ホワイトハッカーをつなぐプラットフォームを提供
―どのような仕組みでハッカーと組織をつないでいるのでしょうか。
セキュリティ研究者としてのホワイトハッカーと組織をつなぐプラットフォームを提供しています。
ハッカーが企業のセキュリティに関するレポートをあげると、ユーザーはインボックス内で確認でき、報告者の信ぴょう性やこれまでの実績をチェックします。企業として対処すべき問題と認められた場合は、自社のセキュリティチームで共有し、報告者とチャットをしながら連携して問題の解決にあたることが可能です。問題解決の際には、奨励金とともにポイントが付与され、そのポイントに応じてハッカーのランクがあがっていきます。ハッカーへの送金や税金などの細かい事務はすべてHackerOneが請け負っています。
企業がみずから自社のセキュリティの問題に対して報奨金をかけてハッカーに協力を仰ぐのがバグバウンティです。
Image: HackerOne
拡大するバグバウンティ
―ビジネスは拡大していますか。
2016年11月に米国防総省が脆弱性開示のポリシーを発表しました。これまではハッカーが「組織に損害を与えた」として訴訟されることがあったのですが、この政策でハッカーが合法で脆弱性を発見できるようにしました。それ以来、国防総省は5つのバグバウンティを実施しています。弊社は国防総省と協業したことで評価を得ることができました。これまで米政府のシステムで5000以上の脆弱性が発見されていて、40万ドルが支払われています。
現在、ますます多くのFortune500企業やForbes Global1000企業が私たちを信用してくれるようになりました。米国防総省やGM、Google、Twitter、任天堂、スターバックスなど名だたる大企業からスタートアップ企業まで顧客企業は1200社に及びます。2018年6月までで、これまで78000カ所の脆弱性を指摘し、3400万ドルの報奨金が支払われています。2017年単独で1170万ドルでした。
20万人のホワイトハッカーが登録
―強みは何でしょうか。
HackerOneはFacebook、マイクロソフト、Googleでバグバウンディと脆弱性の公開を拡大させてきた専門家によってつくられたプラットフォームです。20万人もの様々なスキルや専門領域を持ったハッカーが登録しており、それぞれの顧客の固有のニーズに対応ができることではないでしょうか。どのような企業規模・タイプでも、どのような攻撃の種類にも対応できます。
―日本市場への関心はありますか。
既に任天堂やトヨタといったグローバル企業がプラットフォームに参加してくれています。顧客企業を拡大する観点で、日本市場にも関心があります。私たちのミッションは世界中で、より安心できるインターネットを構築することです。
