuehunt.jp/about-us