サイバーセキュリティ専門企業のGeniansは、セキュリティの死角解消とサイバー脅威への先制的対応のため、「バグバウンティ(Bug Bounty)プログラム」を全製品・サービスへ拡大して運用すると9日に明らかにした。
バグバウンティは、ソフトウエアやウェブサービスのセキュリティ脆弱性を発見して報告した参加者に報奨金を支払う制度で、脆弱性の悪用を事前に遮断し、セキュリティ水準を高める目的で運用されている。グローバルIT企業を中心に当該制度が拡散する中、韓国でも大規模ハッキング事故以後に必要性があらためて浮上している。
Geniansは韓国のセキュリティ業界で初めて自社のバグバウンティ制度を導入し、運用してきた。2022年3月から昨年末までに計827件の脆弱性報告が寄せられ、これを通じて潜在的なセキュリティ脅威に先制的に対応してきた。
これまでGeniansのバグバウンティ適用対象はネットワークアクセス制御ソリューション(NAC)とクラウド顧客管理サービス(CSM)に限定されていたが、今回の拡大によりGeniansが管理するすべての製品とサービス全般へ範囲が広がる。第三者ホスティングサービスおよび外部ソリューションは対象から除外され、当該ポリシーは韓国のみならずグローバル環境にも同様に適用される。
Geniansは脆弱性公開プログラム(VDP)と協調的脆弱性開示(CVD)をバグバウンティと連携し、脆弱性の受付から措置、補償に至る全工程を体系的に管理する計画だ。これにより脆弱性管理プロセスを高度化し、グローバル基準に合致するセキュリティ運用体制を強化する方針である。
イ・ドンボムGenians代表は「今回のバグバウンティ拡大は、セキュリティ責任の範囲を明確にし、実際の脅威をより広く受け止めるための措置だ」と述べ、「国内外のセキュリティコミュニティとの協力を通じ、製品とサービス全般のセキュリティ水準を継続的に高めていく」と語った。