ガートナー社は、バグバウンティやクラウドセキュリティテストのための専用のマジック・クアドラントをまだ持っていませんが、ガートナー社のピアインサイトでは、すでに「アプリケーションクラウドテストサービス」カテゴリで24社のベンダーをリストアップしています。
国際的なセキュリティ研究者の知識と専門知識を活用して、既存のソフトウェアテストを強化したいと考えている方のために、最も有望なバグバウンティプラットフォームのトップ5をまとめました。
1. HackerOne
数多くの評判の高いベンチャーキャピタリストに支えられたユニコーンである HackerOne は、おそらく世界で最もよく知られ、認知されている Bug Bounty ブランドです。
最新の年次報告書によると、1,700社以上の企業がHackerOneプラットフォームを信頼して、社内のアプリケーション・セキュリティ・テスト能力を強化しています。レポートによると、同社のセキュリティ研究者は、2019年だけで約4000万ドル、累積では8200万ドルのバウンティを獲得しています。
HackerOneは、米国防総省や米陸軍の脆弱性開示プログラムなど、米国政府のバグバウンティプログラムを主催していることでも有名です。バグバウンティや脆弱性開示プログラム (VDP) の他の商用プロバイダと同様に、HackerOne は現在、世界中から集められた、審査済みのセキュリティ研究者によるペネトレーションテストサービスも提供しています。HackerOneは、ISO 27001やFedRAMP認証などのセキュリティ認証の確固たるポートフォリオを持っています。
2. BugCrowd
サイバーセキュリティの専門家であるケイシー・エリスによって設立されたBugCrowdは、おそらく最も創造的で独創的なBug Bountyプラットフォームです。BugCrowdは、従来のクラウドセキュリティテストサービスだけでなく、攻撃面の管理やIoT、API、さらにはネットワークを対象とした幅広いペネトレーションテストサービスを積極的に推進しており、急速に成長するクラウド労働市場で競合他社の一歩先を行っている。
BugCrowdはまた、多数のソフトウェア開発ライフサイクル(SDLC)統合能力を適切に宣伝しており、裕福なクライアントにとってDevSecOpsのワークフローをより迅速かつ容易にしている。
BugCrowdは、Amazon、VISA、eBayなどの業界大手や、有名な(ISC)²サイバーセキュリティ教育協会のためのバグバウンティプログラムを主催していることで有名です。BugCrowd University、継続的なセキュリティウェビナー、BugCrowdが顧客や研究者のためにスマートに企画したトレーニングのおかげで、セキュリティ研究の初心者の多くがBugCrowdをよく知っています。
3. OpenBugBounty
急上昇中の OpenBugBounty プロジェクトは、我々のリストの中で唯一の非営利の脆弱性開示および Bug Bounty プラットフォームです。そのAlexaランクによると、OpenBugBountyは、ほとんどの商業的な競合他社を成功裏に凌駕しようとしています。
1,200以上のアクティブなBug Bountyプログラムで、OpenBugBountyはまた、問題が非侵入的な手段によって検出された場合、任意のウェブサイト上のセキュリティ問題の調整された開示を許可します。バグバウンティプログラムの作成は完全に無料で、ウェブサイトの所有者は研究者に金銭的な支払いをする必要はありませんが、少なくとも研究者に感謝し、彼らの努力に公的な推薦を提供することが奨励されています。
OpenBugBountyは、A1 Telekom AustriaやDrupalなどの企業向けにBug Bountyプログラムをホストしており、これまでに2万人以上のセキュリティ研究者と80万件近くのセキュリティ脆弱性を提出している。同プラットフォームによると、そのポリシーと開示プロセスはISO 29147規格に基づいているという。
また、OpenBugBountyは、研究者が発見した内容を公開しない限り、脆弱性の詳細を秘密にする一方で、プラットフォームへの無料APIを提供することで、国のCERTや法執行機関と協力している。
4. SynAck
Intel CapitalやKleiner Perkinsなど、多くの有名VCファンドから支援を受けているSynAckは、2015年から2019年まで4回連続で「CNBC Disruptor」企業に選ばれています。SynAckは商用のBug Bountyプラットフォームの頂点に立っており、Gartnerの「Top 25 Enterprise Software Startups」にも選出されています。
セキュリティの先見者であり、米国の国家安全保障機関の評判の高いベテランであるジェイ・カプランとマーク・カーによって設立されたSynAckは、「レッドチーム」(SRT)として知られる徹底的に吟味されたサイバーセキュリティ研究者の精鋭チームを提供しています。SynAck によると、SRT グループは、検証された経歴と信頼できる業界経験を持つセキュリティ専門家で構成されています。
SynAckは、レッドチームに対して包括的なデューデリジェンスを実施し、将来の分析やレビューのために彼らの活動をすべて記録することで、信頼できるクラウドセキュリティテストサービスのリーダーとしての地位を確立しています。最後に、SynAckは、Microsoft、AWS、HPEなどの業界リーダーとのパートナーシップや技術提携を成功させ、さらなる成長の可能性を示しています。
5. YesWeHack
YesWeHackは2021年の新星です。ヨーロッパのバグバウンティと脆弱性開示企業の一つであるYesWeHackは、厳格なプライバシーとデータ保護を主な関心事とするEUベースの企業を効率的に誘致しています。最近では、YesWeHackは2020年にアジアで250%の成長を記録したと発表しており、ヨーロッパのスタートアップ企業がグローバルなスケールアップが可能であることを証明しています。
BugCrowdと同様に、YesWeHackも人的資本に投資する準備が整っています。昨年、YesWeHack DOJOプラットフォームを利用して、バグバウンティハンターがハッキングスキルを磨くためのトレーニングプログラムを開始しました。これは、特定のセキュリティ脆弱性や遊び場に焦点を当てた入門コースとトレーニング課題を特徴としています。
DOJOを利用することで、世界中のセキュリティ研究者はソフトウェアのセキュリティテストのスキルを向上させることができます。最後に、YesWeHackは、フランスのOVHコングロマリットのようなヨーロッパの評判の高い顧客を引き付ける能力を説得力を持って示しています。
この記事では、5つのバグバウンティプラットフォームを紹介しましたが、ヨーロッパの倫理的なハッカーのネットワークをリードするIntigritiをはじめ、他にも優れたユニークなプラットフォームはたくさんあります。
バグバウンティは、純粋なクラウドセキュリティテストからオールインワンのサイバーセキュリティプラットフォームへの転換を始めており、古典的な侵入テストやその他無数のサービスを提供しています。今日では、彼らの提供するサービスが従来のMSSPやサイバーセキュリティベンダーに対してどの程度の成功を収めるかを予測することは難しいが、Bug Bountiesは強力な可能性を秘めた新しい市場のニッチを生み出したことは間違いない。
オープンでフリーなOpenBugBountyプロジェクトは、数十年前にオープンソースのLinuxがマイクロソフトに対して行ったように、ビジネスに成熟をもたらし、後に数十億ドル規模のレッドハットのビジネスを生み出しました。
これは、バグバウンティ市場が大きくなり、競争が激化している一方で、新規参入者がまだゲームに参加していることを示している。今後は、ベンチャーキャピタルや M&A によるクラウドセキュリティ市場のさらなる拡大が期待されます。
