バグバウンティプログラムの目的|情報処理安全確保支援士試験 令和8年 科目A-2試験予想Ⅰ 問3

出典:3-6:脆弱性への対応|バグバウンティプログラムに関する知識 分野:セキュリティ / セキュリティ技術評価
バグバウンティプログラムの説明として,最も適切なものはどれか。
  • ア:自社の製品やサービスを対象として,外部の研究者などから脆弱性の報告を受け付け,定められた条件に応じて報奨金を支払う制度である。
  • イ:攻撃者の視点でシステムへの侵入を試み,実際に到達可能な範囲や影響を確認するセキュリティ評価手法である。
  • ウ:ツールやチェックリストを用いて,OS,ミドルウェア,Webアプリケーションなどに既知の脆弱性が存在しないかを確認する手法である。
  • エ:公表された脆弱性情報を収集し,製品名,影響範囲,対策方法などを利用者に提供するための情報提供サイトである。
解説

バグバウンティプログラムは、自社の製品やサービスを対象として、外部のセキュリティ研究者などから脆弱性の報告を受け付け、条件に応じて報奨金を支払う制度です。

自社だけでは見つけきれない脆弱性を、外部の知見も活用して早期に発見し、修正につなげることが目的です。報告対象、報告方法、禁止事項、報奨金の条件などをあらかじめ定めて運用します。

したがって、が適切です。

❌他選択肢が誤りの理由
イ:攻撃者の視点でシステムへの侵入を試み,実際に到達可能な範囲や影響を確認するセキュリティ評価手法である。
⇒ペネトレーションテストの説明です。攻撃者の視点で侵入を試みる評価手法であり、外部研究者から脆弱性報告を受け付けて報奨金を支払うバグバウンティプログラムとは異なります。
ウ:ツールやチェックリストを用いて,OS,ミドルウェア,Webアプリケーションなどに既知の脆弱性が存在しないかを確認する手法である。
⇒脆弱性診断の説明です。既知の脆弱性や設定不備を確認する手法であり、報奨金制度として外部から脆弱性報告を募るバグバウンティプログラムの説明ではありません。
エ:公表された脆弱性情報を収集し,製品名,影響範囲,対策方法などを利用者に提供するための情報提供サイトである。
⇒JVNなどの脆弱性対策ポータルサイトの説明です。脆弱性情報を利用者に提供する仕組みであり、外部の研究者などに報奨金を支払って脆弱性報告を受け付ける制度ではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

バグバウンティプログラムは、自社の製品やサービスについて、外部の研究者やホワイトハッカーなどから脆弱性の報告を受け付け、条件に応じて報奨金を支払う制度です。ポイントは、外部からの脆弱性報告を促し、発見者に報奨を与えることです。

迷ったときの判断軸

攻撃者の視点で侵入を試みるのはペネトレーションテスト、ツールやチェックリストで既知の脆弱性を確認するのは脆弱性診断です。また、脆弱性情報を収集して利用者に提供するサイトはJVNなどの脆弱性情報ポータルです。バグバウンティは、外部報告者への報奨金制度と判断しましょう。

科目Bにつなげるために

科目Bでは、自社サービスの脆弱性を外部から報告されたときの受付窓口・報告範囲・再現確認・修正・公開調整などが問われることがあります。バグバウンティプログラムは、脆弱性を隠すのではなく、管理された形で受け付けて改善につなげる仕組みとして整理しておきましょう。